Industries

/

Krankenhäuser

NIS2 + KRITIS + § 391 SGB V · dreifach reguliert

Cybersicherheit für Krankenhäuser

Kliniken tragen eine mehrfache Regulierungslast: kritische Infrastruktur nach BSI-KritisV ab 30.000 vollstationären Fällen, besonders wichtige Einrichtung nach NIS2, plus § 391 SGB V für alle Krankenhäuser mit § 108-Zulassung. Wir liefern Awareness, Phishing-Simulation, Vulnerability Management und Managed Detection & Response — abgestimmt auf 24/7-Schichtbetrieb, Medizintechnik und die Realität der Patientenversorgung.

Kostenloses Risk Assessment

Kostenloses Risk Assessment

Icon
Icon

DIE REALITÄT

Krankenhäuser sind das lukrativste Ziel — und das verwundbarste.

Keine andere Branche hat so viele sensible Daten, so viel veraltete Technik und so wenig Spielraum für Ausfallzeiten. Ein Ransomware-Angriff auf ein Klinikum ist kein IT-Problem — es ist ein Versorgungsnotstand. Patientenaufnahmen werden eingestellt, Operationen verschoben, Rettungswagen umgeleitet.

67%

der Kliniken wurden 2024 Ziel eines Ransomware-Angriffs — über die Hälfte mit direkter Auswirkung auf die Patientenversorgung.

4,88 M€

durchschnittliche Kosten eines Data Breach im Gesundheitswesen — höchster Wert aller Branchen, 14. Jahr in Folge.

3-fach

Regulierungslast: NIS2-Pflichten, KRITIS-Nachweise nach § 39 BSIG und § 391 SGB V-Sicherheitsrichtlinie parallel.

Quellen: Tolsdorf, Langer, Lo Iacono — ACM CCS '25, Justus-Liebig-Universität Gießen · Check Point Research Healthcare Report · NIS2UmsuCG § 30, § 38 BSIG · BSI Lagebericht 2025.

DIE REALITÄT

Krankenhäuser sind das lukrativste Ziel — und das verwundbarste.

Keine andere Branche hat so viele sensible Daten, so viel veraltete Technik und so wenig Spielraum für Ausfallzeiten. Ein Ransomware-Angriff auf ein Klinikum ist kein IT-Problem — es ist ein Versorgungsnotstand. Patientenaufnahmen werden eingestellt, Operationen verschoben, Rettungswagen umgeleitet.

67%

der Kliniken wurden 2024 Ziel eines Ransomware-Angriffs — über die Hälfte mit direkter Auswirkung auf die Patientenversorgung.

4,88 M€

durchschnittliche Kosten eines Data Breach im Gesundheitswesen — höchster Wert aller Branchen, 14. Jahr in Folge.

3-fach

Regulierungslast: NIS2-Pflichten, KRITIS-Nachweise nach § 39 BSIG und § 391 SGB V-Sicherheitsrichtlinie parallel.

Quellen: Tolsdorf, Langer, Lo Iacono — ACM CCS '25, Justus-Liebig-Universität Gießen · Check Point Research Healthcare Report · NIS2UmsuCG § 30, § 38 BSIG · BSI Lagebericht 2025.

REGULATORISCHER KONTEXT

Drei Regulierungsrahmen, ein Krankenhaus — und Sie müssen alle drei gleichzeitig erfüllen.

Anders als in anderen Branchen überlagern sich bei Krankenhäusern drei eigenständige Regelwerke. Jedes mit eigenem Scope, eigenen Fristen, eigenen Nachweisen — und jedes mit empfindlichen Sanktionen bei Nichterfüllung.

01 · KRITIS

Kritische Infrastruktur

Kliniken ab 30.000 vollstationären Fällen pro Jahr gelten als Kritische Infrastruktur nach BSI-KritisV. Pflichten: Registrierung beim BSI, Nachweis angemessener Sicherheitsmaßnahmen nach § 39 BSIG (erstmals nach drei Jahren, danach alle zwei Jahre), Meldung erheblicher IT-Störungen, Umsetzung des branchenspezifischen Sicherheitsstandards B3S.

02 · NIS2

Besonders wichtige Einrichtung

Seit dem NIS2UmsuCG (in Kraft seit 6. Dezember 2025, ohne Übergangsfrist) sind Krankenhäuser besonders wichtige Einrichtungen nach § 28 BSIG. Pflichten: zehn Risikomanagement-Maßnahmen nach § 30 BSIG, 24h/72h/30-Tage-Meldungen nach § 32 BSIG, persönliche Haftung der Geschäftsleitung nach § 38 BSIG, Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes nach § 65 BSIG.

03 · § 391 SGB V

Krankenhausspezifische IT-Sicherheit

§ 391 SGB V verpflichtet Krankenhäuser, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von IT-Störungen zu treffen. Als Referenz gilt der B3S Krankenhäuser der DKG. Anders als NIS2 gilt § 391 SGB V für alle Krankenhäuser — unabhängig von Fallzahl und KRITIS-Status.

Rechtsquellen: BSI-Gesetz (BSIG) · BSI-Kritisverordnung (BSI-KritisV) · NIS2UmsuCG vom 6.12.2025 · § 391 SGB V · B3S Krankenhäuser (DKG) · IEC 80001-1 (Medizingeräte-Netzwerke).

REGULATORISCHER KONTEXT

Drei Regulierungsrahmen, ein Krankenhaus — und Sie müssen alle drei gleichzeitig erfüllen.

Anders als in anderen Branchen überlagern sich bei Krankenhäusern drei eigenständige Regelwerke. Jedes mit eigenem Scope, eigenen Fristen, eigenen Nachweisen — und jedes mit empfindlichen Sanktionen bei Nichterfüllung.

01 · KRITIS

Kritische Infrastruktur

Kliniken ab 30.000 vollstationären Fällen pro Jahr gelten als Kritische Infrastruktur nach BSI-KritisV. Pflichten: Registrierung beim BSI, Nachweis angemessener Sicherheitsmaßnahmen nach § 39 BSIG (erstmals nach drei Jahren, danach alle zwei Jahre), Meldung erheblicher IT-Störungen, Umsetzung des branchenspezifischen Sicherheitsstandards B3S.

02 · NIS2

Besonders wichtige Einrichtung

Seit dem NIS2UmsuCG (in Kraft seit 6. Dezember 2025, ohne Übergangsfrist) sind Krankenhäuser besonders wichtige Einrichtungen nach § 28 BSIG. Pflichten: zehn Risikomanagement-Maßnahmen nach § 30 BSIG, 24h/72h/30-Tage-Meldungen nach § 32 BSIG, persönliche Haftung der Geschäftsleitung nach § 38 BSIG, Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes nach § 65 BSIG.

03 · § 391 SGB V

Krankenhausspezifische IT-Sicherheit

§ 391 SGB V verpflichtet Krankenhäuser, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von IT-Störungen zu treffen. Als Referenz gilt der B3S Krankenhäuser der DKG. Anders als NIS2 gilt § 391 SGB V für alle Krankenhäuser — unabhängig von Fallzahl und KRITIS-Status.

Rechtsquellen: BSI-Gesetz (BSIG) · BSI-Kritisverordnung (BSI-KritisV) · NIS2UmsuCG vom 6.12.2025 · § 391 SGB V · B3S Krankenhäuser (DKG) · IEC 80001-1 (Medizingeräte-Netzwerke).

TYPISCHE ANGRIFFSSZENARIEN

Die Angriffe, die wir in Kliniken täglich sehen.

Krankenhäuser werden nicht generisch angegriffen — die Profile sind erschreckend konstant. Wer die Muster kennt, kann gezielt schützen statt pauschal zu investieren.

Ransomware über Phishing

Der häufigste Einstieg: eine E-Mail an die Verwaltung oder Ambulanz, die wie eine Bewerbung, Rechnung oder Arztbrief aussieht. Nach dem Klick folgen Lateral Movement, Datenexfiltration, Verschlüsselung — und der OP steht still. Durchschnittliche Ausfallzeit im Gesundheitswesen: mehrere Tage bis Wochen.

Legacy-Medizingeräte als Einfallstor

CT-Scanner, Laborgeräte, Infusionspumpen auf Windows XP oder Windows 7 — kein Hersteller-Support, keine Patches, aber vollen Netzwerkzugang. Einmal kompromittiert, dienen sie als persistenter Brückenkopf für tiefere Angriffe ins KIS, RIS und die Patientenakten.

Kompromittierte Fernwartungszugänge

Technik, Reinigung, Labor, Medizingeräte-Hersteller: dutzende externe Zugänge mit oft unzureichender MFA-Absicherung, fragmentierter Zugriffskontrolle und schwacher Protokollierung. Kompromittierte Credentials eines einzelnen Partners reichen häufig aus.

Datenexfiltration vor Verschlüsselung

Moderne Ransomware-Gruppen exfiltrieren erst und verschlüsseln dann — das doppelte Erpressungsschema. Bei Kliniken bedeutet das: Patientendaten, Diagnosen, Behandlungsdokumentation auf Leak-Sites. DSGVO-Bußgelder, Schadensersatzklagen und irreparabler Reputationsschaden kommen zum Betriebsausfall hinzu.

UNSERE LÖSUNGEN

Vier Services, die zusammen ein klinikgerechtes Sicherheitsfundament ergeben.

Einzelmaßnahmen reichen nicht. Awareness ohne Phishing-Simulation ist Theorie, Schwachstellen-Scanner ohne SOC sind Listen ohne Reaktion. Wir kombinieren die vier Bausteine, die NIS2, KRITIS und § 391 SGB V gemeinsam adressieren.

KONTINUIERLICHES TRAINING

Phishing Simulation as a Service

Monatliche, klinikrealistische Kampagnen — gefälschte Bewerbungen, Laborbefunde, KIS-Passwort-Resets. Messbare Click-Rate- und Report-Rate-Entwicklung, direkt als NIS2-Evidenznachweis einsetzbar.

Zum Service

Zum Service

Icon
Icon

MITARBEITER-RESILIENZ

Security Awareness Training

Jährlicher Kernkurs ~20 Minuten, quartalsweise Spotlights 1–2 Minuten. Rollenbezogene Inhalte für Pflege, Ärzteschaft, Verwaltung und Technik. Erfüllt die Anforderungen aus NIS2 Art. 21 und § 391 SGB V direkt.

Zum Service

Zum Service

Icon
Icon

ANGRIFFSFLÄCHE KENNEN

Schwachstellen-Management

Kontinuierliche Asset Discovery, IEC-80001-konformes Scanning für Medizingeräte, klinische Priorisierung statt CVSS-Rauschen, Remediation-Tracking bis zur geschlossenen Schwachstelle — und auditfähiger Nachweis für B3S und § 39 BSIG.

Zum Service

Zum Service

Icon
Icon

24/7 MANAGED SOC

Incident Detection & Response

Durchgehendes SIEM-Monitoring, EDR-Management, Healthcare-Threat-Intelligence und deutschsprachige Analyst:innen. Incident Response mit klinikkompatibler Containment-Logik und vorbereiteten NIS2-Meldungen nach § 32 BSIG.

Zum Service

Zum Service

Icon
Icon

WARUM ENTROPY CS

Wir bauen Cybersicherheit, die den Klinikalltag aushält.

Generische Dienstleister scheitern an den Besonderheiten von Kliniken. Wir sind für dieses Umfeld gebaut — mit den Kompromissen, die zwischen Patientensicherheit, Verfügbarkeit und Regulatorik wirklich nötig sind.

Klinik-Vokabular

Wir sprechen KIS, RIS, PACS, Labor-Interfaces, TI-Konnektor — nicht nur Server und Firewalls. Awareness-Inhalte, Phishing-Köder und Incident-Playbooks sind spezifisch auf Klinik-Workflows zugeschnitten.

Regulatorische Mehrfachnutzung

Jede unserer Leistungen produziert Evidenz, die gleichzeitig für NIS2, KRITIS-Nachweis und § 391 SGB V verwendbar ist. Statt drei getrennter Dokumentationsstränge ein konsolidierter Nachweis — Aufwand einmal, Verwendung dreifach.

Versorgungsauftrag als Leitplanke

Jede Maßnahme — Scanner-Fenster, Containment-Entscheidung, Schulungszeit — wird daran gemessen, ob sie die Patientenversorgung gefährdet. Cybersicherheit ist Mittel, nicht Selbstzweck.

Antworten speziell für Kliniken.

Antworten speziell für Kliniken.

Die Fragen, die wir regelmäßig von Geschäftsführungen, CISOs und IT-Leitungen in Krankenhäusern hören. Weitere Fragen direkt im kostenlosen Risk Assessment.

Unsere Klinik ist unter 30.000 Fällen — gilt NIS2 trotzdem?

Unsere Klinik ist unter 30.000 Fällen — gilt NIS2 trotzdem?

Wie stören Ihre Maßnahmen den laufenden Klinikbetrieb?

Wie stören Ihre Maßnahmen den laufenden Klinikbetrieb?

Wir haben schon einen IT-Dienstleister und ein KIS-Wartungsvertrag — reicht das nicht?

Wir haben schon einen IT-Dienstleister und ein KIS-Wartungsvertrag — reicht das nicht?

Wie lange dauert eine vollständige Implementierung aller vier Services?

Wie lange dauert eine vollständige Implementierung aller vier Services?

Was kostet das Gesamtpaket für eine Klinik?

Was kostet das Gesamtpaket für eine Klinik?

Wie sieht der NIS2-Nachweis in der Praxis aus?

Wie sieht der NIS2-Nachweis in der Praxis aus?

Kann Awareness-Training im Schichtbetrieb überhaupt funktionieren?

Kann Awareness-Training im Schichtbetrieb überhaupt funktionieren?

Wo werden klinische Daten gespeichert?

Wo werden klinische Daten gespeichert?

KOSTENLOSES RISK ASSESSMENT

30 Minuten. Ein ehrliches Bild Ihrer Sicherheitslage.

Jedes Gespräch beginnt mit einem kostenlosen Risk Assessment — 30 Minuten, keine Verpflichtung. Sie erhalten im Anschluss einen schriftlichen Report mit Ihrem Cybersecurity-Reifegrad, Risikobereichen und Sofortmaßnahmen.

Assessment jetzt buchen

Assessment jetzt buchen

Anrufen: +49 30 863283641

Anrufen: +49 30 863283641

KOSTENLOSES RISK ASSESSMENT

30 Minuten. Ein ehrliches Bild Ihrer Sicherheitslage.

Jedes Gespräch beginnt mit einem kostenlosen Risk Assessment — 30 Minuten, keine Verpflichtung. Sie erhalten im Anschluss einen schriftlichen Report mit Ihrem Cybersecurity-Reifegrad, Risikobereichen und Sofortmaßnahmen.

Assessment jetzt buchen

Assessment jetzt buchen

Anrufen: +49 30 863283641

Anrufen: +49 30 863283641