Ransomware in der Klinik: Die ersten 24 Stunden, die ersten 72 Stunden, der erste Monat

Krankenhäuser sind 2026 die am stärksten betroffene KRITIS-Branche in Deutschland. Cyberangriffe auf Kliniken haben sich seit 2020 mehr als verdreifacht; Ransomware ist die mit Abstand häufigste Angriffsform. Dass es passiert, ist nicht mehr die Frage. Die Frage ist: was tun, wenn es passiert.

Diese Roadmap ist für Klinikgeschäftsführungen, IT-Leitungen, Datenschutzbeauftragte und Krisenstabsverantwortliche gedacht. Sie zeichnet den Ablauf nach, der sich in echten Vorfällen bewährt hat — von der ersten verdächtigen Bildschirmmeldung bis zum BSI-Abschlussbericht nach 30 Tagen. Nicht als Theorie, sondern als operatives Drehbuch.

Drei Vorbemerkungen. Erstens: Wer diese Roadmap erst während eines laufenden Vorfalls liest, hat verloren. Sie funktioniert nur, wenn die Strukturen — Krisenstab, Eskalationskette, Meldevorlagen, Backup-Strategie — vorher etabliert sind. Zweitens: Ein Cyberangriff im Krankenhaus ist kein IT-Problem. Es ist eine Versorgungskrise mit IT-Ursache. Die Behandlung läuft über Krisenstab, nicht über Helpdesk. Drittens: NIS2 hat den Druck deutlich erhöht. § 32 BSIG schreibt eine 24-Stunden-Erstmeldung an das BSI vor, eine 72-Stunden-Bewertungsmeldung und einen Abschlussbericht nach 30 Tagen. Wer diese Fristen verpasst, riskiert Bußgelder bis 10 Mio. € und persönliche Haftung der Geschäftsführung nach § 38 BSIG.

Die ersten 30 Minuten — Erkennen und Eindämmen

Ein typischer Beginn: Eine Mitarbeiterin der Aufnahme kann das KIS nicht mehr aufrufen. Aus der Radiologie kommt der Anruf, dass die Bilder nicht laden. Die IT-Hotline bekommt parallel mehrere Tickets aus verschiedenen Stationen. Was zunächst nach einem Server-Problem aussieht, entpuppt sich nach 15 Minuten als verschlüsselte Dateien.

Diese ersten 30 Minuten entscheiden, ob der Vorfall zu einer kontrollierten Krise oder zu einem flächendeckenden Ausfall wird. Drei Schritte sind nicht verhandelbar:

1. Schnelle Triage durch IT-Verantwortliche. Sind es einzelne Endgeräte oder breitet sich das aus? Ist nur das KIS betroffen oder auch Active Directory, PACS, LIS, Apothekensystem? Erste Indikatoren für Ransomware: Dateien mit ungewöhnlichen Endungen (.lockbit, .ryuk, .conti), Lösegeldnotizen in Verzeichnissen, ausgeschaltete Endpoint-Detection, ungewöhnliche Aktivitäten in Active Directory-Logs.

2. Sofortige Netzwerk-Isolierung der betroffenen Segmente. Verseuchte Workstations vom Netz trennen — physisch wenn möglich, sonst über Switch-Port-Disable oder Firewall-Regel. Kritische Frage: Hat der Angreifer bereits Domain-Admin-Rechte? Wenn ja, ist die ganze Domäne kompromittiert. In dem Fall: alle Server vom Netz, Active Directory ausschalten, Wiederanlauf erst nach forensischer Bewertung.

3. Krisenstab einberufen. Geschäftsführung, IT-Leitung, Ärztliche Leitung, Pflegedienstleitung, Datenschutz, Pressestelle. Im Idealfall vorab definierte Liste mit privaten Telefonnummern und Stellvertretungen. Krisenstab-Raum aktivieren — physisch, nicht digital, weil die digitalen Tools möglicherweise selbst kompromittiert sind.

Was in den ersten 30 Minuten nicht passiert: Wiederherstellung, Forensik, Lösegeld-Verhandlung, externe Kommunikation. Nur drei Dinge: erkennen, eindämmen, eskalieren.

Die ersten 24 Stunden — Triage, Krisenstab, BSI-Erstmeldung

Stunde 1 bis 4: Schadensaufnahme. Welche Versorgungsprozesse sind betroffen? Notaufnahme, OP, Intensivstation, Labor, Bildgebung, Apotheke, Abrechnung, Patientenidentifikation. Welche Systeme stehen still? KIS, PACS, LIS, RIS, AD, Mail, Telefonie, Aufzugsteuerung, Klima, Zutrittskontrolle. Welche Geräte sind kompromittiert versus präventiv ausgeschaltet? Welche Backups sind verfügbar und nicht selbst betroffen?

Parallel: Übergang zum manuellen Betrieb. Die berühmten Papierblätter aus der Schublade. Patientenidentifikation per Armbändchen mit Aufnahmenummer. Medikation per handgeschriebener Anordnung. Befunde per Telefon und Fax. Das Lukaskrankenhaus Neuss arbeitete 2016 nach einem Ransomware-Angriff wochenlang im manuellen Modus — ohne Patient:innen­verluste, weil der Krisenstab funktionierte und die Notfallmappe griffbereit war.

Stunde 4 bis 12: Externe Unterstützung holen. Drei Anrufe sind kritisch:

Externe IT-Forensik. Wer keinen Vertrag mit einem 24/7-Forensik-Dienstleister hat, sollte spätestens jetzt anrufen — und damit rechnen, dass im Krisenfall Stunden auf eine Rückmeldung gewartet wird. Anbieter mit Healthcare-Erfahrung sind rar; die wichtigen Unternehmen vorab kennen, Notfallnummer in der Krisenstabs-Mappe.

Datenschutzbeauftragte:r. Parallel zur BSI-Meldung läuft die DSGVO-Meldepflicht nach Art. 33 DSGVO. Bei Verdacht auf unbefugten Zugriff auf oder Diebstahl von Patientendaten muss die zuständige Datenschutzaufsicht binnen 72 Stunden informiert werden. Bei hohem Risiko zusätzlich die Betroffenen selbst nach Art. 34 DSGVO.

Versicherer. Cyberversicherung anrufen, Schadenmeldung sofort. Viele Policen verlangen Meldung innerhalb 24 Stunden, sonst entfällt die Deckung. Versicherer haben oft eigene Forensik-Pools, die bereits durch die Police abgedeckt sind — das spart Verhandlungen mit unbekannten Anbietern in der akuten Phase.

Stunde 12 bis 24: BSI-Erstmeldung. § 32 BSIG fordert die Erstmeldung innerhalb 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls. „Erheblich" ist hier bewusst nicht eng definiert — bei Ransomware in einem Krankenhaus erfüllt der Vorfall die Schwelle praktisch immer.

Die Meldung erfolgt über das BSI-Meldeportal (Mein-Unternehmenskonto, MUK). Inhalt knapp:

• Allgemeine Beschreibung des Vorfalls

• Zeitpunkt der Erkennung

• Betroffene Systeme und Versorgungsbereiche

• Vermuteter Vektor (sofern bereits bekannt)

• Bisherige Eindämmungs-Maßnahmen

• 24/7-Kontaktstelle für Rückfragen

Wer die Erstmeldung nicht parat hat, schreibt sie unter Druck. Vorbereitete Templates sparen 30 bis 60 Minuten — Zeit, die im Krisenstab woanders dringender gebraucht wird.

Stunde 24 bis 72 — Bewertung, Forensik, Bewertungsmeldung

Tag 2: Vollständige Eindämmung und Forensik-Start. Die Forensik-Spezialisten sind vor Ort oder remote angeschlossen. Ihre erste Aufgabe: Beweise sichern, ohne den Beweisinhalt zu verändern. Disk-Images verseuchter Systeme, Logs aus Firewall, Active Directory, Mail-Server, Endpoint-Detection-Tools. Das Sammeln dieser Logs vor dem Wiederanlauf ist nicht verhandelbar — später ist es zu spät.

Parallel laufen drei kritische Entscheidungen:

Lösegeld zahlen — ja oder nein? In Deutschland ist die Zahlung nicht per se illegal, kann aber bei nachgewiesenem Bezug zu sanktionierten Gruppen (z. B. über EU-Sanktionslisten erfasst) strafbar werden. Das BKA rät grundsätzlich ab. Versicherer übernehmen Lösegeld-Zahlungen oft nicht oder nur unter strengen Bedingungen. Praktisch: Selbst nach Zahlung ist die vollständige Wiederherstellung nicht garantiert — Decryptoren sind oft fehlerhaft, Daten teilweise unbrauchbar, und Doppelerpressungen (Decrypt-Schlüssel plus Drohung mit Datenveröffentlichung) sind nicht selten.

Wiederherstellungs-Strategie. Aus Backups oder neu aufsetzen? Backups müssen vor Wiederanschluss als sauber verifiziert werden — manche Ransomware-Familien sitzen wochenlang im Netz und infizieren auch ältere Backups. Sauberer Wiederanlauf erfordert oft neue Hardware oder vollständige Neuinstallation aus zuverlässig sauberen Images.

Externe Kommunikation. Patient:innen, Angehörige, einweisende Ärzt:innen, lokale Medien. Pressestelle koordiniert, freigegebene Texte gehen über die Geschäftsführung. Wichtig: Klare Kommunikation, was funktioniert (Notfallversorgung läuft, Notaufnahme erreichbar) und was nicht (geplante OPs verschoben, Termine verlegt). Falsche Beschwichtigung rächt sich, sobald die Wahrheit sichtbar wird.

Stunde 72: BSI-Bewertungsmeldung. Inhalt:

• Detaillierte Auswirkungen auf den Versorgungsbetrieb

• Schweregrad-Einstufung

• Status der eingeleiteten Maßnahmen

• Erste Erkenntnisse zur Ursache (Initial-Vektor, Zeitleiste)

• Geschätzter Zeitrahmen für Wiederherstellung

Die DSGVO-Meldung an die zuständige Datenschutzaufsicht ist parallel fällig, sofern Patientendaten betroffen sind. Beide Meldungen passieren oft am selben Tag — separate Eingaben, separate Behörden, kein gemeinsames Verfahren.

Tag 3 bis Tag 30 — Wiederherstellung und Abschlussmeldung

Die Phase, die in der Praxis am wenigsten Beachtung findet — und am längsten dauert.

Tag 3 bis 7: Priorisierter Wiederanlauf. Reihenfolge nicht IT-getrieben, sondern versorgungs-priorisiert. Erst was Patient:innen direkt betrifft (KIS, PACS, LIS, Apotheke), dann Verwaltung. Das ist eine klinische Entscheidung, keine technische. Pro System: Wiederaufbau aus geprüften Backups oder Neuinstallation, Patches einspielen, Konfiguration härten, schrittweise wieder ans Netz, Funktionstests, Monitoring intensiviert.

Tag 8 bis 21: Stabilisierung. Das System läuft wieder, aber unter Beobachtung. Erweiterte Logs, Endpoint-Detection auf allen kritischen Geräten, häufige Backup-Tests. Die Belegschaft braucht zusätzlich Schulung — oft müssen alle Passwörter gewechselt werden, neue Workflows greifen, klare Eskalationswege gelten. Im Lukaskrankenhaus 2016 müssten alle Mitarbeitenden zu 16-stelligen Passwörtern wechseln und ein neues Sicherheitskonzept akzeptieren.

Parallel: Verbesserungs-Maßnahmen. Was hat den Angriff erst möglich gemacht? Im typischen Klinik-Vorfall sind es eine bis drei Schwachstellen: ein ungepatchter Internet-Server, eine Phishing-Mail mit Macro-Anhang, kompromittierte Wartungs-Credentials eines Dienstleisters. Diese werden geschlossen, bevor das System wieder normal läuft — nicht erst danach.

Tag 30: BSI-Abschlussbericht. Inhalt:

• Vollständige Aufarbeitung des Vorfalls

• Bestätigte Ursache (Root Cause)

• Konsequenzen — Schäden, betroffene Daten, Wiederherstellungskosten

• Lerneffekte und konkrete Anpassungen am Sicherheitskonzept

• Geplante weitere Folgeschritte

Dieser Bericht ist nicht nur Pflicht — er ist die Grundlage, falls später Bußgeldverfahren, zivilrechtliche Klagen oder Versicherungsstreitigkeiten folgen. Sorgfältig schreiben, Forensik-Bericht beilegen, von der Geschäftsführung freigeben lassen, in die ISMS-Akte aufnehmen.

Die häufigsten Fehler in den ersten Stunden

Nach realen Vorfällen wiederholen sich Muster. Vier Fehler kosten am meisten:

„Erst mal selbst gucken, ob wir das gelöst kriegen." Der Versuch, ohne Forensik weiterzumachen, vernichtet Beweise und erhöht das Risiko, dass die Ransomware wiederkommt. Bei jedem ernsthaften Verdacht: extern hinzuziehen — selbst dann, wenn am Ende kein Befund kommt.

„BSI können wir auch später melden, sind ja gerade beschäftigt." Die 24-Stunden-Frist beginnt mit Kenntnis des erheblichen Vorfalls. Sie ist nicht verhandelbar. Wer sie verpasst, riskiert Bußgelder unabhängig vom Schaden des Vorfalls selbst.

„Wir brauchen keinen Krisenstab, das macht die IT." Funktioniert nicht. Versorgungsfragen, Kommunikationsfragen, Personalfragen, Lieferantenkoordination, externe Forensik, Behördenkontakt — IT allein hat weder Mandat noch Ressourcen. Krisenmanagement im Krankenhaus ist Chefsache, ab Minute eins.

„Backups einspielen und gut ist." Backups, die im selben Active Directory verwaltet werden, sind oft selbst kompromittiert. Die meisten modernen Ransomware-Familien zerstören Backups gezielt vor der Verschlüsselung. Nur offline gespeicherte oder immutable Backups sind verlässlich — und auch die müssen vor dem Wiederanschluss verifiziert werden.

Was vor dem Vorfall passieren muss

Die operative Roadmap funktioniert nur mit Vorbereitung. Sechs Bausteine, die vorab stehen müssen:

1. Krisenstab-Struktur dokumentiert. Wer ist drin, wer vertritt, private Telefonnummern, klare Kompetenzen und Eskalationsschwellen. Aktualisierung halbjährlich, Verteilung als physische Karte an alle Krisenstab-Mitglieder.

2. Notfall-Mappe physisch verfügbar. Auf Papier, nicht im IT-System. Inhalt: Krisenstab-Liste, Forensik-Dienstleister, BSI-Kontakt, MUK-Zugang, Versicherungspolice, Mustertexte für die drei Meldungen, Aufnahme- und Behandlungsformulare für den manuellen Betrieb. Aufbewahrung an mindestens zwei voneinander unabhängigen Orten.

3. Backup-Strategie 3-2-1 mit Offline-Komponente. Drei Kopien, zwei Medientypen, eine offline oder immutable. Quartalsweise getestete Wiederherstellung, dokumentiert. Bei Hyperscaler-Backups: Multi-Faktor-Authentifizierung für Backup-Admins, getrennte Identitäten von Produktiv-AD.

4. Tabletop-Übung mindestens einmal pro Jahr. Halbtägige Simulation eines Cyberangriffs mit dem realen Krisenstab. Was funktioniert, was nicht. Schwachstellen werden in der Übung schmerzfrei sichtbar — im Echtfall sind sie teuer.

5. Forensik-Vertrag im Voraus. Stand-by-Verträge mit 24/7-Reaktionszeit. Idealerweise jährliche Test-Engagements, damit der Anbieter Ihre Umgebung kennt und nicht erst im Krisenfall die Topologie lernt.

6. Dokumentierte Eskalationsketten. Wer entscheidet was zu welchem Zeitpunkt? Wer darf das Netz vom Internet trennen? Wer kommuniziert mit Medien? Wer haftet rechtlich für welche Entscheidung? Diese Klärung muss schriftlich vorliegen und allen Beteiligten bekannt sein.

NIS2-Konformität nach § 30 BSIG verlangt nicht weniger. Krankenhäuser, die diese Bausteine nicht haben, sind nicht nur im Vorfall-Fall in Schwierigkeiten — sie sind regulatorisch angreifbar und im Bußgeldverfahren ohne Schutzschirm.

Lehren aus realen Fällen

Lukaskrankenhaus Neuss (Februar 2016). Wochenlanger manueller Betrieb nach Ransomware-Angriff. Krisenstab funktionierte, Patientenversorgung wurde aufrechterhalten. Lehre: Die Vorabplanung des manuellen Betriebs — inklusive geübter Formulare und Telefonketten — ist überlebenswichtig.

Klinikum Lippe (November 2022). Nach intensiven Verhandlungen wurden die Daten entschlüsselt. Die Frage einer Lösegeldzahlung blieb in der öffentlichen Berichterstattung umstritten. Lehre: Verhandlungsoption haben, aber nicht als Plan A einplanen — saubere Backups bleiben der Goldstandard.

Caritas-Klinik Dominikus Berlin (Februar 2024). Wiederherstellung ohne dokumentierte Lösegeldzahlung, dafür wochenlange Einschränkungen im Betrieb. Lehre: Eine saubere Backup-Strategie spart die Erpressungssumme — kostet aber Wiederanlaufzeit, die kommunikativ und operativ überbrückt werden muss.

MVZ Tirschenreuth/Kemnath (Herbst 2025). Mehrere Standorte gleichzeitig betroffen, weil eine zentrale IT-Infrastruktur kompromittiert war. Lehre: Verteilte Infrastruktur und sauber segmentierte Netze reduzieren Single Points of Failure — ein zentrales AD ohne Replikations-Trennung ist ein Single Point of Failure.

ChipSoft Niederlande (April 2026). Ein Ransomware-Angriff auf einen einzigen Software-Lieferanten legte rund 80 Prozent der niederländischen Krankenhäuser lahm. Lehre: Lieferketten-Risiko ist real und systemisch — der Cyberangriff einer Klinik kann eine Klinik treffen, die selbst alles richtig gemacht hat. Liefer­anten-Sicherheit nach § 30 Abs. 2 Nr. 4 BSIG ist daher keine Formalie.

Fazit

Ein Ransomware-Vorfall in einer Klinik ist die anspruchsvollste Krise, die das deutsche Gesundheitswesen aktuell kennt. Die operative Roadmap ist klar — 30 Minuten Eindämmung, 24 Stunden Erstmeldung, 72 Stunden Bewertung, 30 Tage Abschluss — aber sie funktioniert nur mit Vorbereitung.

Die fünf wichtigsten Hebel: dokumentierter Krisenstab, physische Notfall-Mappe, getestete Offline-Backups, Forensik-Vertrag im Stand-by, jährliche Tabletop-Übung. Wer diese fünf hat, wird einen Vorfall überstehen. Wer sie nicht hat, geht ins Risiko — finanziell, regulatorisch und reputativ.

NIS2 zieht die Schraube an. § 32 BSIG mit der 24/72/30-Tage-Logik macht Vorbereitung zur Pflicht — und die persönliche Haftung der Geschäftsführung nach § 38 BSIG sorgt dafür, dass Versäumnisse Konsequenzen haben, auch jenseits des unmittelbaren Vorfalls.

Cybersicherheit im Krankenhaus ist keine IT-Aufgabe, sondern eine Versorgungsaufgabe. Sie gehört auf die Tagesordnung der Geschäftsleitung, nicht in die Inbox des Helpdesks.

Bei Entropy CS bieten wir Managed Incident Detection & Response für Gesundheitseinrichtungen — 24/7 SOC-Team mit Healthcare-Spezialisierung, EDR/XDR-Integration, Threat Intelligence aus Healthcare-ISACs, vorbereitete Incident-Playbooks für Ransomware-Szenarien und NIS2-konforme Meldedokumentation. Unser kostenloses Risk Assessment dauert 30 Minuten und liefert eine ehrliche Bewertung Ihrer Vorfall-Bereitschaft — inklusive konkreter Lücken in Krisenstab, Backup-Strategie und Meldeprozessen.