Die USA schwenken von freiwilligen Richtlinien zu strikten Vorgaben um – ausgelöst durch einen massiven Cyberangriff auf ein Universitätsklinikum. Der Senat will noch diese Woche ein Gesetz auf den Weg bringen, das Kliniken zu modernen Sicherheitsstandards verpflichtet.
Angriffe auf sensible Infrastrukturen zeigen, wie verwundbar Organisationen ohne moderne Schutzkonzepte sind. Dieser Experten-Report enthüllt effektive Strategien, mit denen sich Unternehmen gegen Cyberkriminelle wappen, ohne dass die Budgets explodieren. Effektive Strategien gegen Cyberkriminelle entdecken
Klinik-Betrieb lahmgelegt: Ransomware-Angriff als Weckruf
Die Dringlichkeit des politischen Handelns zeigt ein lahmgelegtes Krankenhaus. Seit dem 19. Februar kämpft das University of Mississippi Medical Center (UMMC) gegen einen schweren Ransomware-Angriff. Das IT-Netz und das elektronische Patientenakten-System Epic mussten abgeschaltet werden. Die Folgen sind gravierend: Alle 35 Kliniken des Zentrums sind geschlossen, ambulante Operationen werden gestrichen. Nur die Notaufnahmen arbeiten mit manuellen Notfallverfahren weiter.
Die Angreifer haben Lösegeld gefordert, die verantwortliche Gruppe ist noch unbekannt. FBI und Cybersicherheitsbehörde CISA sind vor Ort. Experten rechnen mit Wochen bis Monaten, bis der Normalbetrieb wiederhergestellt ist. Der Fall zeigt eindrücklich: Digitale Schwachstellen gefährden direkt die Patientenversorgung.
Gesetzesvorstoß: Von Freiwilligkeit zu strikten HIPAA-Pflichten
Als direkte Reaktion auf solche Angriffe will der Senat jetzt nachlegen. Der Gesundheitsausschuss (HELP) soll am 26. Februar den Health Care Cybersecurity and Resiliency Act finalisieren. Die bipatisanische Initiative von Senator Bill Cassidy will die bisher freiwilligen Sicherheitsempfehlungen zu verbindlichen Vorgaben machen.
Das Gesetz würde das Gesundheitsministerium HHS anweisen, für alle HIPAA-regulierten Einrichtungen moderne Cybersicherheitspraktiken vorzuschreiben. Dazu gehören verpflichtend Multi-Faktor-Authentifizierung, moderne Verschlüsselung und regelmäßige Penetrationstests. Für viele Kliniken, die mit veralteter IT und knappen Budgets kämpfen, bedeutet das eine kostspielige Überholung ihrer digitalen Infrastruktur.
Epidemie der Erpressung: Daten von 140.000 Patienten gestohlen
Der Angriff in Mississippi ist kein Einzelfall. Die USA erleben eine Welle von Cyberangriffen auf das Gesundheitswesen. Erst diese Woche meldete HHS einen massiven Datendiebstahl beim Diagnostikunternehmen Vikor Scientific (jetzt Vanta Diagnostics). Die Everest-Ransomware-Gruppe erbeutete sensible Daten von fast 140.000 Personen – inklusive Zahlungsinformationen und Krankenakten.
Gleichzeitig warnen Geheimdienste vor staatlich gesteuerten Akteuren. Nordkoreanische Hacker der Lazarus-Gruppe nutzen nun die Ransomware-Variante Medusa, um US-Krankenhäuser anzugreifen. Sie mischen Spionagetaktiken mit digitaler Erpressung. Die finanziellen Schäden sind immens: Experten prognostizieren, dass die durchschnittlichen Kosten eines Datendiebstahls im Gesundheitswesen 2026 die Marke von zwölf Millionen Euro überschreiten werden.
Oft nutzen Hacker psychologische Schwachstellen der Mitarbeiter aus, um Schadsoftware in interne Netze einzuschleusen. Dieser kostenlose Experten-Guide zeigt in 4 Schritten, wie Sie Ihr Unternehmen wirksam vor Phishing-Attacken und CEO-Fraud schützen. Kostenlosen Anti-Phishing-Guide herunterladen
Paradigmenwechsel: Von der Reaktion zur Resilienz
Die Krise erzwingt ein grundsätzliches Umdenken. Bislang wurde Cybersicherheit in Kliniken oft als reines IT-Thomas behandelt. Doch die Angriffsfläche hat sich vergrößert: Immer häufiger werden Drittanbieter wie Abrechnungsdienstleister zum Einfallstor. Ein kompromittierter Partner kann Dutzende Kliniknetze lahmlegen.
Behörden wie die National Security Agency drängen daher auf die Einführung einer Zero-Trust-Architektur. Dieses Sicherheitsmodell geht davon aus, dass Bedrohungen bereits im Netzwerk existieren, und verlangt eine fortlaufende Überprüfung aller Nutzer und Geräte. Zusammen mit den geplanten gesetzlichen Vorgaben soll so eine widerstandsfähige Infrastruktur aufgebaut werden – nicht nur nach einem Angriff reagiert.
Ausblick: Das Ende der Selbstregulierung
Für das US-Gesundheitswesen steht eine transformative Phase bevor. Sollte das Gesetz verabschiedet werden, müssen Kliniken und ihre Partner mit straffen Fristen für die Umsetzung rechnen. Der Druck kommt auch von den Bundesstaaten: In Maine etwa müssen Krankenhäuser bereits jährliche Cybersicherheitspläne vorlegen.
Die Ära der freiwilligen Selbstverpflichtung im Gesundheitswesen geht zu Ende. 2026 könnte zum Wendepunkt werden – hin zu einem hochregulierten Ökosystem, in dem digitale Widerstandsfähigkeit denselben Stellenwert hat wie klinische Hygiene. Die unmittelbare Priorität bleibt zwar die Bewältigung akuter Angriffe wie in Mississippi. Die langfristige Richtung ist jedoch klar: Sicherheit first.
