Eine aktuelle Untersuchung offenbart gravierende Sicherheitslücken bei vernetzten Medizingeräten (Internet of Medical Things, IoMT) in Gesundheitseinrichtungen. Die Analyse von über zwei Millionen Geräten in 45 Krankenhaus-Netzwerken zeigt, dass nur etwa die Hälfte der Geräte als klassische IT-Systeme einzustufen sind. Ein Drittel sind IoT-Geräte, weitere fünf Prozent spezifische IoMT-Geräte - durchschnittlich 2.500 IoMT-Geräte pro Einrichtung.
Aktuelle Forschungsergebnisse zeigen, dass 45 Prozent der öffentlich erreichbaren DICOM-Server Verbindungen zur Patientendatenabfrage ohne Authentifizierung akzeptieren. In der EMEA-Region sind in Deutschland die meisten DICOM-Server im Einsatz.
(Bild: Forescout)
Die Forscher von Forescout Vedere Labs identifizierten für die Studie „Unveiling the Persistent Risks of Connected Medical Devices“ 88 verschiedene IoMT-Gerätetypen von 306 Herstellern. Etwa 50 Prozent der IoMT-Geräte sind Kommunikationssysteme und medizinische Workstations, ein Viertel entfällt auf Patientenmonitore und Infusionspumpen. Das restliche Viertel verteilt sich auf 84 weitere Funktionen wie Bildgebungssysteme und Laborgeräte. Diese heterogene Landschaft wird von 110 verschiedenen Betriebssystem-Versionen gesteuert, wobei Windows mit 52 Prozent dominiert – allerdings verfügen nur zehn Prozent der IoMT-Geräte über aktive Antiviren-Software.
Medizinische Bildgebung ist ein kritischer Angriffspunkt
Besonders problematisch ist die steigende Zahl exponierter DICOM-Server (Digital Imaging and Communications in Medicine). Diese für medizinische Bildgebung genutzten Systeme verzeichneten seit 2017 einen Anstieg der Internetexposition um 246 Prozent. Allein in den letzten zwei Jahren wuchs die Zahl um 27,5 Prozent auf über 4.000 Systeme weltweit. Die USA führt diese Statistik deutlich an, gefolgt von Indien, Deutschland, Brasilien, Iran und China.
Um das Bedrohungspotenzial zu analysieren, implementierten die Forscher einen Honeypot, der ein medizinisches Bildgebungsgerät simulierte. In einem Jahr wurden 1,6 Millionen Angriffe registriert – durchschnittlich alle 20 Sekunden einer. Etwa 23.000 Zugriffsversuche zielten speziell auf den DICOM-Server, davon waren 8.633 valide DICOM-Interaktionen. 61 Anfragen versuchten gezielt, Patienteninformationen abzurufen.
Während theoretisch auch physische Angriffe auf Patienten über manipulierte Medizingeräte möglich wären, zeigt die Praxis: Cyberkriminelle haben es vorrangig auf sensible Patientendaten abgesehen. Die Analyse des US-amerikanischen HHS-Meldeportals belegt einen dramatischen Anstieg von Hacking-Vorfällen im Gesundheitswesen – von nahezu null auf 80 Prozent aller gemeldeten Datenpannen innerhalb von 15 Jahren. 2023 gab es durchschnittlich 1,6 größere Datenlecks pro Tag, die jeweils etwa 200.000 Patienten betrafen.
Die Untersuchung deckte zahlreiche Sicherheitslücken auf, die Angreifer ausnutzen könnten. Besonders kritisch ist die weit verbreitete "BlueKeep"-Schwachstelle (CVE-2019-0708) in Microsoft Windows, die eine Remote-Code-Ausführung ermöglicht. Auch die als "KRACK" bekannten WiFi-Schwachstellen (CVE-2017-13077 bis 13088) gefährden die Vertraulichkeit der Kommunikation. Bei spezifischen Medizingeräten fallen vor allem Standard-Zugangsdaten als Sicherheitsrisiko auf, etwa bei BD Pyxis Medikamentenautomaten, Philips PageWriter EKG-Geräten und Baxter Sigma Spectrum Infusionspumpen.
Aktuelle Forschungsergebnisse zeigen, dass 45 Prozent der öffentlich erreichbaren DICOM-Server Verbindungen zur Patientendatenabfrage ohne Authentifizierung akzeptieren. Ende 2023 waren auf diese Weise 59,5 Millionen sensible Datensätze potenziell zugänglich - davon 16 Millionen mit persönlichen Identifikationsdaten und 43,5 Millionen mit geschützten Gesundheitsinformationen. Besorgniserregend ist auch, dass viele Server das Hochladen manipulierter Bilder ermöglichen, was theoretisch zur Einschleusung falscher Diagnosen missbraucht werden könnte.
Handlungsempfehlungen für Gesundheitseinrichtungen
Die Experten empfehlen ein mehrstufiges Vorgehen zur Risikominimierung:
1. Vollständige Inventarisierung und Klassifizierung aller Assets, um veraltete oder nicht patchbare Systeme zu identifizieren und entsprechend zu segmentieren
2. Strikte Limitierung externer Kommunikationswege durch systematisches Mapping der Netzwerkflüsse
3. Implementierung effektiver Netzwerksegmentierung basierend auf Geräteidentität, Risikoprofil und Compliance-Anforderungen
4. Kontinuierliches Monitoring des Netzwerkverkehrs auf verdächtige Pakete, die bekannte oder neue Schwachstellen ausnutzen könnten
Für die konkrete Umsetzung dieser Maßnahmen können Gesundheitseinrichtungen auf verschiedene Leitfäden zurückgreifen. Das NIST bietet spezifische Handreichungen zur Absicherung einzelner Gerätetypen wie Infusionspumpen und PACS-Systeme. Zusätzlich hat die CISA 2023 einen umfassenden Leitfaden zur Risikominimierung im Gesundheitssektor veröffentlicht.
Besonderes Augenmerk sollte auf Legacy-Systeme gelegt werden, die sich nicht ohne weiteres aktualisieren oder ersetzen lassen. Hier ist eine strikte Netzwerksegmentierung unerlässlich, um diese Geräte von kritischer Infrastruktur zu isolieren und nur die notwendigsten Kommunikationswege zuzulassen.
Das gesamte Gesundheitssystem muss sich proaktiv absichern
Die Studie verdeutlicht, dass vernetzte Medizingeräte weiterhin ein erhebliches Sicherheitsrisiko darstellen. Die Kombination aus heterogener Gerätelandschaft, Legacy-Systemen und sensitiven Daten erfordert ein systematisches Sicherheitskonzept. Gesundheitseinrichtungen müssen diese Herausforderung proaktiv angehen – sowohl zum Schutz der Patientendaten als auch zur Gewährleistung eines sicheren Krankenhausbetriebs. Die steigende Zahl erfolgreicher Cyberangriffe zeigt, dass hier noch Nachholbedarf besteht.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/19/1d1934d9186ce6069c917f0ec4b52751/0129652501v2.jpeg "Bankverbindungen, Identitäten von Kontoinhabern, Adressen und teilweise auch Steueridentifikationsnummern sind von dem Cyberangriff auf die FICOBA betroffen. Den Kontostand einzusehen oder Überweisungen zu tätigen war dem Angreifer nicht möglich. (Bild: Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/34/30342a01b707cd031089a6d56360e41c/0129495534v2.jpeg "Stromnetze, Flughäfen, Krankenhäuser und Kommunen – die kritische Infrastruktur sowie sensible Daten müssen im Fall eines Angriffs besser geschützt werden. (Bild: © Robert – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/b5/afb53acb0b4d5f5e9a530bcb05955e38/0129543109v2.jpeg "KI-Cyberbedrohungen werden oft überschätzt. Die wahre Gefahr liegt im Versagen der internen KI-Governance, wo unsichere API-Zugänge und fehlende Regelwerke Angreifern Tür und Tor öffnen. (Bild: © btiger - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/12/2d126cbfb75d9abf36155c26074161d9/0129581148v2.jpeg "Der Deutschland-Stack ist eine nationale, souveräne Technologie-Plattform, die als Grundlage für die digitale Modernisierung von Bund, Ländern und Kommunen in Deutschland dient und bis 2028 ein sicheres, interoperables Ökosystem für digitale Anwendungen schaffen soll. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/32/db/32db04cde917090220c3ae1c95ba38d2/0129686939v2.jpeg "Das Hamburger E-Mail-Security-Startup Conbool wurde ins Karlsruher CyberLab-Accelerator-Programm aufgenommen und will dort seine KI-basierte Erkennungstechnologie gegen Phishing und Betrugsversuche weiterentwickeln. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/7d/f77d84bf02341e583eeeebf21c83cf83/0129549300v2.jpeg "Tails 7 ist ein anonymes Live-System mit Zwangsrouting über Tor. Es läuft auf dedizierter Hardware oder virtualisiert unter Windows und verwirft ohne Persistent Storage alle Änderungen beim Neustart. (Bild: © igor.nazlo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/c4/76c4fb4c615fdfbda2b123cd7700352f/0129488424v1.jpeg "Der Q-Day kommt zwischen 2029 und 2035. Harvest Now Decrypt Later-Angriffe gefährden Daten aber schon heute. Das neue eBook „Die Quanten-Bedrohung“ zeigt die Migration zu quantensicherer Verschlüsselung. (Bild: © Patrick Helmholz - AdobeStock / Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/ef/b1/efb1dc214240ce7ebf411b8d8a059a75/0128892977v1.jpeg "Die 6G-Forschungsroadmap positioniert 6G nicht als evolutionären Mobilfunkstandard, sondern als Plattform für KI-basierte, sicherheitskritische und industriell relevante Echtzeitsysteme. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7a/51/7a51d905d808a02460533d637b082fa0/0128408277v1.jpeg "Verantwortung statt Blindflug. Wer Zuständigkeiten klärt, sichert Sicherheit, Compliance und Performance – und gewinnt Sichtbarkeit. Professionelle Administration kann aus Websites belastbare, wachstumsfähige Infrastrukturen machen. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/9f/b19f3051a921c1675f978918eb036c8f/0128401345v1.jpeg "Tanja Göbel, Commercial Director bei RETN in der DACH-Region, erlebt täglich, wie Betreiber in Europa ihre Routen, Strategien und Partnerschaften neu denken, um in einer veränderten geopolitischen Landschaft verbunden zu bleiben. (Bild: Retn)")
:quality(80)/p7i.vogel.de/wcms/63/a0/63a08ef8cf2f357846891924a0c362b5/0129422042v1.jpeg "Active Directory Passwort-Resets explodieren insbesondere bei hybrider Arbeit. Sichere Self-Service-Passwort-Reset-Tools steuern dem entgegen. (Bild: Specops)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/21/2c/212c7d8b33be0a9ff8df13c56ffd4cab/0117618189.jpeg "BSI-Präsidentin Claudia Plattner: „Die gute Nachricht ist: Viele der Sicherheitsmängel, die wir festgestellt haben, können schnell und ressourcenschonend behoben werden.\" (©BMI/ Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/42/6a/426a5bf012bda682a817773a027864c3/0120141399v2.jpeg "Was macht Gesundheitsdaten so besonders? (© chayantorn - stock.adobe.om / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/06/3f/063fbfed008bbb18966cd305962cae80/0120141605v2.jpeg "Beim Man-in-the-Middle (MITM)-Angriff positionieren sich Cyberkriminelle zwischen zwei Parteien, um ausgetauschte Daten zu verändern oder zu klauen. (© Lila Patel - stock.adobe.com / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1575200/1575275/original.jpg "Cyberkriminelle entwickeln aktuell Exploits für die RDP-Schwachstelle Bluekeep unter Microsoft Windows. (©Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/1a/3f1a0060c287b2fb87b8d1bff733375a/0120141609v2.jpeg "Weil Gesundheitsdaten umfangreich und personenbezogen sind, lassen sich hierfür im Darknet hohe Beträge erzielen. (© studio v-zwoelf - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/7b/707b3190114280af54fbbb67e3931566/0120141623v2.jpeg "Sieben Punkte für eine gelungene Absicherung der Gesundheitsdaten. (© grey - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/49/0a/490a53dd6fc7894ec3f2af60d9fc5f8f/0124805988v2.jpeg "Chinesische Cyberkriminelle nutzen gefälschte Philips DICOM-Viewer für Cyberangriffe auf Gesundheitseinrichtungen. (Bild: © Spectral-Design - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/4d/4f4d7bac5c34eec28c9d80758e4ff9a1/0126093933v2.jpeg "MRT, CT oder andere bildgebende Untersuchungen erzeugen schützenswerte Daten. (Bild: © Валерия Стоганенко – stock.adobe.com)")