Verein zur Förderung technischer Sicherheit und digitaler Resilienz i. G.
VTDR

KRITIS - 3.0

Das Framework welches neue Maßstäbe in der Cybersicherheit setzt.

Der Junge, der die Lichter ausmachte

1. Unsichtbar

Felix war einer von denen, die man übersah. Er saß im hintersten Winkel der Klasse, die Kapuze tief im Gesicht, das matte Licht seines alten Laptops wie ein zweiter Mond in seinen Augen. Während die anderen lachten, scrollten, posteten, rechnete er – nicht in Noten, sondern in Millisekunden. 

Er rechnete, wie lange ein Server antwortete, bevor er ins Stolpern geriet. Er zählte, wie oft ein Formular nachgab, wenn niemand hinsah. Die Schule langweilte ihn. Formeln, Regeln, Vokabeln – zu starr. Die Welt hinter dem Bildschirm dagegen war lebendig. Sie reagierte. Sie atmete. Und sie konnte versagen.

Felix- der Junge, der die Lichter ausmachte

Man muss nicht stark sein, um Macht zu haben, dachte er. Man muss nur wissen, wo alles zusammenhält.

2. Der erste Impuls

Es begann, als seine Mutter weinend nach Hause kam. Das Krankenhaus, in dem sie arbeitete, hatte wegen einer IT-Störung alle Systeme abgeschaltet. Patientenakten weg, Termine gelöscht, Geräte im Leerlauf.

„Sie sagen, es war irgendeine ausländische Gruppe“, flüsterte sie. „Aber es hätte jeder sein können.“

Felix hörte zu und fühlte eine seltsame Mischung aus Faszination und Wut. Wie konnte ein System, das über Leben und Tod entschied, so schwach sein? Er wollte nicht zerstören. Er wollte verstehen.

3. Das Projekt

Nachts, wenn seine Eltern schliefen, wurde sein Kinderzimmer zur Kommandozentrale. Drei Bildschirme flackerten, Lüfter summten wie ein ruhiger Herzschlag. Er schrieb ein Programm, das nur beobachtete: keine Passwörter, kein Eindringen – nur Hinsehen.

Er nannte es Kassandra. Wie die Seherin, die Unheil erkannte, dem niemand Glauben schenkte. Kassandra kartierte Arztpraxen, Kliniken, Apotheken. Sie sah offene Türen, vergessene Fenster, morsche Treppen der Vernetzung. Die Zahlen waren kalt, aber die Bedeutung war heiß: Das sind keine Systeme, das sind Kartenhäuser, dachte er.

4. Der Auslöser

An einem grauen Sonntag entdeckte er eine zentrale Schaltstelle – unauffällig, aber überall verbaut, wie ein stiller Knoten in einem Netz. Ein falscher Impuls, und die Kommunikation geriet ins Stocken. In seiner Simulation blieb alles theoretisch. Einmal, aus Neugier, setzte er den Impuls „in echt“. Für Sekunden nur.

Die Welt hielt den Atem an.

Server wechselten in Wartemodus, Diagnosesysteme standen, Rezeptplattformen gaben „Verbindungsfehler“ aus. Auf seinem Bildschirm blinkten Meldungen wie Herzmonitore. Er zog den Stecker. Zu spät. Nicht sein Code, sondern die Kettenreaktion der Abhängigkeiten hatte alles in Bewegung gesetzt.

5. Der Tag, an dem niemand Medikamente bekam

Am Morgen darauf: Chaos. Arztpraxen ohne Zugriff auf Akten. Apotheken, die keine Rezepte prüfen konnten. Kliniken, die auf Papier umstellten, als hätte man die Uhr um Jahrzehnte zurückgedreht.

„Landesweite IT-Störung im Gesundheitswesen“, meldeten die Nachrichten. „Ursache unklar.“

Felix sah es im Fernsehen, während seine Mutter hektisch telefonierte. Niemand wusste, wer dahintersteckte. Er auch nicht mehr. Er hatte nichts zerstört. Er hatte sichtbar gemacht, was schon längst auf der Kippe stand.

6. Der Junge, der zu weit ging

Polizei, Behörden, Krisenstäbe – das ganze Land suchte nach einem Phantom. Felix schaltete seine Geräte aus. Doch in seinem Kopf summte es weiter, als suche das Netz nach ihm.

Wenn keiner zuhört, muss man dann schreien?, fragte er sich. Er hatte geschrien, ohne Stimme, und eine Branche zum Stillstand gebracht. Und damit Menschen gefährdet, die er nie verletzen wollte.

7. Die Erkenntnis

Als es an der Tür klopfte, waren es keine Handschellen, sondern Fragen. Zwei Anzüge, wenige Worte. Sie wussten genug. Man brachte ihn an einen Ort, an dem Erwachsene mit ihm redeten, als wäre er ein feinmechanisches Gerät, das man verstehen wolle.

„Warum hast du das getan?“

Felix sah auf seine zitternden Hände. „Ich wollte sie warnen. Ich wollte, dass sie endlich hinschauen.“

„Und? Haben sie hingeschaut?“

Er nickte kaum merklich. „Jetzt schon.“

Es folgten Ausschüsse, Kommissionen, Leitfäden. Man sprach von „Resilienz“, „Verantwortung“ und „Sorgfaltspflichten“. Niemand sprach vom Jungen. Sein Name blieb ungenannt, sein Programm wurde aus Systemen gelöscht.

Doch manchmal, spät in der Nacht, flackert irgendwo ein Server. Eine einzelne Zeile erscheint, bevor er neu startet:

„Schützt, was euch schützt.“

IT-Sicherheit im deutschen Gesundheitswesen

Die vorliegenden Analysen des KRITIS Frameworks 2025 zeigen deutlich, dass ein großer Teil der digitalen Infrastruktur im deutschen Gesundheitswesen verwundbar ist. Von den untersuchten Einrichtungen weisen über 50 % der Arztpraxen und rund 65 % der Apotheken mindestens eine sicherheitsrelevante Schwachstelle auf. Besonders häufig betroffen sind veraltete Softwarekomponenten, fehlende Sicherheits-Header und unsichere Verschlüsselungen.

Diese Daten belegen, dass die IT-Sicherheit in vielen Bereichen des Gesundheitssektors nicht dem kritischen Schutzbedarf entspricht, den Patientendaten und medizinische Kommunikation erfordern. Die durchschnittliche Zeitspanne bis zur Behebung bekannter Schwachstellen beträgt derzeit rund 600 Tage – ein Zeitraum, in dem sensible Systeme potenziell angreifbar bleiben.

Trotz dieser alarmierenden Zahlen ist ein vollständiger Zusammenbruch des Gesundheitssystems – wie in der fiktionalen Geschichte über Felix geschildert – nach heutigem Stand nicht realistisch. Kliniken, Arztpraxen und Apotheken verfügen über interne Netzsegmente, Notfallprozesse und Offline-Mechanismen, die eine grundlegende medizinische Versorgung auch bei Cyberstörungen sicherstellen.

Realistisch und empirisch belegt ist jedoch ein anderes Risiko: temporäre, flächendeckende Ausfälle digitaler Dienste wie Terminbuchungssysteme, Online-Rezeptportale oder Kommunikationsschnittstellen. Solche Störungen können bereits heute erhebliche organisatorische Folgen haben und zeigen, dass das deutsche Gesundheitswesen dringend eine stärkere Priorisierung von IT-Sicherheit, standardisierten Schutzmaßnahmen und kontinuierlichem Schwachstellenmanagement benötigt.

Quellen: KRITIS Framework 

Risikoabschätzung – Gesundheitssektor Deutschland

Risikoabschätzung – Gesundheitssektor Deutschland
Risikoabschätzung – Gesundheitssektor Deutschland
  • 50,8 % der untersuchten Arztpraxis-Domains weisen mindestens eine dokumentierte Sicherheitslücke auf.
  • 65,4 % der Apotheken-Domains zeigen mindestens eine verwundbare Komponente.
  • 4,9 % der untersuchten Systeme enthalten Remote-Code-Execution-Schwachstellen (RCE).
  • 21,7 % der Systeme nutzen veraltete SSL- oder TLS-Konfigurationen.
  • 38,6 % der Domains verfügen über keine vollständige Content-Security-Policy.
  • 29,1 % der Systeme zeigen Cross-Site-Scripting-(XSS)-Vektoren.
  • 17,3 % der Server setzen unsichere oder abgelaufene Zertifikate ein.
  • 23,5 % der untersuchten Webinstanzen nutzen veraltete Plug-ins mit bekannten CVEs.
  • 59,2 % der Systeme weisen unzureichende Header-Sicherheitskonfigurationen auf.
  • ≈ 600 Tage durchschnittliche Patch-Latenz (entspricht ~1,6 Jahren ohne Aktualisierung).

Datenbasis: KRITIS Framework

Transparenz und Verantwortung

Unsere Analysen zur IT-Sicherheitslage im deutschen Gesundheitswesen haben wir nach Abschluss der Untersuchungen mit den zuständigen Dachverbänden und Fachinstitutionen geteilt, um eine koordinierte Bewertung und mögliche Handlungsempfehlungen auf übergeordneter Ebene zu ermöglichen. Ziel ist es, die Aufmerksamkeit für strukturelle Schwachstellen in den digitalen Systemen von Arztpraxen, Kliniken und Apotheken nachhaltig zu erhöhen und sektorweite Sicherheitsmaßnahmen anzustoßen.

Aufgrund des Umfangs der Erhebung – mit mehreren tausend erfassten Domains – sind wir jedoch nicht in der Lage, jede einzelne betroffene Einrichtung direkt zu informieren. Eine individuelle Benachrichtigung aller kompromittierbaren Systeme würde die vorhandenen personellen und technischen Ressourcen bei weitem übersteigen. Stattdessen setzen wir auf eine zentrale Weitergabe unserer Ergebnisse an die zuständigen Verbände, Institutionen und Sicherheitsstellen, damit diese die Informationsverteilung in den jeweiligen Strukturen übernehmen können.

Unser Anliegen bleibt, durch faktenbasierte Analysen ein Bewusstsein für die reale Bedrohungslage zu schaffen und konstruktiv dazu beizutragen, dass IT-Sicherheit im Gesundheitswesen als systemrelevantes Thema verstanden und entsprechend behandelt wird.

IT-Sicherheitslage - Auswertung

Cybersicherheitslage Apothekenbranche
Cybersicherheitslage Arztpraxen