Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im April 2026 seinen aktuellen Lagebericht zur Cybersicherheit im Gesundheitswesen veröffentlicht. Die Broschüre Cybersicherheit im Gesundheitswesen 2025 dokumentiert die Bedrohungslage für den Zeitraum Oktober 2024 bis September 2025 – und liefert erstmals auch konkrete Einblicke in die Sicherheit digitaler Pflegedokumentationssysteme. Wir haben den Bericht ausgewertet und erklären, was die Ergebnisse für Pflegeeinrichtungen, Arztpraxen und andere Leistungserbringer bedeuten.
Key Takeaways: BSI-Lagebericht Cybersicherheit im Gesundheitswesen 2025
- Das BSI erfasste im Berichtszeitraum 138 gesundheitsbezogene Sicherheitsvorfälle – bei einer ausdrücklich anerkannten Dunkelziffer, da Pflegeeinrichtungen und ambulante Versorger bislang nicht zur Meldung verpflichtet sind.
- Leistungserbringer (Krankenhäuser, Arztpraxen, Pflegeeinrichtungen) waren mit 43 Vorfällen die zweitgrößte Betroffenenkategorie – mit stabiler Fallzahl im Vergleich zum Vorjahr.
- Das BSI hat erstmals eine dedizierte Studie zur Sicherheit digitaler Pflegedokumentationssysteme durchgeführt (DiPS 2025) – und dabei Verbesserungspotenzial identifiziert.
- Vernetzte Medizinprodukte sind ein wachsendes Risiko: Das BSI empfiehlt Security by Design und Security by Default bereits in der Entwicklungsphase.
- Die ambulante Versorgung bleibt ein Dunkelfeld: Ohne NIS-2-Meldepflicht fehlt dem BSI ein vollständiges Lagebild für Praxen und Pflegedienste.
- Mit der vollständigen Umsetzung der NIS-2-Richtlinie erwartet das BSI zukünftig deutlich mehr Meldungen aus dem ambulanten Bereich – und damit eine bessere Grundlage für gezielte Schutzmaßnahmen.
Was der BSI-Bericht erfasst: 138 Vorfälle, vier Kategorien, eine Dunkelziffer
Im Berichtszeitraum vom 1. Oktober 2024 bis zum 30. September 2025 hat das BSI insgesamt 138 gesundheitsbezogene Lagebeiträge erfasst und ausgewertet. Als Lagebeitrag gilt dabei jeder Vorfall, der mindestens eines der folgenden Kriterien erfüllt: ein wichtiges Ziel im deutschen Gesundheitswesen war betroffen, deutsche Gesundheitsdaten wurden bedroht, oder es handelte sich um einen ausländischen Vorfall mit potenziellen Auswirkungen auf deutsche Interessen.
Die 138 Vorfälle verteilen sich auf vier Betroffenenkategorien:
- Telematikinfrastruktur (62 Vorfälle): Mit Abstand die größte Kategorie – ein deutlicher Anstieg gegenüber dem Vorjahreszeitraum (28 Vorfälle). Das BSI erklärt den Zuwachs mit der stark gestiegenen Nutzung von TI-Anwendungen, insbesondere E-Rezept und elektronischer Patientenakte.
- Leistungserbringer (43 Vorfälle): Krankenhäuser, Arztpraxen, Pflegeeinrichtungen und Apotheken. Die Fallzahl ist im Vergleich zum Vorjahreszeitraum (48 Vorfälle) stabil geblieben.
- Hersteller und Produkte (23 Vorfälle): Medizinprodukte, Krankenhausinformationssysteme und Praxisverwaltungssysteme. Gegenüber dem Vorjahr rückläufig, was das BSI auf eine Methodikänderung zurückführt.
- Sonstige (10 Vorfälle): Meldungen ohne direkte Zuordnung, etwa zu regulatorischen Entwicklungen oder EU-Vorhaben.
Ein zentraler Hinweis des BSI: Bei Leistungserbringern außerhalb der KRITIS-Regulierung – also der überwiegenden Mehrheit der Pflegeeinrichtungen, Arztpraxen und ambulanten Dienste – besteht bislang keine gesetzliche Meldepflicht für IT-Sicherheitsvorfälle. Das BSI geht deshalb ausdrücklich von einer erheblichen Dunkelziffer aus. Die tatsächliche Bedrohungslage dürfte damit deutlich über den erfassten 138 Vorfällen liegen.
Was die Zahlen für Pflegeeinrichtungen und Arztpraxen bedeuten
Die Kategorie „Leistungserbringer" umfasst laut BSI-Definition ärztliche Praxen, Krankenhäuser, Pflegeeinrichtungen, Apotheken, Krankenkassen und alle weiteren am Gesundheitswesen beteiligten Einrichtungen. Mit 43 erfassten Vorfällen in zwölf Monaten – also im Schnitt fast vier pro Monat – ist diese Gruppe konstant im Visier von Angreifern.
Besonders relevant für die Praxis: Das BSI weist darauf hin, dass Angreifer Arztpraxen und kleinere Versorgungseinrichtungen nicht nur als direktes Ziel angreifen, sondern auch als Zwischenetappe auf dem Weg zu größeren Systemen im Hintergrund des Gesundheitsnetzwerkes. Eine kompromittierte Praxis oder Pflegeeinrichtung kann damit zum Einfallstor für Angriffe auf verbundene Krankenhäuser, Krankenkassen oder die Telematikinfrastruktur werden.
Typische Angriffsmuster, die das BSI für den ambulanten Bereich beschreibt:
- Ransomware-Angriffe, die den Zugriff auf Patientendaten und Praxisverwaltungssysteme sperren und Lösegeld erpressen
- Datendiebstahl von sensiblen Gesundheitsdaten, die auf dem Schwarzmarkt hohe Preise erzielen
- Supply-Chain-Angriffe, bei denen Einrichtungen als Zwischenziel für Angriffe auf verbundene Systeme genutzt werden
Das BSI betont zudem: Wer als Leistungserbringer mit NIS-2-pflichtigen Einrichtungen zusammenarbeitet, kann über Lieferkettenpflichten indirekt in die Verantwortung genommen werden – auch ohne selbst direkt unter NIS-2 zu fallen.
BSI-Studie DiPS 2025: Digitale Pflegedokumentation im Sicherheitscheck
Eines der wichtigsten Ergebnisse des aktuellen Lageberichts ist die erstmalige Erwähnung der BSI-Studie DiPS 2025 – eine dedizierte Untersuchung zur Sicherheit digitaler Pflegedokumentationssysteme. Die Studie reiht sich ein in eine Serie von BSI-Projekten zur ambulanten Versorgung, darunter CyberPraxMed (Cybersicherheit in Arztpraxen), SiRiPrax (IT-Sicherheitsrichtlinie in Arztpraxen) sowie SiKIS und SiPra zu Krankenhausinformations- und Praxisverwaltungssystemen.
Was bedeutet DiPS 2025 konkret für Pflegeeinrichtungen?
Das BSI hat dabei Sicherheitseigenschaften der Softwareprodukte selbst untersucht – nicht nur die Betriebsumgebung. Das Ziel war festzustellen, ob die eingesetzten Pflegedokumentationslösungen die Sicherheit der Betriebsumgebung erhöhen oder ob sie etablierte Schutzmaßnahmen untergraben. Das BSI formuliert das Prinzip so:
„Erst wenn die Betriebsumgebung sicher ist, können auch die einzelnen Produkte sicher betrieben werden. Zudem müssen diese unterschiedlichen Produkte ihrerseits die Sicherheit erhöhen und dürfen keinesfalls etablierte Sicherheitsmaßnahmen untergraben."
Für Pflegeeinrichtungen ergibt sich daraus eine klare Handlungsempfehlung: Die Sicherheit eines Pflegedokumentationssystems wie MediFox, Vivendi oder CareCloud hängt nicht nur von der Software selbst ab, sondern davon, ob sie in einer sicher konfigurierten Betriebsumgebung läuft. Netzwerksegmentierung, Zugriffskontrollen und regelmäßige Updates sind keine optionalen Extras, sondern Grundvoraussetzung dafür, dass die Software-Sicherheitsfunktionen überhaupt wirksam werden können.
Vernetzte Medizinprodukte: Wachsendes Risiko, neue BSI-Handlungsempfehlungen
Ein eigenes Kapitel des BSI-Berichts widmet sich der Cyberresilienz vernetzter Medizinprodukte – und ist direkt relevant für alle Pflegeeinrichtungen, die intelligente Pflegebetten, Notrufsysteme, Überwachungsmonitore oder andere vernetzte Geräte einsetzen.
Das BSI stellt fest: Die potenziellen technischen Schwachstellen vernetzter Medizinprodukte unterscheiden sich nicht grundsätzlich von Schwachstellen in anderen Industrien. Die möglichen Auswirkungen aber sind gravierender – weil die Gesundheit von Menschen direkt betroffen sein kann.
Als Reaktion darauf hat das BSI die „Handlungsempfehlung für Hersteller von vernetzten Medizinprodukten" entwickelt. Der Kerngedanke ist, dass die Prinzipien Security by Design und Security by Default müssen bereits in der Entwicklungsphase umgesetzt werden – nicht erst nach dem Markteintritt. Für Betreiber, also Pflegeeinrichtungen und Krankenhäuser, bedeutet das, dass sie beim Einkauf vernetzter Geräte aktiv nach diesen Sicherheitsprinzipien fragen können und sollten.
Für den Schutz bereits im Einsatz befindlicher IoT-Pflegegeräte gilt: Da diese Geräte in der Regel keine klassischen Endpoint-Agents unterstützen, ist die Kombination aus Netzwerksegmentierung und netzwerkbasierter Anomalieerkennung (NDR) der einzig wirksame Schutzansatz.
NIS-2 und das Dunkelfeld der ambulanten Versorgung
Der BSI-Bericht macht deutlich, wie groß das Informationsdefizit bei der ambulanten Versorgung aktuell noch ist. Da Arztpraxen, Pflegedienste und die meisten Pflegeheime bislang nicht unter die KRITIS-Regulierung fallen und damit auch nicht zur Meldung von IT-Sicherheitsvorfällen verpflichtet sind, erreichen das BSI aus diesem Bereich kaum strukturierte Lageinformationen.
Mit dem NIS2UmsuCG, das am 13. November 2025 verabschiedet wurde, erwartet das BSI eine Verbesserung dieser Situation – zumindest für die Einrichtungen, die unter den neuen Anwendungsbereich fallen. Die ambulante Versorgung außerhalb der KRITIS-Schwellenwerte bleibt vorerst ein Dunkelfeld.
Was das praktisch bedeutet: Für die meisten Pflegeheime und ambulanten Pflegedienste gilt NIS-2 nicht direkt. Aber DSGVO Art. 32 gilt ohne Ausnahme – und verpflichtet alle Einrichtungen, die Gesundheitsdaten verarbeiten, zu technischen Schutzmaßnahmen nach aktuellem Stand der Technik. Wer außerklinische Intensivpflege betreibt oder die Schwellenwerte von mehr als 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz überschreitet, muss die NIS-2-Betroffenheit individuell prüfen lassen.
Unsere Einschätzung: Auch Einrichtungen, die heute nicht unter NIS-2 fallen, sollten die regulatorische Entwicklung verfolgen. Der BSI-Bericht zeigt deutlich, dass der Gesetzgeber die Meldepflichten schrittweise ausweiten will – und dass das Schutzniveau, das NIS-2 fordert, dem entspricht, was DSGVO Art. 32 ohnehin bereits verlangt.
Was Einrichtungen jetzt konkret tun sollten
Der BSI-Bericht liefert keine pauschalen Produktempfehlungen, aber er beschreibt klar, welche Schutzebenen für Leistungserbringer unverzichtbar sind. Wir übersetzen das in konkrete Maßnahmen:
1. Betriebsumgebung absichern – bevor Software-Sicherheit greift
Das BSI betont explizit: Software kann ihre Sicherheitsfunktionen nur entfalten, wenn die Betriebsumgebung selbst sicher ist. Das bedeutet konkret: Eine segmentierte Netzwerkinfrastruktur mit einer Sophos XGS Firewall ist die Grundlage, auf der alle anderen Schutzmaßnahmen aufbauen. Pflegedokumentation, Verwaltungs-PCs, IoT-Pflegegeräte und Gäste-WLAN gehören in getrennte Netzwerksegmente.
2. Dunkelfeld-Risiko adressieren: Endpoint- und E-Mail-Schutz
Die Dunkelziffer bei Leistungserbringern entsteht nicht nur durch fehlende Meldepflichten – sie entsteht auch dadurch, dass viele Angriffe schlicht unbemerkt bleiben. Sophos Endpoint mit KI-gestützter Erkennung und Sophos Email Advanced mit Phishing-Schutz sind die ersten Verteidigungslinien gegen die häufigsten Angriffsvektoren.
3. IoT-Pflegegeräte schützen: NDR statt Endpoint-Agent
Für vernetzte Medizinprodukte und IoT-Pflegegeräte, die keine klassischen Agents unterstützen, ist Sophos NDR die einzige wirksame Schutzschicht auf Netzwerkebene. Es erkennt anomales Verhalten dieser Geräte, ohne auf ihnen installiert zu sein.
4. Kontinuierliche Überwachung: MDR schließt das Zeitfenster-Risiko
Das BSI stellt fest, dass die Bedrohungslage auf „angespanntem Niveau" bleibt. Angreifer suchen gezielt Zeitfenster ohne Überwachung. Sophos MDR schließt diese Lücke mit 24/7-Überwachung durch ein Expertenteam – auch für kleine Einrichtungen ohne eigene IT-Abteilung. Wir empfehlen außerdem die Verwendung von dem MDR-Add-On Sophos ITDR, um identitätsbasierten Angriffen entgegen zu wirken.
5. Betroffenheitsprüfung und Schwachstellenanalyse
Angesichts der sich entwickelnden NIS-2-Rechtslage empfehlen wir eine individuelle Prüfung. Unser Compliance Assessment (NIS-2, CIS & NIST) klärt den Betroffenheitsstatus und erfasst den aktuellen Sicherheitsstatus. Die externe Schwachstellenanalyse identifiziert ausnutzbare Lücken in der öffentlich sichtbaren Infrastruktur – bevor Angreifer sie finden.
Fazit: Der BSI-Bericht als Auftrag, nicht als Warnung
Der BSI-Lagebericht Cybersicherheit im Gesundheitswesen 2025 ist kein Alarmismus, sondern eine nüchterne Bestandsaufnahme. 138 erfasste Vorfälle, eine anerkannte Dunkelziffer, eine neue Studie zu Pflegedokumentationssystemen und klare Empfehlungen für vernetzte Medizinprodukte. Damit dokumentiert das BSI, dass der Gesundheitssektor unter dauerhaftem Angriffsdruck steht und dass der ambulante Bereich dabei strukturell unterrepräsentiert ist.
Für Pflegeeinrichtungen, Arztpraxen und ambulante Dienste bedeutet das: Die Frage ist nicht ob, sondern wann ein Angriff stattfindet. Wer heute in eine belastbare Sicherheitsarchitektur investiert, reduziert nicht nur das Risiko eines erfolgreichen Angriffs, sondern schafft auch die Grundlage für die regulatorischen Anforderungen von morgen.
Sprechen Sie uns an – wir beraten Sie kostenlos auf Basis des BSI-Lagebilds und helfen Ihnen, die für Ihre Einrichtung passenden Schutzmaßnahmen zu priorisieren. Oder starten Sie direkt mit einem Compliance Assessment.
Verwandte Themen:
- Cybersicherheit für Pflegeheime & Pflegedienste
- Cybersicherheit im Gesundheitswesen – Arztpraxen, Kliniken & Krankenhäuser
- Cybersicherheit in der Versorgungswirtschaft
Häufig gestellte Fragen zum BSI-Lagebericht Gesundheitswesen 2025 arrow_drop_down
FAQ: BSI-Lagebericht Gesundheitswesen 2025
Wie viele Sicherheitsvorfälle im Gesundheitswesen hat das BSI 2025 erfasst?
Im Berichtszeitraum Oktober 2024 bis September 2025 hat das BSI insgesamt 138 gesundheitsbezogene Sicherheitsvorfälle erfasst. Davon entfielen 62 auf die Telematikinfrastruktur, 43 auf Leistungserbringer wie Krankenhäuser, Arztpraxen und Pflegeeinrichtungen, 23 auf Hersteller und Produkte sowie 10 auf sonstige Kategorien. Das BSI weist ausdrücklich auf eine erhebliche Dunkelziffer hin, da ambulante Einrichtungen und Pflegedienste bislang nicht zur Meldung von IT-Sicherheitsvorfällen verpflichtet sind.
Was ist die BSI-Studie DiPS 2025?
DiPS 2025 ist eine BSI-Studie zur Sicherheit digitaler Pflegedokumentationssysteme. Das BSI hat dabei die Produktsicherheit der eingesetzten Software untersucht – also ob die Systeme die Sicherheit der Betriebsumgebung erhöhen oder untergraben. Die Studie ist Teil einer Serie von BSI-Projekten zur ambulanten Versorgung und liefert erstmals strukturierte Erkenntnisse zur Cybersicherheit in der Pflege-IT.
Gilt NIS-2 für Pflegeheime und Pflegedienste?
Für die meisten Pflegeheime und ambulanten Pflegedienste gilt NIS-2 nicht direkt: Die Langzeitpflege ist vom Anwendungsbereich des NIS2UmsuCG ausgenommen. Ausnahmen gelten für Einrichtungen der außerklinischen Intensivpflege sowie für Träger, die mehr als 50 Mitarbeitende oder mehr als 10 Millionen Euro Jahresumsatz haben. Unabhängig davon gilt DSGVO Art. 32 ohne Ausnahme und verpflichtet alle Einrichtungen, die Gesundheitsdaten verarbeiten, zu technischen Schutzmaßnahmen nach aktuellem Stand der Technik.
Warum spricht das BSI von einer Dunkelziffer bei Pflegeeinrichtungen?
Pflegeeinrichtungen und ambulante Versorger außerhalb der KRITIS-Regulierung sind bislang nicht gesetzlich verpflichtet, IT-Sicherheitsvorfälle an das BSI oder andere Stellen zu melden. Das bedeutet: Angriffe auf Pflegeheime, Pflegedienste oder Arztpraxen tauchen in der offiziellen Statistik nur dann auf, wenn sie öffentlich bekannt werden oder freiwillig gemeldet werden. Das BSI geht deshalb davon aus, dass die tatsächliche Zahl der Vorfälle erheblich höher liegt als die erfassten 43 Fälle in der Kategorie Leistungserbringer.
Was empfiehlt das BSI zum Schutz vernetzter Medizinprodukte?
Das BSI empfiehlt, die Prinzipien Security by Design und Security by Default bereits in der Entwicklungsphase vernetzter Medizinprodukte zu verankern. Für Betreiber – also Pflegeeinrichtungen und Krankenhäuser – bedeutet das: Beim Einkauf vernetzter Geräte sollte aktiv nach diesen Sicherheitsprinzipien gefragt werden. Für bereits im Einsatz befindliche IoT-Geräte, die keine klassischen Endpoint-Agents unterstützen, empfiehlt sich die Kombination aus Netzwerksegmentierung und netzwerkbasierter Anomalieerkennung (NDR).
Wo kann ich den vollständigen BSI-Lagebericht herunterladen?
Die Broschüre „Cybersicherheit im Gesundheitswesen 2025" steht auf der Website des BSI als kostenloser PDF-Download zur Verfügung. Den direkten Link zur Downloadseite finden Sie hier: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Gesundheitswesen_2025.html
