US-Senatoren wollen Kliniken vor Cyberangriffen schützen

Eine überparteiliche Gruppe von US-Senatoren startet einen neuen Anlauf, um die Gesundheitsinfrastruktur des Landes gegen die eskalierende Welle von Cyberangriffen zu wappnen. Die Initiative kommt nicht von ungefähr: 2024 war ein Rekordjahr für Datenpannen im Gesundheitswesen – mit verheerenden Folgen für Patienten und Kliniken gleichermaßen.

Die Senatoren Mark Warner (Demokrat, Virginia), Bill Cassidy (Republikaner, Louisiana), Maggie Hassan (Demokratin, New Hampshire) und John Cornyn (Republikaner, Texas) haben Ende vergangener Woche den Healthcare Cybersecurity and Resiliency Act of 2025 erneut eingebracht. Das Gesetz zielt darauf ab, veraltete Datenschutzstandards zu modernisieren und Krankenhäusern dringend benötigte finanzielle Mittel bereitzustellen.

Im Kern geht es um eine grundlegende Überarbeitung des Health Insurance Portability and Accountability Act (HIPAA) – jenes Regelwerks, das seit Jahrzehnten den Datenschutz im US-Gesundheitswesen definiert. Doch während HIPAA einst als Goldstandard galt, hinken die Sicherheitsanforderungen der Realität heute hoffnungslos hinterher.

Krankenhäuser und Gesundheitszentren waren 2024 besonders häufig Ziel von Ransomware – von einzelnen Abrechnungsdienstleistern bis zu großflächigen Systemausfällen. Das kostenlose E‑Book „Cyber Security Awareness Trends” fasst aktuelle Bedrohungen und praxisnahe Schutzmaßnahmen zusammen: Von Multi‑Faktor‑Authentifizierung über Verschlüsselung bis hin zu Notfallplänen für Abrechnungssysteme. Konkrete Checklisten helfen IT-Verantwortlichen in Kliniken, sofort wirksame Schritte umzusetzen – auch mit begrenztem Budget. Jetzt kostenloses Cyber-Security-E-Book sichern

Kritiker bemängeln seit langem: Die gesetzlichen Vorgaben haben mit der Raffinesse moderner Ransomware-Banden nicht Schritt gehalten. Der Gesetzentwurf verpflichtet nun das Gesundheitsministerium (HHS), die HIPAA-Vorschriften zu aktualisieren und „moderne, zeitgemäße” Cybersicherheitspraktiken verbindlich vorzuschreiben.

Branchenanalysten erwarten, dass dabei Technologien wie Multi-Faktor-Authentifizierung und fortgeschrittene Verschlüsselung für gespeicherte und übertragene Daten zur Pflicht werden – Maßnahmen, die bislang oft nur als freiwillige Best Practices galten.

„Patienten verdienen die absolute Gewissheit, dass ihre sensiblen Gesundheitsdaten online geschützt und vor Cyberangriffen oder Ransomware abgeschirmt sind”, erklärte Senator Cornyn bei der Vorstellung des Gesetzes. Das HHS soll zudem enger mit der Cybersecurity and Infrastructure Security Agency (CISA) zusammenarbeiten, um einen umfassenden Notfallplan für künftige Großangriffe zu entwickeln.

Finanzspritze für ländliche Kliniken

Ein zentraler Baustein des Gesetzes: die Anerkennung, dass vielen Gesundheitseinrichtungen – besonders im ländlichen Raum – schlicht das Geld für digitale Aufrüstung fehlt. Der Entwurf sieht deshalb ein neues Förderprogramm vor, das Krankenhäuser und ländliche Gesundheitszentren beim Aufbau ihrer Cybersicherheitsinfrastruktur unterstützen soll.

Dieser Ansatz von Zuckerbrot und Peitsche – strengere Vorgaben kombiniert mit finanzieller Hilfe – stößt bei Branchenverbänden auf vorsichtigen Optimismus. Die American Hospital Association (AHA) argumentiert seit Jahren, dass es kontraproduktiv sei, angegriffene Kliniken zu bestrafen, ohne ihnen Ressourcen zur Verfügung zu stellen.

„Cyberangriffe im Gesundheitssektor können verheerende Folgen haben – von der Offenlegung privater Patientendaten bis zur Störung der Notaufnahmen”, betonte Senatorin Hassan. Sie verwies darauf, dass ländliche Anbieter oft mit erheblich weniger IT-Personal und Budget auskommen müssen als ihre städtischen Pendants.

Der Schatten von Change Healthcare

Was treibt die Senatoren zu diesem Vorstoß? Die Antwort ist so eindeutig wie alarmierend: der katastrophale Ransomware-Angriff auf Change Healthcare im Februar 2024. Die Attacke legte wochenlang die Abrechnungssysteme lahm und betraf geschätzt 190 Millionen Menschen.

Daten des HIPAA Journal, auf die sich die Senatoren berufen, zeichnen ein düsteres Bild: 2024 war ein Rekordjahr mit rund 276 Millionen betroffenen Amerikanern – die höchste Zahl seit Beginn der bundesweiten Aufzeichnungen 2009.

Der Change-Healthcare-Vorfall demonstrierte eindrucksvoll, wie ein einzelner Schwachpunkt das gesamte US-Gesundheitssystem lahmlegen kann. Patientenversorgung verzögerte sich, die finanzielle Stabilität vieler Anbieter geriet in Gefahr. Das neue Gesetz versucht, solche systemischen Risiken durch „Belastungstests” und klarere Protokolle zu minimieren – für den Fall, dass ein wichtiger Abrechnungsdienstleister oder Anbieter ausfällt.

Wie reagiert die Branche?

Die Reaktionen aus dem Gesundheitssektor fallen gemischt aus, wobei die Fördermittel überwiegend begrüßt werden. Die AHA hatte bereits zuvor klargestellt: Neue Sicherheitsvorgaben ja – aber nur mit substanzieller Bundesfinanzierung, damit Ressourcen nicht von der Patientenversorgung abgezogen werden müssen.

„Der Teufel steckt im Detail”, kommentierte ein leitender Analyst einer führenden Healthcare-Cybersecurity-Firma am Montag. „Moderne Praktiken zu verlangen, klingt gut – aber kleine Kliniken brauchen klare, umsetzbare Leitlinien und sofortigen Zugang zu den Fördermitteln, um die Vorgaben erfüllen zu können.”

Wie stehen die Chancen?

Seit Dienstag liegt der Gesetzentwurf beim Senatsausschuss für Gesundheit, Bildung, Arbeit und Renten (HELP) – unter Vorsitz von Senator Cassidy, einem der Mitautoren. Diese Schlüsselposition erhöht die Wahrscheinlichkeit einer Anhörung und Abstimmung Anfang 2026 erheblich.

Angesichts der Tatsache, dass der Gesundheitssektor mittlerweile weltweit das Hauptziel von Ransomware-Attacken darstellt, ist der Druck auf den Kongress so hoch wie nie zuvor. Sollte das Gesetz verabschiedet werden, wäre es die bedeutendste Aktualisierung der US-Datensicherheitsgesetze im Gesundheitswesen seit über einem Jahrzehnt.

PS: Kleine und ländliche Kliniken stehen oft vor der Frage, wie sie IT-Sicherheit ohne große Teams oder hohe Investitionen verbessern können. Der Gratis-Report „Cyber Security Awareness Trends” zeigt praxisnahe, kosteneffiziente Maßnahmen – von Anti‑Phishing‑Checks über Notfallpläne bis zu Prioritäten für Fördermittel‑Einsatz. Ideal für Entscheider, die Schutzmaßnahmen sofort umsetzen möchten. Gratis-Report: Cyber-Security-Maßnahmen für Kliniken herunterladen