Cyberkriminalität: 442 Milliarden Euro Schäden in 2026 erwartet

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft IT-Ausfälle im Gesundheitswesen als eines der größten Risiken der kommenden Jahre ein. Bislang stand der Schutz vor Datenklau im Fokus – jetzt rückt die operative Widerstandsfähigkeit in den Mittelpunkt.

Aktuelle Vorfälle untermauern die Warnung: Ende Mai 2026 legte ein Ransomware-Angriff einen Dienstleister der Gesetzlichen Krankenversicherung (GKV) lahm. Parallel dazu bestätigten das Städtische Klinikum Karlsruhe und die ViDia-Kliniken einen massiven Diebstahl von Patientendaten. Über 4.000 Menschen sind betroffen.

Angesichts der rasanten Zunahme von Ransomware-Attacken und Datenlecks im Jahr 2026 ist ein proaktiver Schutz für Unternehmen wichtiger denn je. Wie Sie aktuelle Sicherheitslücken schließen und Ihre Firma ohne hohes Budget absichern, erfahren Sie in diesem kostenlosen E-Book. IT-Sicherheit stärken und Bedrohungen abwenden

Die Botschaft der Behörde ist deutlich: IT-Ausfälle im vernetzten Gesundheitswesen haben direkte Auswirkungen auf die Patientenversorgung.

Angriffe über Drittanbieter nehmen rasant zu

Die Gefahrenlage hat sich in den letzten Monaten verschärft. Besonders die Abhängigkeit von externen Dienstleistern wird zum Sicherheitsrisiko. Der Verizon Data Breach Investigations Report 2026 bestätigt den Trend: Fast die Hälfte aller Angriffe erfolgt mittlerweile über Drittanbieter – ein Anstieg von rund 30 Prozent gegenüber dem Vorjahr.

Softwarelücken verdrängen zunehmend den klassischen Passwortdiebstahl als Haupteinfallstor. Kompromittierte Zugangsdaten sind nur noch in 13 Prozent der Fälle die Ursache. Software-Schwachstellen machen dagegen bereits 31 Prozent der Vorfälle aus. Besonders kritisch: Nur 26 Prozent der bekannten Sicherheitslücken wurden im vergangenen Jahr zeitnah geschlossen.

Das Gesundheitswesen ist besonders verwundbar. Die seit 2025 bestehende Pflicht zur Nutzung des E-Rezepts hat die Abhängigkeit von der Telematikinfrastruktur erhöht. Fällt sie aus, kommt es in Apotheken und Arztpraxen sofort zu Störungen. Das BSI fordert daher verstärkte Investitionen in Notfallprozesse und robuste Ausfallsicherheit.

KI macht Angreifer schneller und cleverer

Eine neue Dimension der Bedrohung bringt künstliche Intelligenz. Das KI-Modell Mythos von Anthropic kann bereits eigenständig Schwachstellen in komplexen Systemen aufspüren. In Tests identifizierten KI-Modelle wie Mythos oder GPT-5.5-Cyber innerhalb kürzester Zeit zahlreiche Sicherheitslücken – darunter auch kritische CVE-Kennungen.

Aktuelle Beispiele: Eine großflächige Angriffswelle traf das Ghost-CMS (CVE-2026-26980). Bei Drupal-Systemen (CVE-2026-9082) wurden über 15.000 Angriffsversuche registriert.

Auch die Zwei-Faktor-Authentisierung (2FA) gerät unter Druck. Google Threat Intelligence meldete Ende Mai 2026 den ersten Zero-Day-Exploit durch eine KI, der gezielt 2FA umgeht. Plattformen wie Kali365 bieten automatisierte Dienste an, um Multi-Faktor-Verfahren über den OAuth Device Code Flow auszuhebeln. Die Gruppe Storm-2949 demonstrierte die Geschwindigkeit dieser neuen Angriffsform: Sie entwendete sensible Daten aus einem Azure Key Vault in nur vier Minuten.

Microsoft hat darauf reagiert und zum 25. Mai 2026 die SMS-Verifikation für persönliche Konten eingestellt. Sie gilt als nicht mehr ausreichend sicher.

Im mobilen Sektor erreichen KI-gesteuerte Phishing-Kampagnen mittlerweile ein Volumen von 3,4 Milliarden schädlichen Mitteilungen täglich. Die Schäden durch mobile Cyberkriminalität werden für 2026 auf rund 442 Milliarden Euro geschätzt. Banking-Trojaner verzeichneten allein im ersten Quartal 2026 einen Zuwachs von fast 200 Prozent.

Strengere Regeln – Geschäftsführung haftet persönlich

Die rechtlichen Rahmenbedingungen haben sich im Frühjahr 2026 verschärft. Die Richtlinien NIS2 und DORA (Digital Operational Resilience Act) verpflichten Unternehmen, schwere Vorfälle innerhalb von 24 Stunden zu melden. Seit dem Start von DORA im Dezember 2025 hat die BaFin bereits über 600 schwerwiegende Vorfälle registriert. Ein wesentlicher Punkt: Die Geschäftsführung haftet persönlich für Versäumnisse in der IT-Sicherheit.

Auch die Datenschutz-Aufseher ziehen die Zügel an. Die kumulierten DSGVO-Bußgelder belaufen sich auf rund 6 Milliarden Euro in fast 3.000 Einzelfällen.

Ein Urteil des Amtsgerichts Nürnberg vom Juli 2025 sorgte für Klarheit: Eine Einwilligung zur Datenverarbeitung kann auch bei Vertragskopplung wirksam sein – sofern keine Monopolstellung des Anbieters vorliegt. Bloßes Unbehagen über eine Datenübermittlung begründet jedoch keinen Schadensersatzanspruch.

Da KI-Modelle zunehmend zur Identifizierung von Systemlücken genutzt werden, müssen Firmen auch die rechtlichen Rahmenbedingungen wie den EU AI Act im Blick behalten. Dieser kostenlose Umsetzungsleitfaden hilft Ihnen, die komplexen Anforderungen an KI-Systeme und Risikoklassen schnell zu verstehen. EU AI Act Leitfaden jetzt kostenlos herunterladen

Für Anbieter von KI-Diensten im Gesundheitswesen wird die Haftung für Fehlleistungen relevant. Das Oberlandesgericht Hamm stellte fest: Unternehmen haften grundsätzlich für fehlerhafte Ausgaben oder Halluzinationen ihrer KI-Chatbots. Das betrifft den wachsenden Markt digitaler Gesundheitsanwendungen. Das Health AI Register verzeichnete im April 2026 über 300 zertifizierte KI-Systeme allein für die Radiologie. In den USA hatte die FDA bis Ende 2025 bereits über 1.400 KI-Medizinprodukte zugelassen.

Automatisierte Abwehr wird zur Pflicht

Die Kombination aus KI-gestützten Angriffen und zunehmender Vernetzung zwingt Unternehmen zum Umdenken. Die herkömmliche Verteidigung, die stark auf den Menschen setzt, stößt an Grenzen. 62 Prozent der Vorfälle sind weiterhin auf menschliches Fehlverhalten zurückzuführen.

Experten fordern daher automatisierte Resilienzabläufe. Die bloße Einhaltung von Compliance-Vorgaben reicht nicht mehr. Die Sicherstellung der Verfügbarkeit muss bereits bei der Entwicklung von Medizinprodukten beginnen – nach dem Prinzip „Secure by Design“.

Immerhin: 69 Prozent der betroffenen Unternehmen zahlen nach Ransomware-Angriffen kein Lösegeld. Das deutet auf ein gestiegenes Bewusstsein für Backups und Wiederherstellungsprozesse hin. Doch die Lücke zwischen der Entdeckung einer Schwachstelle und deren Behebung bleibt das größte operative Risiko.

Was kommt als Nächstes?

Für die zweite Jahreshälfte 2026 sind weitere regulatorische Weichenstellungen zu erwarten. Im Mai wurde das Digital-Identitäts-Gesetz verabschiedet. Es setzt neue Standards für die sichere Identifizierung im digitalen Raum. Am 19. Juni tritt zudem eine neue Pflicht für Onlineshops in Kraft: Sie müssen einen leicht zugänglichen Widerrufsbutton bereitstellen – das betrifft indirekt auch digitale Gesundheitsanbieter.

International läuft die Bekämpfung der organisierten Cyberkriminalität auf Hochtouren. Die Operation FRONTIER+ III führte zu über 3.000 Festnahmen und dem Einfrieren von Vermögenswerten in Höhe von 752 Millionen US-Dollar.

Trotz dieser Erfolge bleibt die Lage angespannt. Der Rücktritt des Chefs der litauischen Registerbehörde nach einem massiven Datenleck im Mai 2026 zeigt: Niemand ist sicher. Für das Gesundheitswesen bedeutet das: Der Schutz der IT-Infrastruktur muss künftig als integraler Bestandteil der Patientensicherheit betrachtet werden.

de | wissenschaft | 69425079 |