Cyberversicherung fürKrankenhäuser
Krankenhäuser zählen seit dem Düsseldorfer Uniklinik-Ransomware-Vorfall 2020 zu den am stärksten exponierten Cyber-Zielen Deutschlands. Der Ameos-Konzern-Angriff im Juli 2025 hat erneut gezeigt: Ein einziger Vorfall kann ganze Klinikgruppen mit über 100 Standorten in den Notbetrieb zwingen. Mit NIS2 Anlage I Sektor 5, KRITIS-Schwellenwerten ab 30.000 vollstationären Fällen, dem branchenspezifischen Sicherheitsstandard B3S und § 75c SGB V steigt der regulatorische Druck massiv. Eine Cyberversicherung ist für Kliniken inzwischen unverzichtbar – sowohl wegen der Bußgeld- und Haftungsrisiken als auch wegen der Patientensicherheit.
Was ist eineCyberversicherung für Krankenhäuser?
Eine Cyberversicherung für Krankenhäuser schützt Kliniken, Universitätskliniken, Reha- und Fachkliniken vor den finanziellen, regulatorischen und reputativen Folgen von Cyberangriffen auf Patientenakten, Krankenhausinformationssysteme (KIS), Bildarchive (PACS) und vernetzte Medizingeräte. Sie deckt Ransomware-Schäden, Notbetriebskosten, DSGVO-Bußgelder nach Art. 83 sowie § 203 StGB-Strafzahlungen, IT-Forensik, Krisenkommunikation, Patientenbenachrichtigung und Verletztenhaftung ab. Spezialisierte Tarife berücksichtigen NIS2-, KRITIS-Dachgesetz-, B3S- und § 75c SGB V-Pflichten und übernehmen behördliche Meldekosten gegenüber BSI und Landesdatenschutz.
Cyberrisiken fürKrankenhäuser
Krankenhäuser verbinden hochsensible Patientendaten, lebenswichtige Medizingeräte und veraltete IT-Infrastruktur – eine Mischung, die sie zum Top-Ziel professioneller Ransomware-Banden macht und im Ernstfall die Patientensicherheit direkt bedroht.
Ransomware auf KIS und PACS
Verschlüsselung des Krankenhausinformationssystems oder Bildarchivs (PACS, MRT-, CT-Bilder) zwingt zur Triage-Schließung der Notaufnahme, Verlegung von Patienten und Ausfall planbarer OPs. Der Ameos-Vorfall im Juli 2025 traf über 100 Standorte gleichzeitig.
Manipulation vernetzter Medizingeräte
Infusionspumpen, Beatmungsgeräte, MRT, CT und OP-Roboter sind oft ungepatcht ans Klinik-LAN angebunden. Internet of Medical Things (IoMT) ist die größte Cyber-Schwachstelle moderner Kliniken und kann unmittelbar Patientenleben gefährden.
DSGVO-Bußgelder & § 203 StGB
Patientendaten sind besondere Kategorien nach DSGVO Art. 9. Bei Datenleck drohen Bußgelder bis 20 Mio. € oder 4 % des Jahresumsatzes. Zusätzlich: strafrechtliche Verletzung der Schweigepflicht nach § 203 StGB durch geschäftsführende Klinikleitung.
NIS2- und KRITIS-Meldepflichten
Krankenhäuser fallen unter NIS2 Anlage I Sektor 5 (Gesundheitswesen). KRITIS-Schwelle: 30.000 vollstationäre Fälle pro Jahr. Verletzung der 24-Stunden-Frühwarnung an BSI kostet bis 10 Mio. € oder 2 % des Jahresumsatzes – plus persönliche Geschäftsführerhaftung.
Lieferanten- und Tochterkliniken-Risiko
Klinikgruppen mit gemeinsamem Active Directory, zentralem KIS-Server oder geteilten Dienstleistern (Apotheke, Labor, Reinigung) verbreiten Ransomware über Trust-Beziehungen. Ein Tochterstandort genügt – siehe Ameos-Kaskade über 100+ Standorte.
Umfassender SchutzVersicherungsschutz für Krankenhäuser
Rechtliche AnforderungenRegulatorische Anforderungen für Krankenhäuser
Branchenspezifische Vorschriften und Compliance-Anforderungen, die eine Cyberversicherung besonders relevant machen.
Krankenhäuser fallen als wesentliche Einrichtungen unter NIS2, sobald sie ab 250 Mitarbeitende oder 50 Mio. € Jahresumsatz erreichen. Pflicht zu Risikomanagement, Incident-Response, 24h-Frühwarnung, 72h-Erstmeldung und 1-Monats-Abschlussbericht ans BSI. Persönliche Geschäftsführerhaftung mit bis zu 10 Mio. € oder 2 % des Konzernumsatzes Bußgeld.
Krankenhäuser mit mehr als 30.000 vollstationären Behandlungsfällen pro Jahr gelten als kritische Infrastruktur nach BSI-KritisV § 8. Pflicht: ISO 27001-äquivalentes ISMS, alle 2 Jahre § 8a-Nachweisprüfung, sofortige Meldepflicht erheblicher Vorfälle und Sicherstellung der Versorgungsleistung auch im Krisenfall.
Der vom DKG erstellte und vom BSI anerkannte B3S Medizinische Versorgung definiert den Stand der Technik für Klinik-IT-Sicherheit. Themen: Segmentierung von Medizingeräten, Notfallpläne, Lieferantenmanagement, Schulungspflicht. KRITIS-Kliniken müssen B3S-Konformität nachweisen.
Alle Krankenhäuser – auch unterhalb der KRITIS-Schwelle – müssen seit dem 01.01.2022 angemessene organisatorische und technische Vorkehrungen nach Stand der Technik treffen. Krankenkassen können den Versorgungsauftrag entziehen, wenn Mindestanforderungen nicht erfüllt sind.
Das KHZG verpflichtet alle Klinik-Förderprojekte zur Verwendung von mindestens 15 % der Fördersumme für IT-Sicherheit. Wer Fördermittel nicht zweckgebunden einsetzt oder unzureichende Sicherheit nachweist, muss Fördergelder zurückzahlen.
Häufige Fragen zurCyberversicherung für Krankenhäuser
Finden Sie Antworten auf die wichtigsten Fragen rund um Cyberversicherungen für Ihre Branche.
Individuelle BeratungFür ein kommunales Krankenhaus mit 200 Betten beginnen Prämien typischerweise bei 35.000–80.000 € jährlich. Universitätskliniken und Maximalversorger zahlen mit 5–10 Mio. € Mindestversicherungssumme entsprechend 150.000–500.000 € pro Jahr. Klinikgruppen über 100 Standorte (Sana, Helios, Asklepios, Ameos) verhandeln Konzernpolicen mit Versicherungssummen ab 25 Mio. €. Faktoren: Bettenzahl, Vollstationäre Fälle, B3S-Compliance, KIS-Hersteller, Anteil vernetzter Medizingeräte.
BaFin und Versicherer empfehlen mindestens 5 Mio. € für kleine Häuser, 10 Mio. € für KRITIS-pflichtige Krankenhäuser ab 30.000 vollstationären Fällen und 25–50 Mio. € für Universitätskliniken und Klinikgruppen. Begründung: Der Ameos-Vorfall 2025 hat bei einzelnen Standorten direkten Schaden über 8 Mio. € verursacht (IT-Forensik, Notbetrieb, Verlegungen, Bußgelder, Folgehaftung).
Ja, in spezialisierten Klinik-Tarifen ist auch die Wiederherstellung manipulierter Medizingeräte (Infusionspumpen, Beatmung, OP-Roboter, MRT/CT) inklusive Hersteller-Rezertifizierung gedeckt. Wichtig: Die Police muss explizit auch Drittschäden bei Patientengefährdung umfassen – nicht jeder Cyber-Tarif schließt diese Verletztenhaftung ein.
Eine Cyberversicherung ersetzt nicht die organisatorischen und technischen Maßnahmen nach § 75c SGB V, aber sie ist ein anerkanntes Element des klinischen Risikomanagements. Versicherer setzen § 75c-Konformität (B3S, ISMS, MFA, Backup-Strategie) regelmäßig als Aufnahmevoraussetzung voraus und prüfen sie in der Risikoanalyse.
Spezialisierte Klinik-Cyberversicherer aktivieren binnen 1 Stunde ein BSI-zertifiziertes Incident-Response-Team. Innerhalb von 4 Stunden steht ein Krisenstab inkl. IT-Forensik, Krankenhausjurist, Datenschutzbeauftragten und Krisenkommunikatoren. Notbetrieb mit Papier-Workflow, Triage-Verlegung und Personalkostenübernahme läuft parallel. Bei NIS2/KRITIS-Pflichtigen erfolgt die 24h-BSI-Frühwarnung über den Versicherer-Koordinator. Erfahrungswert Ameos: 30 Tage bis Wiederherstellung Kernbetrieb, 90 Tage bis Vollbetrieb.
Kostenlos beraten lassen – in 60 Sekunden
Füllen Sie das kurze Formular aus und erhalten Sie eine unverbindliche Empfehlung von unseren zertifizierten Cyber-Experten.
DSGVO-konform · SSL-verschlüsselt · Keine Weitergabe an Dritte