Ransomware legt Kliniken lahm, ICS-Lücken steigen, EU bremst KI

Künstliche Intelligenz By Mattias Risberg
Ransomware Shuts Clinics, ICS Flaws Surge, EU Curbs AI
Ein Ransomware-Angriff zwang Kliniken in Mississippi diese Woche zur Schließung, während Forscher vor einem Rekordanstieg bei Schwachstellen in industriellen Steuerungssystemen warnen und das Europäische Parlament KI-Funktionen auf Dienstgeräten deaktiviert. Experten zufolge deckt dieses Trio von Vorfällen erhebliche Lücken in der Governance von Gesundheitswesen, Industrie und KI auf.

Weitere Nachrichten: Ransomware legt US-Kliniken lahm – klinische Auswirkungen

Diese Woche lieferte eine eindringliche Erinnerung daran, wie schnell Cyberkriminalität zu realen Störungen führt: Ein Ransomware-Angriff auf das University of Mississippi Medical Center zwang zur sofortigen Schließung von ambulanten Kliniken im ganzen Bundesstaat. Dies führte zur Absage von Terminen, Bildgebungsverfahren und elektiven Eingriffen und blockierte den Zugriff auf das elektronische Patientenakten-System Epic. Das Zentrum stellte auf manuelle Ausfallprozesse um, um den Krankenhausbetrieb und die Notfalldienste aufrechtzuerhalten, doch die Unterbrechung der Routineversorgung und der logistische Aufwand bei der Neuplanung von Patienten verdeutlichten die menschlichen Kosten eines Angriffs auf die klinische IT. Praktisch gesehen bewirkt Ransomware mehr als nur die Verschlüsselung von Dateien – sie legt Terminplanungssysteme, diagnostische Arbeitsabläufe sowie Lieferketten lahm und zieht klinisches Personal von der Patientenversorgung ab, um administrative Triage und Wiederherstellung zu bewältigen.

Wie wirkt sich Ransomware auf US-Kliniken und die Patientenversorgung aus? Die unmittelbaren Folgen sind abgesagte ambulante Besuche und verzögerte Diagnostik; mittelfristige Effekte können verlorene oder beschädigte klinische Aufzeichnungen, verschobene Operationen und ein geschwundenes Patientenvertrauen sein. Einrichtungsleiter stehen zudem vor der schwierigen Wahl, ob sie Lösegelder zahlen sollen, um kritische Systeme wiederherzustellen – eine Option, die rechtliche und ethische Risiken birgt und keine Garantie für die Wiederherstellung aller Daten bietet. Um das Risiko solcher Stillstände zu verringern, benötigen Gesundheitsdienstleister eine Kombination aus technischen Kontrollen und operativer Bereitschaft: unveränderliche, getestete Backups; Netzwerksegmentierung, die elektronische Patientenakten von Zusatzsystemen isoliert; strenge Zugriffskontrollen und Multifaktor-Authentifizierung für Kliniker; Endpoint-Detection-and-Response-Tools (EDR) sowie regelmäßige Tabletop-Übungen, bei denen die Wiederherstellung unter realistischen Bedingungen geprobt wird.

Kleinere Kliniken und kommunale Anbieter sind besonders gefährdet, da ihnen oft dedizierte Sicherheitsteams fehlen und sie bei EHR-Hosting und IT-Management von Drittanbietern abhängig sein können. Diese Abhängigkeit macht zwei wichtige Verteidigungsmaßnahmen erforderlich: Erstens müssen Organisationen klare Sicherheits-SLAs und Klauseln zur Meldung von Datenschutzverletzungen von ihren Anbietern verlangen; zweitens sollten Gesundheitssysteme die Fähigkeit behalten, kritische klinische Funktionen – von Einverständniserklärungen bis hin zum Medikationsabgleich – für kurze Zeiträume auch ohne digitale Systeme offline zu betreiben. Diese Schritte eliminieren das Risiko nicht, machen es jedoch weitaus unwahrscheinlicher, dass Ransomware-bedingte Klinikschließungen in eine unterbrochene oder gefährliche Patientenversorgung münden.

Weitere Nachrichten: Ransomware-Sperren – ICS-Schwachstellen nehmen massiv zu

Während der Gesundheitssektor gegen einen Ransomware-Vorfall kämpfte, veröffentlichten Forscher besorgniserregende Daten für Betreiber von Industriesystemen: Das Jahr 2025 setzte mit 508 ICS-Sicherheitshinweisen (Advisories) der CISA, die rund 2.155 verschiedene Schwachstellen abdeckten, einen neuen Höchststand, wobei der durchschnittliche CVSS-Schweregrad über 8,0 lag. Die Analyse von Forescout zeigt, dass 82 % der Hinweise als „hoch“ oder „kritisch“ eingestuft wurden. Zudem veröffentlichten viele Hersteller Schwachstellen direkt, ohne einen entsprechenden CISA-Hinweis, was Sichtbarkeitslücken für Verteidiger schafft. Für industrielle Umgebungen – Versorgungsunternehmen, Fabriken, Verkehrsnetze – sind diese Zahlen besonders alarmierend, da viele Steuerungssysteme langlebig sind, veraltete Protokolle verwenden und nie für eine Internetverbindung konzipiert wurden.

Warum nehmen ICS-Schwachstellen (Industrial Control System) massiv zu und was kann dagegen getan werden? Mehrere strukturelle Ursachen kommen hier zusammen: alternde Hardware mit begrenzten Update-Pfaden; die zunehmende IT/OT-Konvergenz, die zuvor isolierte Steuerungen exponiert; inkonsistente Offenlegungspraktiken der Hersteller und die schnelle Entdeckung von Fehlern auf Geräteebene durch intensivere Sicherheitsüberprüfungen. Der Instrumentenkasten zur Schadensbegrenzung kombiniert klassische IT-Hygiene, angepasst an die OT: strenge Netzwerksegmentierung, Allow-Lists für die Gerätekommunikation, phasenweise Patch-Pläne, die betriebliche Einschränkungen berücksichtigen, sowie kompensierende Kontrollen wie Application Layer Gateways und Read-Only-Spiegelung für sensible Prozesse. Sichtbarkeit ist ebenfalls entscheidend: Asset-Discovery und eine auf OT-Protokolle zugeschnittene kontinuierliche Überwachung ermöglichen es Teams, die Behebung nach tatsächlichem Risiko und nicht allein nach der Reputation des Herstellers zu priorisieren.

Operativ sollten Organisationen Angriffspfade kartieren, die IT- und OT-Grenzen überschreiten, und Übungen durchführen, die eine OT-Kompromittierung simulieren: Was passiert mit Sicherheitsverriegelungen, Produktionsplänen und dem Fernzugriff durch Dritte? Regierungen und Branchenverbände können helfen, indem sie Offenlegungspraktiken standardisieren, damit Herstellerhinweise zeitnah und konsistent in nationale Schwachstellen-Datenbanken einfließen. Ohne diese Änderungen wird die wachsende Menge und Schwere von ICS-Fehlern weiterhin zu größeren und gefährlicheren Ausfallszenarien führen, wenn Bedrohungsakteure – ob opportunistisch oder staatlich gelenkt – diese ausnutzen.

KI-Einschränkungen des Europäischen Parlaments und industrielle Vorsicht

In dieser Woche deaktivierte das Europäische Parlament integrierte KI-Funktionen auf ausgegebenen Geräten und verschärfte die Kontrollen, nachdem IT-Mitarbeiter darauf hingewiesen hatten, dass einige KI-Funktionen Benutzerdaten zur Verarbeitung an externe Cloud-Anbieter sendeten. Dieser Schritt ist Teil einer breiteren europäischen Sensibilität: Parlamente und Regulierungsbehörden wägen die Produktivitätsgewinne durch generative KI gegen das Risiko ab, dass vertrauliche Gesetzesentwürfe, Wählerdaten oder geschützte Forschung exfiltriert oder zum Training von Drittanbietermodellen verwendet werden könnten. Unabhängig davon präzisierte HackerOne seine Richtliniensprache, nachdem Bug-Hunter gefragt hatten, ob eingereichte Schwachstellenberichte zum Training generativer KI-Modelle verwendet werden könnten – eine Änderung, die unterstreicht, wie Governance-Fragen sowohl öffentliche Institutionen als auch private Sicherheitsplattformen erfassen.

Was beinhaltet das KI-Verbot des Europäischen Parlaments und welche Technologien sind eingeschränkt? Die unmittelbaren Maßnahmen konzentrieren sich auf die Deaktivierung cloudbasierter Assistentenfunktionen und die Blockierung nicht geprüfter Modellintegrationen von Drittanbietern auf Arbeitsgeräten. Dies stellt kein pauschales Verbot von KI-Forschung oder -Einsatz dar, priorisiert jedoch Datensouveränität und auditierbare Verarbeitung. Für Unternehmen und Entwickler bedeutet dies in der Praxis, dass Dienste, die auf externen, intransparenten Modellanbietern basieren, im europäischen öffentlichen Sektor einer strengeren Prüfung unterzogen werden. Dies könnte einige Organisationen zu privaten, auditierbaren Modellen, On-Premise-Inferenz oder strengeren Datenverarbeitungsvereinbarungen mit Anbietern drängen.

Wie könnte sich das europäische KI-Verbot auf KI-Innovation und -Einsatz in Europa auswirken? Der Effekt wird zweifach sein. Kurzfristig könnten zusätzliche Compliance-Hürden und Reibungsverluste bei der Beschaffung den Rollout cloudbasierter KI-Tools in Behörden und stark regulierten Branchen verlangsamen. Mittelfristig schafft dieser Druck jedoch einen Marktanreiz für Start-ups und etablierte Anbieter, datenschutzfreundliche und verifizierbare KI-Stacks zu entwickeln – lokale Inferenz, Differential Privacy, Nachweise über die Modellnutzung und Verträge, die das Training mit Kundendaten untersagen. Die politische Haltung könnte daher einen speziellen Innovationszweig beschleunigen: sichere, auditierbare KI, die auf regulierte Kunden zugeschnitten ist, anstatt auf intransparente Massen-Cloud-Dienste.

Branchenbewegungen: Halbleiter, Identität und die Angriffsfläche

Die Schlagzeilen enthielten auch eine Reihe kommerzieller Schritte und Vorfälle, die in dieselbe Sicherheitsgeschichte einzahlen. Advantest, ein bedeutender Lieferant von automatischen Testgeräten für die Halbleiterindustrie, gab ein Eindringen mittels Ransomware bekannt, nachdem am 15. Februar eine Intrusion entdeckt worden war. Halbleiterzulieferer und Testhäuser sind attraktive Ziele, da sie an kritischen Punkten der globalen Lieferketten sitzen: Ausfälle dort können Auswirkungen auf Chiphersteller und nachgelagerte Elektronikproduzenten haben. Unterdessen verlagern Anbieter wie GitGuardian und Käufer wie Palo Alto Networks ihren Fokus auf die Governance von nicht-menschlichen Identitäten und KI-Agenten – ein Zeichen dafür, dass Verteidiger erwarten, dass sich die Angriffsfläche vergrößert, wenn Organisationen autonome Agenten, Container und modellbasierte Dienste einsetzen.

Diese kommerziellen Reaktionen sind sinnvoll: Sicherheitswerkzeuge, die Software inventarisieren, geleakte Secrets erkennen und das Verhalten von Agenten kontrollieren, adressieren konkrete Veränderungen in der Vorgehensweise von Angreifern und betriebliche Risiken. Sie sind jedoch kein Ersatz für die Grundlagen: Patch-Management, segmentierte Netzwerke, geprüfte Anbieter und eine geprobte Reaktion auf Vorfälle bleiben die effektivsten Hebel, um die Wahrscheinlichkeit und die Auswirkungen störender Angriffe zu verringern.

Defensive Checkliste für das Gesundheitswesen und Industriebetreiber

Organisationen, die sowohl klinischen als auch industriellen Risiken ausgesetzt sind, sollten die Wiederherstellungsplanung als primäre Sicherheitsfunktion betrachten und nicht als bürokratische Übung. Wichtige praktische Schritte sind: Aufrechterhaltung von Offline-Backups, die unveränderlich und auf Wiederherstellungsgeschwindigkeit getestet sind; Durchsetzung von Zero-Trust- oder Least-Privilege-Zugriffen über IT und OT hinweg; Isolierung kritischer Steuerungsnetzwerke vom Unternehmens-Internet; Härtung von Fernzugriffsmechanismen und Protokollierung jeder Verbindung von Drittanbietern sowie Durchführung fachübergreifender Vorfallsimulationen, an denen Kliniker, OT-Ingenieure und Rechtsberater teilnehmen. Versicherungen und Strafverfolgung sind nützliche Teile des Ökosystems, sollten jedoch die technische und organisatorische Härtung nicht ersetzen.

Für politische Entscheidungsträger sind die unmittelbaren Prioritäten klarere Offenlegungskanäle für Herstellerhinweise, die Finanzierung defensiver OT-Sichtbarkeit in kritischen Sektoren und konsistente Regeln für den Umgang von KI-Diensten mit Daten des öffentlichen Sektors. Für Unternehmen und Krankenhäuser ist die Botschaft operativ und dringlich: Sicherheitsinvestitionen verringern die Wahrscheinlichkeit, dass ein einzelner Vorfall zu einer wochenlangen Unterbrechung der Patientenversorgung oder einer Kaskade in den Lieferketten wird.

Die Häufung der Berichte in dieser Woche – weitere Nachrichten: Ransomware legt Kliniken lahm, die Rekordzahlen bei ICS-Schwachstellen und die EU-Schritte zur Eindämmung ungeprüfter KI-Funktionen – deuten alle auf denselben Schluss hin: Vernetzung und Automatisierung bringen großen Nutzen, aber ohne konzertierte Governance und getestete Resilienz verstärken sie das Risiko. Die Entscheidungen, die Organisationen jetzt in Bezug auf Segmentierung, Anbieterverträge, Backup-Disziplin und auditierbare KI treffen, werden darüber entscheiden, ob diese Vorfälle vereinzelte Schocks bleiben oder zum neuen Normalzustand werden.

Quellen

  • University of Mississippi Medical Center (UMMC-Stellungnahme und Vorfallsberichterstattung)
  • Forescout-Forschung zu ICS-Schwachstellen und CISA-Advisories
  • Gemeinsamer technischer TDX-Bericht von Intel und Google Cloud Security
  • Ankündigungen der IT-Abteilung des Europäischen Parlaments zu KI-Funktionen

Schlagwörter

AI regulation algorithm transparency artificial intelligence policy regulation
Mattias Risberg

Mattias Risberg

Cologne-based science & technology reporter tracking semiconductors, space policy and data-driven investigations.

University of Cologne (Universität zu Köln) • Cologne, Germany

Readers

Leserfragen beantwortet

Q Wie wirkt sich Ransomware auf US-Kliniken und die Patientenversorgung aus?
A Ransomware-Angriffe auf US-Kliniken und Gesundheitsdienstleister führen zu Klinikschließungen, wie etwa die Schließung der meisten Kliniken des University of Mississippi Medical Center, und stören elektronische Patientenakten, Diagnosesysteme sowie kritische Arbeitsabläufe. Dies führt zu verschobenen Operationen, umgeleiteten Krankenwagen, verzögerten Rezepten und einer insgesamt beeinträchtigten Patientenversorgung, wobei 74 % der Krankenhäuser von direkten Auswirkungen auf die Patientenversorgung berichten, einschließlich Verzögerungen bei Genehmigungen. Im Jahr 2025 legten 445 Angriffe auf Anbieter über 10 Millionen Datensätze offen, und Prognosen für 2026 deuten darauf hin, dass über 40 % der Gesundheitssysteme und 60 % der Krankenhäuser mit einer gestörten Versorgung konfrontiert sein werden.
Q Warum nehmen Schwachstellen in industriellen Steuerungssystemen (ICS) zu und was kann dagegen unternommen werden?
A Aus den bereitgestellten Quellen gehen keine spezifischen Informationen darüber hervor, warum ICS-Schwachstellen zunehmen oder welche Schritte zur Schadensbegrenzung eingeleitet werden können, da sich die Suchergebnisse primär auf Ransomware im Gesundheitswesen konzentrieren, ohne Details zu industriellen Steuerungssystemen zu nennen. Diskussionen über Cybersicherheit im Gesundheitswesen heben allgemeine Bedrohungen wie Angriffe auf Drittanbieter und Technologiezulieferer hervor, gehen jedoch nicht auf ICS-Schwachstellen ein.
Q Was beinhaltet das KI-Verbot des Europäischen Parlaments und welche Technologien sind eingeschränkt?
A Die bereitgestellten Suchergebnisse enthalten keine Details zum KI-Verbot des Europäischen Parlaments, dessen Inhalten oder den spezifisch eingeschränkten Technologien. Die Berichterstattung konzentriert sich auf die Auswirkungen von Ransomware im Gesundheitswesen und nicht auf KI-Regulierungen der EU.
Q Welche Schritte können Gesundheitsdienstleister unternehmen, um sich gegen Ransomware- und ICS-Bedrohungen zu verteidigen?
A Gesundheitsdienstleister können ihre Verteidigung stärken, indem sie Drittanbieter streng prüfen, da Angriffe zunehmend auf vorgelagerte Lieferanten wie Anbieter von medizinischer Abrechnung und IT-Dienstleister abzielen. Empfohlen wird die Implementierung robuster Reaktionspläne für Vorfälle mit einer Dauer von mehr als 30 Tagen ohne Technologie, die Durchführung regelmäßiger Cybersicherheits-Vorsorgemaßnahmen und das Befolgen von Hinweisen von FBI, CISA und HHS zu ausgenutzten Schwachstellen. Moderne Sicherheitsstacks, die über die reine Erkennung hinausgehen, wie etwa präventionsorientierte Maßnahmen, helfen dabei, gezielte Ransomware-Implantate abzuwehren.
Q Wie könnte sich das europäische KI-Verbot auf die KI-Innovation und -Einführung in Europa auswirken?
A In den Suchergebnissen fehlen Informationen zum KI-Verbot des Europäischen Parlaments, daher können seine potenziellen Auswirkungen auf die KI-Innovation und -Einführung in Europa anhand der Quellen nicht bewertet werden. Cybersicherheit im Gesundheitswesen ist der primäre Fokus, ohne Diskussion der EU-KI-Politik.

Haben Sie eine Frage zu diesem Artikel?

Fragen werden vor der Veröffentlichung geprüft. Wir beantworten die besten!

Kommentare

Noch keine Kommentare. Seien Sie der Erste!