Drei NHS-Cybervorfälle, ein blinder Fleck: Risiko, das zwischen den Ebenen wandert

Liest man drei Vorfälle nacheinander, lässt sich das Muster kaum übersehen. 2017 drang WannaCry über Netzwerk und Cloud in NHS-Systeme ein und breitete sich nach unten aus; nach Zählung der Autor:innen wurden mehr als 13.500 ambulante Termine abgesagt, und Krankenhäuser mussten Notfälle umleiten. Ebenfalls 2017 ging die MedJack-Kampagne den umgekehrten Weg: Sie begann an physischen Geräten — Radiologie-Arbeitsplätzen, Infusionspumpen — und stieg in die übergeordnete Infrastruktur auf. 2024 fiel eine fehlerhafte CrowdStrike-Aktualisierung erneut aus der Cloud herab und legte Bildgebung, Akten und Überwachung in Hunderten Krankenhäusern gleichzeitig lahm. Drei Vorfälle, drei Ausbreitungsrichtungen, eine gemeinsame Annahme, die versagte.

Diese Annahme ist der Gegenstand des Beitrags — und man sollte klar sagen, was der Beitrag ist. Es handelt sich um einen Kommentar in npj Digital Medicine, ein kurzes politisches Argument an die britische Arzneimittel- und Medizinproduktebehörde MHRA (Medicines and Healthcare products Regulatory Agency). Er legt keine neuen Daten vor, führt kein Experiment durch und prüft keine Hypothese. Er ist eine Meinung, begründet aus öffentlichen Vorfällen und bestehenden Normen. An diesem Maßstab gemessen ist er klar und nützlich.

Das Argument

Vernetzte Medizinprodukte, so die Autor:innen, existieren in drei Ebenen zugleich: einer physischen Ebene (die Insulinpumpe, der Herzschrittmacher, der Glukosesensor am Körper), einer Netzwerk-Ebene (Bluetooth, WLAN, Mobilfunk) und einer Cloud-Ebene (die Server und Schnittstellen der Hersteller). Die meisten Sicherheitsrahmen bewerten diese Ebenen einzeln. Reale Vorfälle halten sich nicht an die Grenzen. Eine Schwachstelle kann von der Cloud zum Gerät, vom Gerät zur Cloud oder in beide Richtungen zugleich wandern, sodass ein auf einer Ebene als beherrschbar eingestufter Fehler auf einer anderen zu einem Problem der Patientensicherheit wird.

Ihr durchgerechnetes Beispiel ist konkret: der Rückruf der Medtronic-MiniMed-Insulinpumpe von 2019, geführt als CVE-2019-10964 und mit 8,8 von 10 Punkten im Common Vulnerability Scoring System bewertet — hohe Schwere. Eine drahtlose Schwachstelle in einem am Körper getragenen Gerät ist kein IT-Ticket. Sie ist ein Weg zur Über- oder Unterdosierung von Insulin, also ein Weg zur Schädigung. Genau das ist der Kern des Arguments: Cybersicherheit ist bei diesen Geräten nicht ein Nebenfeld der Patientensicherheit, sondern Patientensicherheit selbst.

Was der Beitrag empfiehlt

Daraus folgen drei Forderungen an die Behörde. Erstens sollten Hersteller bei der Zulassung das schichtübergreifende Risiko bewerten müssen — also ausdrücklich darlegen, wie sich eine Schwachstelle über physische, Netzwerk- und Cloud-Ebene fortpflanzen könnte. Zweitens ein Rahmenwerk für sichere Produktentwicklung, bei dem Sicherheit über den gesamten Lebenszyklus eingebaut statt nachträglich aufgesetzt wird, belegt durch eine Software-Stückliste (Software Bill of Materials, SBOM): jene Liste der Bestandteile, die einem Krankenhaus zeigt, was in einem Gerät tatsächlich steckt, wenn die nächste Schwachstelle bekannt wird. Drittens ein klarer Verantwortungsrahmen — wer patcht, wer steuert Zugänge, wer überwacht — entlang der Grenze zwischen Hersteller und Betreiber, wo die Zuständigkeit heute unscharf ist.

Was er nicht belegt

Nichts davon ist nachgewiesen; es ist begründet. Die drei Vorfälle sind real, doch ein Kommentar, der drei einprägsame Fälle auswählt, führt ein Argument, er misst keinen Effekt. Es gibt keine Schätzung, wie häufig eine schichtübergreifende Ausbreitung vorkommt, keinen Vergleich von Regulierungssystemen mit und ohne SBOM-Pflicht, keine Kosten- oder Schadensmodellierung. Die Behauptung, die empfohlenen Maßnahmen hätten genau diese Vorfälle verhindert, ist plausibel und unbewiesen. Man sollte die Rahmung — dass Risiko zwischen den Ebenen wandert und eine Einzelschicht-Bewertung dies übersieht — als gut begründete Perspektive lesen, nicht als Beleg einer Effektstärke.

Ein Interessenkonflikt verdient sein Gewicht statt einer Fußnote: Der Erstautor ist Co-Direktor und Mehrheitsgesellschafter der CYBNODE Ltd, eines britischen Cybersicherheitsunternehmens, und hält 75 Prozent oder mehr der Anteile und Stimmrechte. Ein Ruf nach strengerer Cybersicherheitsregulierung, von jemandem, dem ein Cybersicherheitsunternehmen gehört, kann gleichwohl vollständig richtig sein — aber es ist genau die Art Argument, die eine sorgfältige Leserin mit diesem Interesse vor Augen abwägt. Die Autor:innen legen ihn offen, und das ist richtig so.

Warum das hier zählt

Die strukturelle Lücke, die die Autor:innen für Großbritannien beschreiben, ist keine britische Besonderheit. In der Europäischen Union setzt die Medizinprodukteverordnung (MDR) Erwartungen an die Cybersicherheit, und die NIS2-Richtlinie erhöht die Pflichten für wesentliche Dienste — doch eine einzige verpflichtende, schichtübergreifende Sicherheitsbewertung, die Gerät, Netzwerk und Cloud bei der Zulassung zusammenbindet, gestützt auf eine routinemäßige Software-Stückliste, wie sie die US-amerikanische Arzneimittelbehörde FDA inzwischen erwartet, ist nicht durchgängig vorhanden. Der Wert dieses Kommentars liegt nicht darin, dass er etwas beweist. Er liegt darin, dass er klar eine Frage stellt, die europäische Regulierer und Krankenhausleitungen für sich selbst beantworten müssen: Wenn ein Fehler im Stapel auf- und abwärts wandern kann, wer ist für den ganzen Stapel verantwortlich, und woher wüsste irgendjemand, was im Gerät steckt, bevor die nächste Schwachstelle bekannt wird.

Quelle: Toparti O, Rajput K, Darzi A, Ghafur S. Cybersecurity in connected medical devices: a policy agenda for the NHS. npj Digital Medicine 2026;9:204. Es handelt sich um einen Kommentar — eine Meinungsäußerung ohne eigene Primärdaten —, und der Erstautor legt eine Mehrheitsbeteiligung an einem Cybersicherheitsunternehmen offen; beides sollte eine Leserin im Blick behalten.