Cybersicherheit: Wie Sozialunternehmen sich wappnen können

Immer häufiger werden Unternehmen, Behörden und soziale Einrichtungen Opfer von Cyberattacken. In vielen Fällen werfen die Täter ihre Netze breit aus und schauen, wer anschließend in die Falle tappt. Manche Attacken – wie etwa im Februar auf die Deutsche Bahn – richten sich jedoch direkt gegen die kritische Infrastruktur.

Laut polizeilicher Kriminalstatistik wurden im Jahr 2024 131.391 Cyber-Straftaten mit Tätern aus dem Inland registriert. Ein Rückgang von 2,2 Prozent. Die Zahl der Fälle mit Tätern aus dem Ausland stieg jedoch um sechs Prozent auf 201.877. International zählt Deutschland laut dem Microsoft Digital Defense Report zu den Ländern mit den meisten Cyberangriffen weltweit. Der wirtschaftliche Schaden wuchs nach Bitkom-Berechnungen im Jahr 2024 auf einen Rekordbetrag von rund 178 Milliarden Euro.

Wie gravierend solche Angriffe sein können, zeigte Anfang März 2026 ein Vorfall in Frankreich: Über eine Praxissoftware wurden Daten von rund 15 Millionen Menschen entwendet. Nun tauchten rund 169.000 Patientenakten im Darknet auf, die u. a. Informationen zu HIV-Status, sexueller Orientierung, Religionszugehörigkeit und Suizidgedanken enthielten. Der Fall gilt als einer der größten Cybersicherheitsvorfälle im europäischen Gesundheitswesen.

Eine Reihe von diakonischen Unternehmen hat selbst schon Erfahrungen mit Cyberattacken gemacht. Die Diakonie Stiftung Salem wurde bereits im Jahr 2022 Opfer eines Ransomware-Angriffs: Über den Zugang eines mobil arbeitenden Mitarbeitenden verschafften sich Angreifer Zugriff auf das System. „Sechs Tage später hatten sie unsere komplette digitale Infrastruktur lahmgelegt. Zur Wiedererlangung der Kontrolle über unsere Daten sollten wir 1,5 Millionen Euro Lösegeld bezahlen“, berichtet Vorstand Christian Schultz. Statt zu zahlen, entschied sich das Unternehmen, rund zwei Millionen Euro in eine moderne IT-Infrastruktur zu investieren.

Die Frage, ob man das Lösegeld zahlt oder nicht, ist jedoch nicht trivial: Denn wenn sensible Daten im Darknet weiterverkauft werden sollten, kann dies fatale Auswirkungen auf die Betroffenen haben. Im Fall der Diakonie Stiftung Salem konnte glücklicherweise ausgeschlossen werden, dass personenbezogene Daten entwendet wurden.

Häufig beginnt ein Cyberangriff mit einem menschlichen Fehler. Nach Einschätzung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) ist Phishing in rund 60 Prozent der Fälle der wichtigste Angriffsweg. Ein einziges Schlupfloch kann ausreichen, damit die Kriminellen Zugang zum System erhalten. Hinzu kommt, dass Angriffe zunehmend professioneller werden. Mithilfe künstlicher Intelligenz können Täter täuschend echte Nachrichten generieren und sogar den Schreibstil von Vorgesetzten imitieren.

Kommt es zu einem erfolgreichen Angriff, können die Auswirkungen sehr weitreichend und langwierig sein. Ein größeres diakonisches Unternehmen berichtet, dass auch fast zwei Jahre nach einer Attacke immer noch nicht alles reibungslos funktioniere. Ein IT-Dienstleister der Sozialwirtschaft bestand hingegen jüngst seinen „Lackmustest“: „Wir konnten den Angreifer quasi hinter der ersten Tür stellen, bevor er in das System eindrang“, berichtet ein Verantwortlicher. Dank eines redundanten Security Operation Centers habe man eine umfangreiche Rund-um-die Uhr-Überwachung. „Das Feedback externer Experten war, dass die meisten einen derartigen Angriff nicht erfolgreich hätten abwehren können.“

Für Unternehmen mit gewachsenen Strukturen kommt noch eine andere Herausforderung hinzu: Verteilte Verantwortlichkeiten in der IT bergen die Gefahr, dass ein einheitliches Sicherheitsniveau nicht überall gewährleistet werden kann, berichtet ein IT-Verantwortlicher. „Es braucht ein zentrales Durchgriffsrecht, um sicherheitsrelevante Entscheidungen vor Ort beeinflussen zu können.“ Aber auch der Personalmangel ist ein Problem: Selbst große Konzerne in der Sozialwirtschaft sind mitunter nicht in der Lage ein eigenes Sicherheitszentrum für die IT zu betreiben – sie können die hoch qualifizierten Leute schlicht nicht bezahlen.

Mit dem NIS-2-Umsetzungsgesetz kommen nun auf „besonders wichtige” und „wichtige” Unternehmen zusätzliche Pflichten zu. IT-Experten aus der Sozialwirtschaft halten das Gesetz für sinnvoll, weil es endlich die oberste Führungsebene in die Pflicht nehme. „Ich kenne viele ITler, die sich beim Thema Sicherheit auf sich allein gestellt fühlen. Wenn Sie dann konkrete Vorschläge machen, werden diese oft aus Kostengründen abgeschmettert. Das könnte sich nun ändern“, so der Chef eines IT-Dienstleisters.

Während die gesetzlichen Anforderungen steigen, bleibt eine zentrale Frage offen: Wer bezahlt die notwendige Cybersicherheit? Laut der VdDD-Herbstumfrage wird das wirtschaftliche Risiko durch steigende Kosten für die IT noch größer eingeschätzt als die Lohnsteigerungen beim Personal oder die Bürokratie (siehe Grafik).

Der Grund: „Der Gesetzgeber hat keine politische Zusage zur Refinanzierung gegeben“, sagt Gerhard Müller vom Caritas-Netzwerk IT. Je nach Hilfebereich kann der Weg zur Refinanzierung sehr schwierig sein.

Krankenhaus: Grundsätzlich sind die Länder für die Investitionskosten zuständig (§ 9 KHG), kommen dieser Verpflichtung aber bekanntermaßen nur unzureichend nach. Im Zuge von Umstrukturierungsmaßnahmen durch die Krankenhausreform könnten Ausgaben für IT durch den Krankenhaustransformationsfonds mitfinanziert werden. Die Krankenkassen zahlen über die DRG die Betriebskosten wie Software-Lizenzen, Sicherheits-Dienstleistungen, Schulungen und Penetrationstests – allerdings greifen Anpassungen in den Fallpauschalen erst mit Verzögerungen.

Im Pflegebereich sind prinzipiell ebenfalls die Länder für die Investitionsfinanzierung zuständig (ggf. über die Investitionskostensätze). Die Sachkosten (Schulungen, Cyber-Versicherung, Audits) können in die Pflegesatz-Kalkulation mit eingebracht werden. Allerdings kann es bei Anwendung des externen Vergleichs dazu kommen, dass die Sachkosten als „überdurchschnittlich“ gelten und abgelehnt werden. Dann bleibt nur der Weg über die Schiedsstelle und Sozialgericht.

Im Bereich der Eingliederungshilfe können IT-Sicherheitskosten als Sachkosten in Vergütungsvereinbarungen nach §125 SGB IX eingebracht werden, da betriebsnotwendig (§125 Abs. 3 SGB IX). Im Bereich der Jugendhilfe wären die Ausgaben als Teil der Gemeinkosten mit anzusetzen (§78c SGB VIII). Wird die Übernahme der Kosten abgelehnt und hilft auch die Schiedsstelle nicht weiter, bleibt nur der Klageweg.

Klar ist aber auch: Je größer der Träger, desto eher lassen sich die Kosten skalieren. Komplexträger legen die Kosten über die Gemeinkostenumlage auf die einzelnen Hilfefelder um. Zudem lassen sich durch Kooperationsmodelle oder die Auslagerung von IT-Leistungen Kosten sparen.

Weitere Finanzierungsvorhaben im Kontext Digitalisierung sind zudem noch in der politischen Diskussion oder bereits auf den Weg gebracht: Im Bundeshaushalt sind 190 Millionen Euro zur Verbesserung der Cybersicherheit in Kliniken vorgesehen. In der Digitalisierungsstrategie des Bundesgesundheitsministeriums ist ein „Sofortprogramm Cybersicherheit“ angekündigt. Bis Sommer soll zudem ein Entwurf für ein Gesundheitssicherstellungsgesetz folgen, bei dem auch das Thema Cybersicherheit eine Rolle spielt.

Doch auch unabhängig davon müssen diakonische Organisationen selbst aktiv werden und technische sowie organisatorische Maßnahmen umsetzen. Das fängt bei der Sensibilisierung der Mitarbeitenden an: Beim Gesundheitskonzern AGAPLESION läuft beispielsweise derzeit eine breit angelegte Awareness-Kampagne. Lernvideos, Quizformate und Phishing-Simulationen sollen Mitarbeitende für typische Angriffsmuster sensibilisieren, berichtet Markus Schmelzeisen, Leiter des Zentralen Dienstes Compliance & Datensicherheit bei AGAPLESION. Auch die Diakonie Stiftung Salem hat ihre Präventionsmaßnahmen deutlich ausgebaut. Inzwischen gibt es dort monatliche Phishing-Tests.

Cyberangriffe werden in Zukunft eher häufiger und professioneller werden. Für diakonische Unternehmen bedeutet das: Cybersicherheit ist kein Randthema der IT-Abteilung mehr, sondern Teil der organisatorischen Verantwortung. Der Schutz sensibler Daten, die Aufrechterhaltung der Versorgung und das Vertrauen von Patientinnen, Klienten und Angehörigen sowie Kostenträgern hängen zunehmend davon ab, wie gut Organisationen auf digitale Risiken vorbereitet sind. Investitionen in Cybersicherheit sind daher nicht nur eine technische Notwendigkeit – sondern eine Voraussetzung dafür, dass soziale Arbeit auch im digitalen Zeitalter verlässlich funktionieren kann.