Warum IT-Sicherheit heute geschäftskritisch ist
Lange Zeit hatte IT‑Sicherheit in vielen Krankenhäusern keinen hohen Stellenwert. Im Vordergrund standen zurecht die medizinische Versorgung, Personalthemen und das wirtschaftliche Überleben im Alltag. IT wurde primär als Betriebsfaktor verstanden: Sie musste funktionieren – mehr nicht.
Diese Sichtweise reicht heute nicht mehr aus. Die fortschreitende Digitalisierung klinischer Prozesse, vernetzte Medizingeräte, externe Dienstleister und Cloud‑Anbindungen vergrößern die Angriffsfläche erheblich. Gleichzeitig zeigen erfolgreiche Cyberangriffe auf Kliniken, dass IT‑Sicherheit kein theoretisches Risiko ist, sondern den laufenden Betrieb, die Patientensicherheit und letztlich die Existenz eines Hauses unmittelbar bedrohen kann.
NIS‑2: IT‑Sicherheit wird zur Pflichtaufgabe der Geschäftsführung
Die starke Abhängigkeit des Gesundheitswesens von stabilen IT‑Systemen hat den Gesetzgeber zum Handeln gezwungen. Mit der EU‑Richtlinie 2022/2555 und dem deutschen NIS2‑Umsetzungsgesetz (NIS2UmsuCG) wird Cybersicherheit für ein deutlich breiteres Spektrum von Einrichtungen zur rechtlich verbindlichen Pflicht. Der Kreis der betroffenen Organisationen wächst von rund 4.500 auf etwa 29.500, darunter zahlreiche Krankenhäuser und mittelgroße Unternehmen im Gesundheitssektor.
Das Gesetz ist seit dem 6. Dezember 2025 in Kraft. Für Geschäftsführungen bedeutet das: IT-Sicherheit ist explizit Führungsaufgabe. Die Leitungsebene haftet persönlich, wenn die Umsetzung der Anforderungen nicht überwacht wird, Schulungen ausbleiben oder die Dokumentation veraltet ist. Verstöße können zu erheblichen Bußgeldern und zur persönlichen Haftung führen. Die Eckpunkte zu NIS2 haben wir unten für Sie zusammengefasst.
NIS2 verlangt Risikomanagement, Sicherheitsmaßnahmen und Vorfallmeldungen, die in einem Informationssicherheits-Managementsystem (ISMS) strukturiert werden – B3S mappt diese auf branchenspezifische Standards wie IT-Grundschutz.
Um den Status Ihrer IT‑Sicherheit systematisch beurteilen zu können, betrachten wir die wichtigsten Dimensionen, orientiert an B3S und NIS‑2:
- – Organisatorisch: Aufbau und Betrieb eines ISMS mit klaren Vorgaben, Schutzzielen, Rollen, Prozessen, Risikomanagement und kontinuierlicher Verbesserung.
- – Personell: Sensibilisierung und Schulung der Mitarbeitenden, klare Verantwortlichkeiten, Cyberhygiene und Personalsicherheit.
- – Technisch: Schutzmaßnahmen für IT‑Systeme, Netzwerke und Anwendungen (u. a. Zugriffskontrollen, Segmentierung, Malware‑Schutz, Verschlüsselung, Logging, sichere Entwicklung).
- – Physisch: Schutz der Infrastruktur wie Rechenzentren, Serverräume und kritische IT‑Bereiche.
Diese Dimensionen bilden gemeinsam das Fundament für ein wirksames, prüffähiges Sicherheitsniveau nach NIS‑2 und B3S – und damit für einen stabilen, sicheren Krankenhausbetrieb.
Weitere Informationen können Sie der nachfolgenden Übersicht entnehmen.
Assesment-Kategorien nach ISO 27001
Organisatorisch
(Informations-) Risiko Management (ISRM/RM): Etablierung eines ganzheitlichen, systematischen Risikomanagementprozesses zur konsistenten Identifikation, Bewertung, Behandlung und Nachverfolgung von Informationssicherheitsrisiken für alle kritischen Informationswerte.
- – B3S Mapping: 5
- – NIS2: §30 ff.
Lieferanten & Dritte: Risikobasiertes Management der Lieferkette durch Bewertung von Dienstleistern hinsichtlich ihrer Sicherheitsvorkehrungen, vertragliche Festlegung von Sicherheitsanforderungen und kontinuierliches Monitoring.
- – B3S Mapping: 6.12, 6.11
- – NIS2: §30 Abs. 2 Nr. 4
Asset Management: Vollständige Inventarisierung aller Informationswerte und IT-Systeme (IT, Medizintechnik, Versorgungstechnik, kritische Anwendungen) mit Klassifizierung nach Kritikalität, Schutzbedarf.
- – B3S Mapping: 3.2.3, 6.5
- – NIS2: §33 Abs. 1-2
Business Continuity Management (BCMS) & Notfall-Management: Sicherstellung der Betriebsaufrechterhaltung und Wiederherstellung kritischer Prozesse im Fall von Störungen oder Ausfällen durch Notfallpläne, Backup-Strategien und regelmäßige Tests.
- – B3S Mapping: 6.4, 6.6
- – NIS2: §32 ff.
Vorfallserkennung und -behandlung: Aufbau einer Incident Response-Fähigkeit zur schnellen Erkennung, Eindämmung und Behebung von Sicherheitsvorfällen mit strukturierter Nachbearbeitung (Lessons Learned) sowie Erfüllung der BSI-Meldepflichten.
- – B3S Mapping: 6.3, 6.9
- – NIS2: §32
Personell
Auditierung und kontinuierlicher Verbesserungsprozess (KVP): Durchführung systematischer und regelmäßiger Überwachungs-, Audit- und Review-Maßnahmen zur Validierung der Wirksamkeit implementierter Informationssicherheitsmaßnahmen, zur Identifikation von Abweichungen und zur Sicherstellung der kontinuierlichen Verbesserung des Informationssicherheitsmanagementsystems.
- – B3S Mapping: 6.10
- – NIS2: §40
Technisch
Trainings und Schulungen: Sensibilisierung und Befähigung aller Mitarbeiter durch regelmäßige, zielgruppenspezifische Schulungen und Cyberhygiene-Awareness sowie Sicherung der Personalverfügbarkeit durch Vertretungsregelungen und Screening.
- – B3S Mapping: 6.8
- – NIS2: §38 ff.
Physisch
Technische Informationssicherheit
(Endpoint AV, VPN, Firewalling, IDS/IDP; Systeme zur Vorfallserkennung (SOC / SIEM)): Implementierung aller technischen Schutzmaßnahmen für IT-Systeme, Netzwerke und Anwendungen einschließlich Zugriffskontrolle, Netzwerkssegmentierung, Malware-Schutz, Verschlüsselung, Logging/Monitoring und sichere Entwicklung.
- – B3S Mapping: 6.13 (excl. 6.13.19)
- – NIS2: §30
Warum sich der Aufbau eines ISMS lohnt
Ein ISMS ist weit mehr als ein einzelnes Dokument – es bildet ein systematisches Managementsystem, das prozessorientiert (PDCA-Zyklus: Plan-Do-Check-Act) die Informationssicherheit steuert, Risiken minimiert und kontinuierlich verbessert.
Die Vorteile im Überblick:
- – Gelebte Praxis statt Papierkultur: Es integriert Sicherheitsmaßnahmen in den Klinikalltag (z. B. Zugriffskontrollen, Vorfallmeldung), reduziert Ausfälle und schützt Patientendaten nach PDSG/NIS-2.
- – Gesetzliche Notwendigkeit: Für Krankenhäuser als KRITIS-Einrichtung Pflicht (B3S, § 75c SGB V); vermeidet Bußgelder bis Millionenhöhe und persönliche Haftung der Geschäftsführung.
- – Wirtschaftlicher Nutzen: Senkt Risiken wie Ransomware Angriffe (häufig in Kliniken), optimiert Prozesse und erleichtert Zertifizierungen wie ISO 27001.
Fokussieren Sie sich auf messbare KPIs (z. B. Vorfallreduktion), regelmäßige Audits und Tools statt Word-Listen – so wird es Teil der gelebten Praxis statt eines Ordners, der im Regal verschwindet. In deutschen Krankenhäusern deckt ein solides ISMS 80% der NIS-2-Anforderungen ab und stärkt die Versorgungssicherheit.
Folgende Kernbausteine sind für ein ISMS essenziell:
- – Sicherheitsrichtlinie: Top-Management verpflichtet sich zu Schutz der drei (bzw. vier) Ziele: Vertraulichkeit, Integrität, Verfügbarkeit (plus Authentizität im B3S).
- – Risikoanalyse: Identifikation kritischer Assets wie stationäre Versorgung, Patientendaten und Medizintechnik; Bewertung mit IT-Grundschutz-Katalogen.
- – Maßnahmenkatalog: 168 B3S-Maßnahmen (Muss/Soll/Kann), z. B. Zugriffskontrollen (A.9 ISO), Vorfallmeldung (≤24 Std. per NIS-2) und Schulungen.
- – Organisation: ISMS-Team mit Beauftragtem, regelmäßige Audits und iterative Umsetzung.
Standortbestimmung statt Aktionismus: Unser IT-Security-Assessment
In Form eines strukturierten Fragebogens ermöglicht Detecon es Ihnen, ein IT-Security-Assesment für eine schnelle und realistische Standortbestimmung der IT-Sicherheit im Krankenhaus ohne großen Vorbereitungsaufwand durchzuführen.
Das Assessment richtet sich an IT-Leiter und Krankenhausverantwortliche und liefert:
- 1. Eine klare Einordnung des aktuellen Sicherheitsniveaus in den verschiedenen Dimensionen.
- 2. Eine Orientierung im Kontext gesetzlicher Anforderungen und Standards (u. a. KRITIS, NIS-2 und B3S).
- 3. Eine erste Priorisierung von Handlungsfeldern.
- 4. Einen objektiven Richtwert, wo das Krankenhaus heute steht.
Das Ergebnis ist keine abstrakte Punktzahl, sondern eine belastbare Entscheidungsgrundlage: für die Geschäftsführung, für Investitionsentscheidungen und für die nächsten realistischen Schritte in Richtung mehr IT-Sicherheit.
Eckpunkte zu NIS-2
Das NIS-2-Gesetz, offiziell das NIS2-Umsetzungsgesetz (NIS2UmsuCG), setzt die EU-Richtlinie 2022/2555 in deutsches Recht um und stärkt die Cybersicherheit für ein breiteres Spektrum an Unternehmen und Einrichtungen. Es erweitert den Kreis betroffener Organisationen von ca. 4.500 auf rund 29.500, einschließlich mittelgroßer Unternehmen in kritischen Sektoren wie Energie, Gesundheit, Finanzen und Digitalinfrastruktur.
Das Gesetz trat am 6. Dezember 2025 in Kraft, mit Registrierungsfrist bis 6. März 2026 beim BSI:
- – Kernanforderungen: Betroffene Einrichtungen müssen ein risikobasiertes Management einführen, inklusive Risikoanalysen, Lieferkettensicherheit, Incident-Response und Krisenmanagement. Geschäftsführer haften persönlich für die Umsetzung, Schulungen und Wirksamkeitsprüfungen. Strengere Maßnahmen gelten für „besonders wichtige“ vs. „wichtige“ Einrichtungen, basierend auf Größe, Umsatz und Sektor.
- – Meldepflichten: Bei erheblichen Vorfällen gilt ein dreistufiges System: Erstmeldung innerhalb 24 Stunden, Folgemeldung mit Bewertung innerhalb 72 Stunden und Abschlussbericht innerhalb eines Monats. Das BSI erhält erweiterte Aufsichtsrechte, inklusive Prüfungen und Bußgelder bis zu Millionenhöhen.
- – Auswirkungen für IT-Sicherheit: Als IT-Sicherheitsexperte in Deutschland sollten Sie prüfen, ob Ihr Unternehmen, z. B. im Gesundheitsbereich, mittelgroß ist und in NIS-2-Sektoren fällt – Registrierung und Anpassung von Policies sind dringend. Es harmonisiert EU-weit Standards und adressiert Ihre Interessen an Compliance und Autonomie.
Fazit
Die Frage ist heute nicht mehr, ob Krankenhäuser sich mit IT-Sicherheit beschäftigen müssen – sondern wie schnell und strukturiert sie damit beginnen. Cyberangriffe, regulatorische Anforderungen und die zunehmende Digitalisierung machen ein systematisches Sicherheitsmanagement unverzichtbar.
Ein klarer Überblick über den eigenen Sicherheitsstatus ist dabei der erste Schritt, um Risiken zu reduzieren und IT-Sicherheit langfristig im Klinikbetrieb zu verankern.
Führen Sie Ihre Standortbestimmung mit unserem IT Security Assessment durch!
Lernen Sie uns kennen.
Oliver Grotius
Senior Manager
Mark Großer
Principal
