Schutzbedarfsfeststellung: Großklinik

• Vorgehensweise: Die Schutzbedarfsfeststellung folgt bewährten Standards des Informationssicherheits-Managements (insb. BSI IT-Grundschutz und ISO/IEC 27001). Zunächst werden sämtliche relevanten Schutzgüter (Informationswerte, IT-Systeme, Prozesse) der Klinik erhoben.

• Vertraulichkeit: Schutz vor unbefugter Preisgabe von Informationen.

• Integrität: Schutz vor unautorisierter oder unbeabsichtigter Veränderung.

• Verfügbarkeit: Sicherstellung der Zugreifbarkeit und Funktionsfähigkeit bei Bedarf.

Jedes Schutzgut wird in Bezug auf jedes Schutzziel einer Schutzbedarfskategorie zugeordnet – normal, hoch oder sehr hoch. Diese Einstufung orientiert sich an dem potenziellen Schadenausmaß bei Verletzung des jeweiligen Schutzziels. Konkret bedeutet dies: „normal“ bei begrenzten spürbaren Auswirkungen, „hoch“ bei erheblichen Auswirkungen und „sehr hoch“ bei existenzbedrohlichen oder katastrophalen Folgen. Nicht nur finanzielle Schäden werden berücksichtigt, sondern auch juristische Konsequenzen (Verstöße gegen Gesetze/Vorschriften), Beeinträchtigung der Aufgabenerfüllung sowie Auswirkungen auf Leib und Leben von Patienten. Gerade Personenschäden, etwa durch Behandlungsfehler infolge falscher Daten, oder Rechtsverstöße (z.B. Datenschutzverletzungen) fließen maßgeblich in die Bewertung ein.

• Bewertungsmaßstäbe: Orientiert an BSI-Grundschutz und DSGVO gilt: Personenbezogene Daten haben mindestens hohen Vertraulichkeitsschutz, besondere personenbezogene Daten (Gesundheitsdaten) sogar sehr hohen. Daher wird bei allen Schutzgütern, die patienten- oder mitarbeiterbezogene Informationen enthalten, von vornherein ein erhöhter Vertraulichkeitsbedarf angenommen. Zusätzlich werden die funktionale Rolle und mögliche Folgewirkungen bewertet: Ein Ausfall kritischer Systeme kann z.B. die Patientenversorgung unmittelbar gefährden oder rechtliche Verpflichtungen verletzen. In solchen Fällen wird auch der Verfügbarkeits- und Integritätsschutz tendenziell als hoch bis sehr hoch eingestuft. Die Einstufung erfolgt konservativ, d.h. im Zweifel wird eher die höhere Schutzbedarfskategorie gewählt, um dem Vorsichtsprinzip gerecht zu werden – dies entspricht dem Stand-der-Technik-Ansatz der DSGVO (Risikobetrachtung) und den BSI-Empfehlungen.

• Datenbasis und Rechtsquellen: Die Analyse stützt sich auf aktuelle Gesetze, Verordnungen und anerkannte Standards. Relevante rechtliche Vorgaben (DSGVO/BDSG, SGB V, BSIG/BSI-KritisV, GeschGehG) werden bei der Einstufung der Schutzgüter mitberücksichtigt. Branchenspezifische Sicherheitsstandards (B3S Krankenhaus) und Publikationen des BSI sowie Fachliteratur liefern Anhaltspunkte für typische Schutzbedarfe im Gesundheitswesen. Insbesondere die Publikationen der BSI-Allianz für Cyber-Sicherheit und Erfahrungsberichte aus Vorfällen in der Gesundheitsbranche werden herangezogen, um realistische Bedrohungsszenarien und Schadenspotenziale einzuschätzen.

Nachfolgend werden zunächst die einzelnen Schutzgüter der Großklinik identifiziert und hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit analysiert. Dabei wird jeweils die Schutzbedarfskategorie begründet. Anschließend erfolgt die übergreifende Bedrohungsanalyse typischer Angriffsszenarien bzw. Schadensereignisse. Darauf aufbauend werden konkrete Maßnahmen empfohlen, um den festgestellten Schutzbedarf zu decken. Alle Empfehlungen werden an den einschlägigen rechtlichen Anforderungen sowie “Stand der Technik”-Kriterien gespiegelt, um ein konformes Sicherheitsniveau zu erreichen.

Im Folgenden werden alle wesentlichen Informationswerte und Systeme der Klinik systematisch analysiert.

• Patientenakten (digital/analog): Beschreibung: Beinhaltet die elektronische Patientenakte (EPA) und papiergebundene Krankenakten mit Befunden, Arztbriefen, Anamnesen, Medikationsplänen etc. Vertraulichkeit: Sehr hoch, da Patientendaten gemäß DSGVO besondere Schutzwürdigkeit genießen. Es handelt sich um Gesundheitsinformationen, deren Bekanntwerden für Patienten zu Diskriminierung oder schweren persönlichen Beeinträchtigungen führen kann; entsprechend ist das Risiko bei einer Verletzung der Vertraulichkeit besonders hoch. Dies spiegelt sich auch in Empfehlungen wider, besondere Kategorien von Daten stets als „sehr vertraulich“ einzustufen. Zudem besteht für Ärzte und Personal eine gesetzliche Schweigepflicht (§ 203 StGB), was den maximalen Geheimhaltungsbedarf unterstreicht. Integrität: Sehr hoch, da Änderungen oder Fehler in Patientenakten direkt die Behandlung beeinflussen. Manipulierte oder falsche Einträge (etwa vertauschte Laborwerte, falsche Allergieangaben) können zu Fehlbehandlungen und lebensgefährlichen Konsequenzen führen. Beispielsweise könnten falsche Informationen zur Medikation oder Krankengeschichte fatale Therapieentscheidungen nach sich ziehen. Verfügbarkeit: Sehr hoch, da Ärzte und Pflegepersonal jederzeit schnellen Zugriff auf Akten benötigen, um adäquat behandeln zu können. Eine fehlende Verfügbarkeit kann die Versorgung akut gefährden – im Extremfall muss ein Notfallpatient abgewiesen oder verlegt werden, was bereits zu einem Todesfall führte, nachdem ein Krankenhaus wegen Cyberangriffs keine Patienten mehr aufnehmen konnte. Auch weniger drastisch bedeutet ein IT-Ausfall der Patientenverwaltung massive Verzögerungen und Risiken (etwa Unkenntnis von Vorerkrankungen oder Medikationen). Schutzbedarf: Für Patientenakten ist in allen drei Schutzzielen ein sehr hoher Schutzbedarf gegeben (Vertraulichkeit und Integrität wegen der sensiblen Inhalte und unmittelbaren Auswirkungen auf Leib und Leben, Verfügbarkeit wegen des kritischen Versorgungsbezugs).

• Labor- und Diagnosedaten: Beschreibung: Daten aus Laboruntersuchungen (z.B. Blutwerte, Mikrobiologie-Befunde) und diagnostischen Verfahren (z.B. Pathologie- und Funktionsdiagnostik-Berichte). Vertraulichkeit: Sehr hoch, da diese Daten Teil der Gesundheitsakte der Patienten sind – Laborbefunde können hochsensible Informationen (HIV-Status, genetische Befunde etc.) enthalten. Sie unterliegen damit demselben besonderen Datenschutzregime wie Patientenakten (Art. 9 DSGVO) und sind vor unbefugtem Zugriff streng zu schützen. Integrität: Sehr hoch, da Diagnosedaten unmittelbar medizinische Entscheidungen steuern. Verfälschte Laborwerte oder fehlerhafte Befunde hätten gravierende Folgen: Wird z.B. ein kritisch erhöhter Kaliumwert durch einen Manipulationsangriff abgesenkt, unterbleibt eine erforderliche Behandlung und der Patient könnte einen Herzstillstand erleiden. Ebenso könnte ein gefälschter negativer Pathologiebefund dazu führen, dass eine Krebserkrankung unentdeckt bleibt. Entsprechend muss die Unversehrtheit dieser Daten jederzeit gewährleistet sein. Verfügbarkeit: Hoch bis sehr hoch, je nach Dringlichkeit der Untersuchungen. Insbesondere bei akut erforderlichen Laborwerten (Intensivmedizin, Notaufnahme) ist höchste Verfügbarkeit essenziell – fehlen Laborergebnisse, können Operationen oder Therapien nicht durchgeführt werden. Ein Beispiel aus Großbritannien zeigt, dass ein Ransomware-Angriff die Zahl der täglich durchführbaren Bluttests auf 4% des üblichen Volumens reduzierte; in der Folge mussten hunderte Operationen verschoben werden. Solche Ausfälle verdeutlichen den hohen Stellenwert der Labordaten-Verfügbarkeit. Schutzbedarf: Insgesamt ist für Labor- und Diagnosedaten ein sehr hoher Schutzbedarf bei Vertraulichkeit und Integrität und ein hoher bis sehr hoher bei Verfügbarkeit anzusetzen. Diese Daten müssen gegen unbefugten Zugriff, Veränderung und Verlust maximal geschützt werden, da sie sowohl datenschutzrechtlich brisant als auch vital für die Behandlung sind.

• Medizintechnische Steuerdaten: Beschreibung: Digitale Steuerungs- und Messdaten von medizinischen Geräten und Systemen, z.B. von Infusionspumpen, Beatmungsgeräten, Patientenmonitoren oder OP-Robotern. Diese Daten umfassen Gerätedatenströme, Konfigurationen, Alarmsignale und Steuerbefehle, welche zwischen Geräten und zentralen Stationsrechnern ausgetauscht werden. Vertraulichkeit: Normal, da diese Steuerdaten in der Regel keine direkten personenbezogenen Inhalte haben, sondern technische Informationen darstellen. Zwar könnten aus Protokolldaten indirekt Bezüge (z.B. Geräte-Einsatz bei Patient X) hergestellt werden, doch steht hier der Schutz vor Sabotage im Vordergrund, nicht die Geheimhaltung an sich. Integrität: Sehr hoch, da Integritätsverletzungen direkt die Patientensicherheit bedrohen. Werden Steuerdaten manipuliert, kann dies z.B. zu Fehlfunktionen führen – etwa ein verfälschter Infusionsbefehl, der eine Überdosis eines Medikaments auslöst, oder ein abgeschalteter Alarm eines Patientenmonitors. In der Praxis wurden bereits gravierende Sicherheitslücken entdeckt, z.B. enthielten bestimmte Patientenmonitore eine fest eingebaute Backdoor, über die unautorisiert Daten abgegriffen oder verändert werden könnten. Solche Schwachstellen zeigen das Potenzial für gezielte Manipulation: Ein Angreifer könnte Vitalparameter fälschen oder ein Gerät ferngesteuert abstellen. Daher ist höchste Integritätssicherung (etwa durch Signaturen, Prüfsummen, Zugriffsbegrenzung) erforderlich. Verfügbarkeit: Hoch, denn die kontinuierliche Verfügbarkeit dieser Steuerdaten und Signale ist für den laufenden Klinikbetrieb (insbesondere Intensivstation, OP) kritisch. Fällt z.B. die zentrale Überwachung aus, können Alarmmeldungen an Pflegepersonal nicht mehr zuverlässig weitergeleitet werden, was Menschenleben gefährdet. Zwar verfügen viele Geräte über lokale Notfallmodi (bspw. Alarme am Gerät selbst); dennoch führt ein Ausfall der Vernetzung zu erheblichen Versorgungsrisiken und Mehrbelastungen des Personals. Schutzbedarf: Medizintechnische Steuerdaten weisen somit einen hohen bis sehr hohen Schutzbedarf auf: Vertraulichkeit normal (technische Daten), aber Integrität und Verfügbarkeit in höchstem Maße, da kompromittierte oder ausgefallene Gerätedaten direkt die Behandlung und Sicherheit der Patienten beeinträchtigen.

• Bildgebungsdaten (DICOM/Bilddaten): Beschreibung: Radiologische Bilddaten (Röntgen, CT, MRT), Sonographien sowie bildgebende Verfahren wie Endoskopie – typischerweise gespeichert im PACS (Picture Archiving and Communication System) im DICOM-Format – und zugehörige Befundbilder. Vertraulichkeit: Sehr hoch, denn medizinische Bilder sind personenbezogene Gesundheitsdaten. Selbst wenn ein Bild keine offensichtlichen personenbezogenen Merkmale enthält, lässt es Rückschlüsse auf den Gesundheitszustand zu (z.B. Tumor auf CT). Millionen solcher Bilder wurden in der Vergangenheit versehentlich auf ungeschützten Servern im Internet gespeichert und waren für jedermann abrufbar – ein krasses Beispiel für ein Datenschutzleck, das die Sensibilität dieser Daten unterstreicht. Klinische Bilddaten müssen somit vor unbefugtem Zugriff genauso geschützt werden wie textuelle Patientendaten. Integrität: Hoch, da diagnostische Bilder die Grundlage für klinische Entscheidungen bilden. Verfälschungen (etwa das digitale Entfernen einer Auffälligkeit) oder Zuordnungsverluste (Vertauschen von Bildern zwischen Patienten) hätten potenziell katastrophale Folgen für Diagnostik und Therapie. Zwar ist eine absichtliche Bildmanipulation aufwendig und selten, aber die Möglichkeit – etwa im Rahmen von Forschungsspionage oder eines Sabotageakts – besteht. Bereits kleinere Integritätsprobleme, z.B. korrupt gewordene Bilddateien, können Diagnosen verzögern oder falsch beeinflussen. Entsprechend ist ein hohes Maß an Sicherung der Bilddatenintegrität (etwa durch Prüfsummen, Read-Only-Archive) nötig. Verfügbarkeit: Hoch, denn ein Ausfall des PACS oder Verlust von Bilddaten beeinträchtigt direkt die Versorgung: Radiologen und behandelnde Ärzte benötigen raschen Zugriff auf aktuelle und frühere Aufnahmen, um Diagnosen stellen oder Operationen planen zu können. Muss ein OP verschoben werden, weil z.B. die präoperative Bildgebung nicht abrufbar ist, entstehen Gefahren und Ressourcenverschwendung. Während kurzzeitige PACS-Downtimes durch Notfallverfahren (z.B. lokale Speicherung neuer Bilder, Ausweichen auf schriftliche Befunde) überbrückt werden können, führen längerfristige Ausfälle zu massiven Versorgungseinbußen. In einem dokumentierten Fall legte ein IT-Ausfall in zwei Kliniken sämtliche digitale Kommunikation lahm, so dass „nichts mehr ging“ und Operationen abgesagt werden mussten – alle Abläufe mussten auf Papier umgestellt werden. Solche Szenarien gelten analog für bildgebende Verfahren. Schutzbedarf: Insgesamt haben Bildgebungsdaten einen sehr hohen Schutzbedarf in Vertraulichkeit sowie hohen in Integrität und Verfügbarkeit. Sie sind hochsensibel und unerlässlich für Diagnostik und Therapie; ihr Schutz vor unbefugtem Zugriff, Verfälschung und Verlust ist kritisch.

• Forschungsdaten und Studienunterlagen: Beschreibung: Wissenschaftliche Daten aus klinischen Studien, medizinischen Forschungsprojekten und Versuchsreihen, einschließlich Rohdaten, Auswertungen, Probandeninformationen, Laborjournale sowie vertrauliche Dokumente (z.B. Studienprotokolle, Sponsorverträge). Vertraulichkeit: Hoch (bis sehr hoch), je nach Art der Daten. Personenbeziehbare Forschungsdaten (z.B. klinische Studien mit Patientenproben) unterliegen wie Patientendaten dem strengen Datenschutz – häufig werden sie zwar pseudonymisiert, doch ein Personenbezug kann oft über Code-Schlüssel hergestellt werden. Somit ist hier ein sehr hoher Vertraulichkeitsschutz erforderlich. Andererseits gibt es auch präklinische oder technische Forschungsdaten ohne unmittelbaren Personenbezug; deren Schutzbedarf ergibt sich v.a. aus dem Wettbewerbs- und Geheimnisschutz. Viele Forschungsdaten stellen potentiell Geschäftsgeheimnisse dar – etwa Ergebnisse, die zu Patentanmeldungen führen sollen, oder vertrauliche Entwicklungen in Kooperation mit Firmen. Nach dem Geschäftsgeheimnisgesetz genießt ein Informationswert nur dann rechtlichen Schutz als Geheimnis, wenn dessen Inhaber angemessene Geheimhaltungsmaßnahmen ergriffen hat. Forschungsinstitutionen müssen folglich sensible Forschungsdaten durch Zugriffsbegrenzungen, Vertraulichkeitsvereinbarungen (NDAs) und IT-Sicherheitsmaßnahmen abschirmen, um den Status als Geheimnis zu wahren. Insgesamt ist die Vertraulichkeit von Forschungsdaten als hoch einzustufen – in medizinischen Studien mit Gesundheitsbezug sogar sehr hoch – da einerseits personenbezogene Gesundheitsinformationen betroffen sein können, andererseits strategisches Wissen und Innovationsvorsprünge auf dem Spiel stehen (Stichwort Forschungsspionage). Integrität: Hoch, denn verfälschte Forschungsdaten können die wissenschaftliche Aussagekraft zerstören. Wird z.B. in einer klinischen Studie die Integrität der Rohdaten kompromittiert (durch technischen Defekt oder Manipulation), können daraus falsche Schlüsse gezogen werden, was im schlimmsten Fall schädliche Behandlungsmethoden begünstigt oder wirksame Therapien verwirft. Auch die Glaubwürdigkeit der Klinik als Forschungszentrum stünde auf dem Spiel. Daher ist die Datenintegrität – etwa durch Prüfsummen, Versionierung und Zugriffskontrollen – mit hoher Priorität zu sichern. Verfügbarkeit: Hoch, wobei hier zu unterscheiden ist: Für den akuten Klinikbetrieb sind Forschungsdaten meist nicht kritisch, jedoch haben Ausfälle gravierende finanzielle und strategische Auswirkungen. Gehen z.B. große Datenmengen einer laufenden Studie durch einen IT-Ausfall verloren (ohne Backup), können Jahre an Arbeit und erhebliche Fördermittel zunichte sein. Zudem unterliegen viele Studien straffen Zeitplänen (z.B. für Zulassungsstudien neuer Medikamente); eine längere Nicht-Verfügbarkeit könnte Projekterfolge gefährden und Vertragsstrafen nach sich ziehen. Durch die in der Regel sehr hohen Investitionskosten in Forschung und die möglichen Wettbewerbseinbußen bei Datenverlust ist eine hohe Verfügbarkeitsanforderung gerechtfertigt – etwa durch regelmäßige Backups an getrennten Standorten. Schutzbedarf: Forschungsdaten haben demnach einen überwiegend hohen Schutzbedarf (in besonders sensiblen Fällen sehr hoch), insbesondere in Bezug auf Vertraulichkeit (Patientendaten, Geschäftsgeheimnisse) und Integrität (wissenschaftliche Validität). Die Verfügbarkeit sollte ebenfalls hoch gehalten werden, um wissenschaftliche und wirtschaftliche Verluste zu vermeiden.

• Verwaltungsdaten (Personal, Finanzen, Infrastruktur): Beschreibung: Interne Verwaltungs- und Betriebsdaten der Klinik, darunter Personaldaten (Mitarbeiterakten, Dienstpläne, Lohnabrechnungen), Finanzdaten (Budgetpläne, Buchhaltung, Abrechnungen mit Kostenträgern) und Infrastrukturdaten (Inventarlisten, Gebäude- und Wartungsdokumentation, Verträge mit Lieferanten, strategische Planungen). Vertraulichkeit: Hoch, allerdings differenziert: Personaldaten sind personenbezogen (Gehaltsinformationen, Bewertungen etc.) und damit nach DSGVO schützenswert – auch wenn es sich nicht um Gesundheitsdaten handelt, besteht hier ein erhöhter Schutzbedarf (Vertraulichkeit mindestens hoch). Finanzdaten einer öffentlichen Klinik unterliegen zwar weniger dem Datenschutz, jedoch der internen Verschwiegenheit (z.B. Angebote, Verhandlungspositionen, strategische Finanzplanungen), sodass deren unbefugte Veröffentlichung der Klinik schaden könnte. Infrastrukturdokumente (z.B. Gebäudepläne) sind in der Regel weniger vertraulich, können aber Sicherheitsaspekte (etwa die genaue Position sicherheitsrelevanter Einrichtungen) enthalten. Insgesamt wird für den Verwaltungskontext ein hoher Vertraulichkeitsschutz empfohlen, zumindest für Personal- und finanzielle Informationen, um Datenschutz und Geschäftsinteressen zu wahren. Integrität: Mittel bis hoch, je nach Anwendungsfall. Bei Personaldaten ist Integrität wichtig, um z.B. korrekte Lohnzahlungen und Arbeitszeitnachweise sicherzustellen – Fehler könnten rechtliche Ansprüche auslösen. Finanzdaten müssen integer sein, da falsche Buchungen die wirtschaftliche Steuerung verfälschen oder gegen gesetzliche Buchführungspflichten verstoßen könnten. Manipulierte finanzielle Zahlen (etwa durch einen Innentäter) könnten zudem Betrug oder Unterschlagung verschleiern. Infrastrukturdaten erfordern grundlegende Integrität (z.B. korrekte Wartungsprotokolle), wobei Fehler hier primär interne Abläufe stören. Insgesamt ist ein hoher Integritätsschutz insbesondere für Finanz- und Personaltransaktionen geboten (z.B. Vier-Augen-Prinzip bei Veränderungen). Verfügbarkeit: Normal, da Verwaltungstätigkeiten zwar wichtig, aber im Notfall aufschiebbar sind. Ein Ausfall von Personal- oder Finanzsoftware ist kurzfristig handhabbar – Gehälter können notfalls verspätet gezahlt oder Bestellungen manuell ausgelöst werden, ohne dass Patienten unmittelbar zu Schaden kommen. Allerdings können längere Ausfälle indirekt kritische Folgen haben (z.B. Zahlungsstockungen an Lieferanten, die Materialnachschub gefährden). In der Regel lässt sich Verwaltung aber mit Übergangslösungen (Papierformulare, Excel-Listen) behelfen, weshalb die unmittelbare Verfügbarkeitsanforderung geringer ist als in der Patientenversorgung. Schutzbedarf: Verwaltungstypische Daten haben insgesamt einen moderaten bis hohen Schutzbedarf: Vertraulichkeit tendenziell hoch (insbesondere bei Personaldaten) und Integrität hoch (bes. Finanzzahlen), während die Verfügbarkeit eher normal bis moderat einzustufen ist. Dennoch sind angemessene Sicherheitsvorkehrungen nötig, um Datenschutzverletzungen (etwa unberechtigte Mitarbeiterdatenabfragen) und wirtschaftliche Schäden zu verhindern.

• Gebäudesteuerung und Versorgungssicherheit: Beschreibung: Systeme der technischen Gebäudeausrüstung und Versorgung, z.B. Steuerungen für Stromversorgung (inkl. Notstromanlagen), Wasser, medizinische Gase (Sauerstoffversorgung), Heizungs-, Lüftungs- und Klimatechnik (insbesondere in OPs und Intensivbereichen), Aufzugssteuerungen, Zugangskontroll- und Alarmanlagen. Vertraulichkeit: Normal, denn Gebäudedaten (wie Temperaturlogs oder Schalpläne der Haustechnik) sind meist keine personenbezogenen Informationen. Allerdings können bestimmte Details (Grundrisse, Position sicherheitskritischer Infrastruktur) aus Sicherheitsgründen vertraulich zu behandeln sein, um Sabotage zu erschweren. Insgesamt steht hier aber nicht der Datenschutz im Vordergrund, sondern die Funktionssicherheit. Integrität: Sehr hoch, weil fehlerhafte oder manipulierte Steuerdaten zu gefährlichen Situationen führen können. Beispiel: Wird die Stromnetzsteuerung kompromittiert, könnten ganze Trakte vom Netz getrennt werden; manipulative Eingriffe in die Sauerstoffversorgungssteuerung könnten die O_2-Zufuhr für Intensivpatienten unterbrechen. Solche Szenarien hätten unmittelbar lebensbedrohliche Folgen. Auch weniger drastisch: Eine falsche Klimasteuerung könnte OP-Säle unbenutzbar machen (etwa durch unsachgemäße Temperatur/Luftfeuchte) oder empfindliche Medikamente/Labore zerstören. Daher muss die Integrität dieser Steuerungsdaten absolut sichergestellt sein (z.B. durch Zugangsschutz der Kontrollsysteme, physische Trennung von externen Netzen, Alarmierung bei Anomalien). Verfügbarkeit: Sehr hoch, denn Versorgungssicherheit ist ein Kernstück der Betriebskontinuität. Strom, Wasser, Gas, Klima – all diese Versorgungen müssen jederzeit funktionieren, da sonst der Krankenhausbetrieb unmittelbar zum Stillstand kommt. Zwar verfügen Krankenhäuser in der Regel über redundante Systeme (Notstromdiesel, USV, Vorratstanks für Sauerstoff etc.), doch auch diese müssen im Notfall automatisiert anlaufen. Jede ungeplante Unterbrechung – etwa ein länger andauernder Stromausfall ohne funktionierende Notstromversorgung – kann katastrophale Auswirkungen haben (Intensivpatienten ohne Stromversorgung für Geräte, OP-Lampen fallen aus etc.). Schutzbedarf: Insgesamt sind die Anforderungen an Integrität und Verfügbarkeit sehr hoch. Die Vertraulichkeit ist von untergeordneter Bedeutung (normal), aber der Schutz vor Sabotage und Ausfällen hat oberste Priorität. Dieser Bereich überschneidet sich mit klassischen KRITIS-Themen, da Kliniken auf kontinuierliche Infrastruktur angewiesen sind – insofern gelten hier ähnliche Maßstäbe wie in der Energie- und Wasserversorgung.

• Versorgungsrelevante IT-Systeme: Beschreibung: Alle IT-Systeme, Applikationen und Datenbanken, deren Ausfall die unmittelbare medizinische Versorgung beeinträchtigt. Dazu zählen etwa das Krankenhausinformationssystem (KIS) und elektronische Patientenverwaltung, Klinische Arbeitsplatzsysteme (für Ärzteschaft/Pflege zur Dokumentation), Apothekenn/Medikationssysteme, OP-Management-Software, Notaufnahme-Management sowie Kommunikationssysteme (E-Mail, Telefon, Pager), die für die Koordination der Versorgung notwendig sind. Vertraulichkeit: Sehr hoch, da diese Systeme hochsensible Patientendaten und oft auch Mitarbeiterdaten enthalten. Das KIS beispielsweise umfasst sämtliche persönlichen Gesundheitsinformationen, wodurch dieselben strengen DSGVO-Vorgaben gelten wie für die Patientenakte selbst. Unbefugte Zugriffe hierauf könnten ganze Datenbestände offenlegen – weshalb umfangreiche Zugriffskontrollen und Verschlüsselungen nötig sind. Integrität: Sehr hoch, da die Richtigkeit der in diesen Systemen hinterlegten Informationen entscheidend ist. Man stelle sich vor, im KIS würden durch einen Softwarefehler Allergien oder Medikationspläne vertauscht – Patienten könnten falsche Medikamente erhalten. Auch die korrekte Funktionsweise dieser Systeme (Transaktionsintegrität, Synchronisierung zwischen Modulen) muss gewährleistet sein, um Fehlbehandlungen zu vermeiden. Verfügbarkeit: Sehr hoch, denn ein Ausfall zentraler klinischer IT hat unmittelbare Auswirkungen auf den Klinikbetrieb. Fällt z.B. das Hauptsystem für Patientenverwaltung, Dokumentation und Kommunikation aus, kann oft nur noch mit Papier und Stift gearbeitet werden. Realistische Szenarien wurden dokumentiert: In Bayern mussten 2024 zwei Kliniken nach einem Cyberangriff ihren gesamten Betrieb in den Analogmodus versetzen – alle IT-Systeme waren blockiert, geplante Operationen mussten abgesagt werden, und selbst die interne Kommunikation per E-Mail war unmöglich. In einem anderen Vorfall waren Patientenverwaltung, Terminplanung und Personaleinsatzplanung gleichzeitig betroffen, was planbare Eingriffe verzögerte. Diese Beispiele zeigen, dass die ständige Verfügbarkeit der versorgungsrelevanten IT-Systeme essenziell für eine kontinuierliche Patientenversorgung ist. Redundanzen, Notfallkonzepte und schnelle Wiederanlaufszenarien sind hier obligatorisch. Schutzbedarf: Solche Systeme sind das Rückgrat der Klinik-IT und weisen für alle drei Schutzziele einen sehr hohen Schutzbedarf auf. Sie kombinieren sensitive Daten mit kritischen Echtzeit-Prozessen – folglich müssen Vertraulichkeit, Integrität und Verfügbarkeit umfassend sichergestellt werden, um Patienten zu schützen und gesetzliche Auflagen (z.B. Dokumentationspflichten, Vermeidung von Datenpannen) einzuhalten.

• OP- und Notfallpläne: Beschreibung: Unterlagen und digitale Daten, die operative und notfallmäßige Abläufe planen und steuern. Dazu zählen OP-Pläne (die tägliche Operationsprogrammliste mit Patientennamen, Eingriffen, Zeiten, verantwortlichen Teams) und Notfallpläne im Sinne von Notfall- bzw. Katastrophenhandbüchern (Prozeduren für IT-Ausfälle, Massenanfall von Verletzten, Brandalarm, Evakuierung etc.). Vertraulichkeit: Hoch für OP-Pläne, normal für allgemeine Notfallhandbücher. Ein OP-Plan enthält personenbezogene Gesundheitsinformationen (z.B. welcher Patient wird wann operiert, mit Angabe des Eingriffs, was Rückschlüsse auf die Diagnose zulässt). Damit unterliegt er dem Datenschutz und sollte nur einem engen Nutzerkreis zugänglich sein. Ein Leck von OP-Plänen könnte z.B. Prominenten die Anonymität nehmen oder Sicherheitsrisiken (bei bestimmten riskanten Eingriffen) offenbaren. Notfallpläne (technische/organisatorische Ablaufpläne) hingegen enthalten kaum persönliche Daten; allenfalls interne Kontaktdaten. Deren Vertraulichkeit ist weniger kritisch – im Gegenteil, im Ernstfall müssen möglichst alle Zuständigen schnell darauf zugreifen können. Integrität: Hoch, denn Fehler oder Manipulationen in diesen Plänen haben gravierende Konsequenzen. Ein verfälschter OP-Plan (z.B. falscher Patient einem Eingriff zugeordnet) könnte zu Behandlungsfehlern führen, wenn keine weiteren Prüfungen erfolgen. Deshalb existieren zwar Sicherheitschecks (mehrfache Patientenidentifikation), doch der Plan muss grundsätzlich korrekt sein. Notfallpläne müssen aktuell und fehlerfrei sein: Enthalten sie z.B. veraltete Rufnummern oder falsche Anweisungen, wird die Krisenbewältigung behindert. Die Integrität solcher Handlungsanweisungen ist kritisch für ein geordnetes Vorgehen im Chaos eines Notfalls. Verfügbarkeit: Hoch, da sowohl OP-Plan als auch Notfallplan zum jeweiligen Zeitpunkt rasch verfügbar sein müssen. Ein OP-Plan wird täglich benötigt – fällt das Planungssystem aus und gibt es keine gedruckte Kopie, entsteht schnell Chaos im OP-Betrieb (Personal steht bereit für evtl. falsche Patienten, Ressourcen sind falsch zugewiesen). Die meisten Krankenhäuser erstellen daher vorsorglich Papierlisten als Backup. Dennoch: Jede Verzögerung oder Unklarheit im OP-Ablauf kann Patientengefährdungen (z.B. verlängerte Narkosezeiten) mit sich bringen. Notfallpläne müssen im Ereignisfall sofort griffbereit sein – physisch in Ordnern und digital (sofern IT noch funktioniert). Ist der einzige Notfallplan jedoch z.B. digital abgespeichert und gerade der Server ausgefallen, fehlen den Mitarbeitern klare Handlungsanweisungen, was die Schadensbegrenzung erschwert. Daher sollten Notfallprozeduren redundant verteilt sein. Schutzbedarf: Für OP-Pläne ist aufgrund personenbezogener Inhalte ein hoher Vertraulichkeitsbedarf gegeben, während Notfallpläne hier eher normal eingestuft werden. Integrität und Verfügbarkeit beider Planungsarten sind hoch, da korrekte und zugängliche Abläufe über Patientensicherheit und effiziente Krisenbewältigung entscheiden. Insgesamt verdienen diese daten/unterlagen einen hohen Schutzbedarf in I und A (und OP-Pläne auch in V).

• Liefer- und Medikamentenkettendaten: Beschreibung: Daten entlang der Lieferketten, insbesondere Versorgungsdaten (Bestellungen, Lagerbestände, Lieferanteninformationen) für medizinisches Verbrauchsmaterial, Geräte und Logistik sowie Medikamentenkettendaten zur Versorgung mit Arzneimitteln (z.B. Lager- und Bestandsführung in der Krankenhausapotheke, Chargenverfolgung, Lieferkettendokumentation gemäß Arzneimittelgesetz). Vertraulichkeit: Normal, da diese Informationen vorwiegend betriebswirtschaftlicher Natur sind. Sie enthalten i.d.R. keine personenbezogenen Angaben (abgesehen von möglicherweise Ansprechpartnern bei Lieferanten). Zwar können bestimmte Details wie Lagerbestände oder Bezugsquellen aus Wettbewerbs- oder Sicherheitsgründen sensibel sein (etwa um Diebstahl vorzubeugen – z.B. bei großen Betäubungsmittelbeständen), insgesamt ist jedoch kein vergleichbares Schutzniveau wie bei Patienten- oder Mitarbeiterdaten erforderlich. Integrität: Hoch, denn falsche oder manipulierte Versorgungsdaten können die Patientensicherheit indirekt gefährden. Beispiele: Eine manipulierte Medikamenten-Lagerdatei zeigt ausreichende Bestände an, obwohl das Lager leer ist – dringend benötigte Medikamente sind unerwartet nicht verfügbar. Oder Chargendaten werden verfälscht, so dass im Falle eines Rückrufs ein betroffenes Medikament nicht erkannt wird und weiterhin verabreicht wird. Auch gefälschte Lieferbestellungen könnten zu Versorgungsengpässen führen oder finanzielle Schäden (Betrug) verursachen. Gerade in Just-in-time-Lieferketten heutiger Kliniken ist die Richtigkeit der Bestands- und Bestelldaten kritisch, um Engpässe in der Patientenversorgung (etwa fehlende OP-Materialien oder Blutkonserven) zu vermeiden. Verfügbarkeit: Hoch, da bei Ausfall der Beschaffungs- und Lagerverwaltungssysteme binnen kurzer Zeit Nachschubprobleme auftreten können. Zwar kann man für sehr kurze Zeiträume manuell (telefonisch, per Fax) bestellen und Bestände „per Auge“ verwalten, doch eine moderne Großklinik mit hunderten von Artikeln im ständigen Umlauf ist ohne IT-Unterstützung kaum effizient zu versorgen. Insbesondere die Medikamentenkette ist zeitkritisch: Stationen brauchen Nachschub an Medikamenten meist innerhalb von Stunden; wenn das Apothekensystem ausfällt, muss auf Notfallprozesse zurückgegriffen werden. Längere Ausfälle könnten dazu führen, dass notwendige Medikamente nicht rechtzeitig am Patientenbett sind. Zudem sind Kliniken Teil komplexer Lieferketten – ein Cyberangriff, der z.B. ein zentrales Logistiksystem betrifft, kann weitreichende Auswirkungen haben. Da die Lieferketten eng verzahnt und anfällig sind, kommt der Verfügbarkeit der Kettendaten ein hoher Stellenwert zu, um Versorgungsengpässe zu vermeiden. Schutzbedarf: Insgesamt liegen für Liefer- und Medikamentenkettendaten hohe Anforderungen an Integrität und Verfügbarkeit vor (Zuverlässigkeit der Versorgungsprozesse), während die Vertraulichkeit zumeist normal einzustufen ist. Gleichwohl sollten auch diese Daten nicht frei zugänglich sein, um Angriffsflächen zu verringern (Stichwort Supply-Chain-Angriffe).

Zusammenfassend zeigt die Schutzgüteranalyse, dass insbesondere alle patientenbezogenen und versorgungsrelevanten Daten/Systeme durchgängig hohen bis sehr hohen Schutzbedarf in mindestens einem Schutzziel aufweisen – häufig in allen dreien.

Schutzbedarfseinstufungen der Schutzgüter nach Schutzzielen. (Anmerkung: Zur besseren Lesbarkeit wurden einige differenzierte Betrachtungen vereinfacht in die Tabelle übernommen. Wo Spannbreiten angegeben sind – z.B. Labor A = hoch/sehr hoch – ist im Zweifel die höhere Kategorie anzusetzen.)

Die Analyse macht deutlich, dass gerade die Patientendaten in all ihren Ausprägungen (Akte, Befunde, Bilder) dem höchsten Schutzlevel bedürfen (CIA jeweils hoch/sehr hoch). Aber auch IT-Systeme und Infrastrukturen, von denen die Patientenversorgung abhängt, sind als kritisch zu bewerten (Integrität/Verfügbarkeit sehr hoch). Im nächsten Abschnitt werden die typischen Bedrohungen betrachtet, die diese Schutzgüter gefährden, um darauf aufbauend passgenaue Schutzmaßnahmen abzuleiten.

Krankenhäuser sehen sich einer Vielzahl von Bedrohungen ausgesetzt – sowohl vorsätzlichen Angriffen als auch technischen Störereignissen oder höherer Gewalt.

• Cyberangriffe (Hacking, Malware, DDoS): Gezielte Angriffe externer Akteure auf die IT-Systeme der Klinik stellen ein akutes Risiko dar. Dies umfasst das Ausnutzen von Sicherheitslücken, Eindringen in Netzwerke, Abgreifen von Daten (Datenbanken mit Patientenakten, Forschungsdaten etc.) sowie Sabotageakte. Gesundheitsdaten sind im Darknet hoch gehandelt, was die Attraktivität für Kriminelle steigert. Zahlreiche Fälle in Deutschland zeigen die Realität dieser Bedrohung: Immer wieder werden Krankenhäuser Opfer von Hackern – 2024 etwa wurde ein bayerisches Krankenhaus (Agatharied) attackiert, was erhebliche IT-Probleme verursachte. Im September 2024 legte ein Hackerangriff zwei Kliniken (Wertachkliniken) komplett lahm: „alle IT-Systeme waren blockiert, Operationen mussten abgesagt werden, alles lief nur noch analog auf Papier“. Solche Vorfälle illustrieren die möglichen Folgen: Verfügbarkeitseinbußen (Stillstand der digitalen Prozesse, Notbetrieb), Integritätsverletzungen (Datenverlust oder -manipulation) und Vertraulichkeitsbrüche (Patientendaten-Leaks). Auch DoS/DDoS-Attacken (Überlastung der Online-Systeme, z.B. der Klinikwebsite oder Zugangsportale) können Abläufe stören – etwa wenn telemedizinische Dienste oder externe Anbindungen (Labordienstleister, Cloud-Systeme) nicht erreichbar sind. Insgesamt sind Cyberangriffe allgegenwärtig und können alle Schutzgüter treffen.

• Ransomware (Erpressungs-Software): Eine besonders gefährliche Unterform der Cyberangriffe ist Ransomware, bei der Angreifer Daten und Systeme verschlüsseln und Lösegeld fordern. Krankenhäuser waren in den letzten Jahren weltweit verstärkt Ziel solcher Attacken. Die Folgen sind dramatisch: Patientendaten werden unzugänglich (oder sogar exfiltriert und veröffentlicht im Darknet, was den Datenschutz verletzt), und wesentliche IT-Funktionen fallen aus – bis hin zur kompletten Einstellung der Patientenversorgung. In Deutschland erlangte 2020 ein Fall traurige Berühmtheit, als nach einem Ransomware-Angriff auf das Universitätsklinikum Düsseldorf eine Notfallpatientin wegen IT-Ausfalls abgewiesen und in ein anderes Krankenhaus verlegt werden musste; sie verstarb kurz darauf. Dies gilt als erster bekannter Todesfall infolge eines Cyberangriffs auf ein Krankenhaus und verdeutlicht die Lebensgefahr, die von Ransomware-bedingten Ausfällen ausgehen kann. International warnen Behörden eindringlich vor der Ransomware-Bedrohung im Gesundheitswesen: 2024 appellierten die WHO und über 50 Länder an gemeinsame Maßnahmen gegen vermehrte Krankenhaus-Erpressungsangriffe. Für Kliniken ist Ransomware deshalb ein Top-Risiko, das sowohl Vertraulichkeit (durch Datenabfluss) als auch Integrität/Verfügbarkeit (durch Verschlüsselung und Betriebsstillstand) aller Kernsysteme gleichzeitig bedroht.

• Innere Bedrohungen (Insider): Neben externen Angreifern dürfen „Insider“ nicht vernachlässigt werden – seien es böswillige Mitarbeiter oder Dienstleister mit Zugangsrechten (innere Täter), oder gutwillige Beschäftigte, die versehentlich Schäden verursachen (z.B. durch Phishing auf einen Anhang klicken und Malware einschleusen). Böswillige Insider können ihre Zugriffsrechte missbrauchen, um Daten zu stehlen (z.B. Patientendatenverkauf, Identitätsdiebstahl) oder Systeme zu sabotieren. Statistiken zeigen, dass ein signifikanter Teil der Sicherheitsvorfälle auf interne Täter zurückgeht – laut Verfassungsschutz sind etwa 27 % der Angriffe Racheakte oder böswillige Handlungen von (ehemaligen) Mitarbeitern (hierzu zählen z.B. auch entlassene IT-Admins, die Hintertüren ausnutzen). Nachlässigkeit als Faktor: Ein unachtsamer Mitarbeiter könnte versehentlich Massendaten an falsche Empfänger mailen oder einen USB-Stick mit sensiblen Daten verlieren. Auch die Nichteinhaltung von Sicherheitsprotokollen (z.B. Tür zum Serverraum offen lassen, Passwörter weitergeben) fällt in diese Kategorie. Insider-Bedrohungen wirken sich primär auf Vertraulichkeit (Datenlecks) und Integrität (Sabotage, unbemerkte Datenänderungen) aus, können aber auch die Verfügbarkeit gefährden (z.B. absichtliches Herunterfahren von Systemen).

• Datenlecks und Pannen: Jenseits gezielter Attacken kommt es in der Praxis häufig zu Datenpannen, d.h. unbeabsichtigten Verlusten oder Offenlegungen. Beispiele sind der Diebstahl von mobilen Geräten (Laptops, Smartphones) mit Patientendaten – so wurde etwa ein Laptop mit 5.000 Patientendatensätzen aus einer Klinik entwendet. Wenn solche Geräte unverschlüsselt sind, gelangen hochsensible Informationen an Unbefugte. Ein weiteres Beispiel sind fehlkonfigurierte Server oder Cloud-Speicher, die versehentlich öffentlich zugänglich sind. 2019 wurde publik, dass weltweit Millionen Patientendatensätze – teils mit Bildern – auf offenen Servern lagen. Solche Lecks sind besonders brisant für Vertraulichkeit (exponierte Daten), können aber auch Integrität betreffen (wenn Daten in falsche Hände geraten, könnten sie manipuliert oder gelöscht werden). Email-Pannen (Massenauskunft, falscher Adressat) oder Fehlbedienungen (Löschen wichtiger Daten ohne Backup) zählen ebenfalls hierzu. In der Summe zeigen diese Vorfälle die Bedeutung organisatorischer Maßnahmen (Schulung, Prozesse), um menschliches Versagen zu minimieren. Datenlecks können rechtlich als Datenschutzverletzungen hohe Bußgelder und Benachrichtigungspflichten auslösen, was ebenfalls ins Risiko einzupreisen ist.

• Forschungsspionage und Know-how-Abfluss: Hochwertige medizinische Forschung in Kliniken – etwa zu neuen Medikamenten, Behandlungsmethoden oder Medizintechnik – weckt das Interesse fremder Nachrichtendienste und Konkurrenzunternehmen. Advanced Persistent Threats (APT)-Gruppen, oft staatlich unterstützt, führen gezielte Spionagekampagnen durch, um an Forschungsdaten zu gelangen. Dies kann über Cyberangriffe (Hacking in Forschungsnetzwerke, Spear-Phishing von Professoren) oder klassische Methoden (Einschleusen von Maulwürfen) geschehen. Der Verfassungsschutz beobachtet ein „ganzheitliches Vorgehen“ vieler Cyberakteure, das Spionage und Sabotage gleichermaßen umfasst. Das heißt, dieselben Angreifer, die heute Patientendaten verschlüsseln, könnten morgen versuchen, unveröffentlichte Studienergebnisse oder Geschäftspläne zu stehlen. Bereits in der COVID-19-Pandemie gab es Berichte über ausländische Hacker, die Impfstoff-Forschungseinrichtungen angriffen. Für Kliniken mit Forschung bedeutet dies: Ihre vertraulichen Forschungsdaten und Patente sind ein lohnendes Ziel. Ein erfolgreicher Spionageangriff würde primär die Vertraulichkeit verletzen (Geheimnisdiebstahl), aber perspektivisch auch finanziellen Schaden (Wettbewerbsnachteile, Patentverlust) und ggf. Integrität (wenn Daten manipuliert werden, um die Entdeckung des Zugriffs zu verschleiern) nach sich ziehen.

• Ausfall oder Manipulation von Medizingeräten: Medizinische Geräte können nicht nur durch IT-Angriffe gestört werden, sondern auch durch technisches Versagen oder Fehlbedienung. Ein plötzlicher Geräteausfall – etwa ein defibrillator-Überwachungsmonitor, der ausfällt, oder ein OP-Roboter, der mitten im Eingriff neu startet – kann einzelne Patienten gefährden und erfordert sofortige Notfallmaßnahmen (z.B. Umstieg auf Alternativverfahren). Noch heikler sind manipulative Eingriffe in vernetzte Medizingeräte (siehe oben medizintechnische Steuerdaten): Die Entdeckung von Hintertüren in Patientenmonitoren belegt, dass moderne Geräte im Worst Case ferngesteuert oder gestört werden könnten. Auch Malware auf medizinischen Systemen (z.B. Röntgengeräten mit Windows-Betriebssystem) ist schon vorgekommen. Die Bedrohung für Integrität (Manipulation von Messwerten) und Verfügbarkeit (Geräteausfall) ist hier zentral – ein Angreifer könnte z.B. alle vernetzten Infusionspumpen einer Station ausschalten oder wichtige Alarme unterdrücken. Neben vorsätzlichen Handlungen gibt es auch systemische Risiken: etwa veraltete Betriebssysteme, für die es keine Updates mehr gibt, oder Geräte, die nicht in das Patch-Management eingebunden sind. Diese können Schwachstellen aufweisen, die Angreifer ausnutzen. Insgesamt erfordern med. Geräte besondere Schutzkonzepte, da ein Vorfall direkt Patientensicherheit betrifft.

• Stromausfall und Infrastrukturversagen: Stromversorgung ist die Lebensader eines Krankenhauses. Fällt der externe Strom aus, übernehmen zwar automatisch Notstromaggregate (gesetzlich vorgeschrieben, z.B. DIN VDE 0107). Doch auch diese stellen nur eine zeitlich begrenzte Brücke dar und müssen zuverlässig starten. Ein ungeplanter totaler Stromausfall (z.B. bei gleichzeitigem Versagen der USV/Generatoren) wäre katastrophal: Innerhalb von Minuten würden Intensivbeatmungsgeräte, OP-Licht, IT-Systeme etc. abschalten. Selbst kurze lokale Stromunterbrechungen können schon kritisch sein – deshalb sind USVen für OPs und IT-Räume essentiell. Neben Strom sind auch andere Infrastrukturen relevant: Ausfall der Telefonanlage würde die Kommunikation stören; Ausfall der Klimaanlage könnte Serverräume oder OP-Säle überhitzen; ein Wasserausfall oder -rohrbruch kann Hygiene und Betrieb beeinträchtigen. Diese technischen Ausfälle bedrohen primär die Verfügbarkeit der Betriebsabläufe. Sie können sowohl extern verursacht sein (Stromnetzprobleme, städtische Versorgung) als auch intern (technisches Versagen der Haustechnik). In die Bedrohungsanalyse fließen solche Szenarien mit ein – der B3S-Standard fordert explizit, auch Elementarschäden und Stromausfälle bei der Gefährdungsanalyse zu berücksichtigen. Ein Spezialfall ist IT-Infrastrukturversagen (z.B. Storage-Crash, Datenbankkorruption), was – auch ohne äußeren Angriff – zu Datenverlust und Systemausfällen führen kann. Hier helfen Redundanzkonzepte. Insgesamt gilt: Krankenhäuser müssen damit rechnen, dass kritische Versorgungsinfrastrukturen zeitweise ausfallen könnten, und robuste Gegenmaßnahmen (Redundanzen, Notfallprozeduren) dafür bereithalten.

• Naturkatastrophen und höhere Gewalt: Ereignisse wie Brand, Überschwemmung, Sturm/Orkan, Extremwetter, aber auch Pandemien oder großflächige IT-Störungen im Internet fallen in diese Kategorie. Sie können großflächig Schäden anrichten, die auch ein Krankenhaus treffen. Beispiel: Ein Brand im Serverraum kann alle dortigen Systeme zerstören – ohne ein geografisches Backup gehen kritische Daten verloren und die IT fällt aus. Überschwemmungen (wie z.B. das Jahrhundert-Hochwasser 2021) könnten Notstromgeneratoren lahmlegen oder Zugangswege blockieren, so dass Personal/Materielieferungen ausbleiben. Solche Lagen belasten alle Schutzziele: Verfügbarkeit ist offensichtlich bedroht (Zerstörung von Infrastruktur), Integrität ebenfalls (Datenverlust durch physische Zerstörung, z.B. Untertauchen eines Datacenters), und indirekt auch Vertraulichkeit (wenn z.B. Aktenordner durch einen Gebäudeschaden unkontrolliert herumliegen). Krankenhäuser planen für solche Fälle umfangreich in ihren Notfallplänen (Krankenhausalarm- und Einsatzpläne, u.a. gemäß landesrechtlichen Vorgaben). Naturereignisse mögen statistisch seltener sein als Cyberangriffe, doch sie können im Eintrittsfall verheerend sein, da oft mehrere Systeme gleichzeitig betroffen sind. Ein robustes Backup- und Notfallmanagement, geografisch verteilte Datenhaltung und regelmäßige Übungen sind hier die beste Vorbereitung.

Aus der Schutzbedarfs- und Bedrohungsanalyse lassen sich vielschichtige Anforderungen ableiten. Ein Maßnahmenbündel muss implementiert werden, das technische Sicherungen mit organisatorischen Prozessen und rechtlichen Vorgaben verzahnt. Wichtig ist ein ganzheitlicher Ansatz, da einzelne Maßnahmen allein (z.B. nur Technik ohne Schulung der Mitarbeiter) keine ausreichende Sicherheit bieten. Im Folgenden werden die empfohlenen Maßnahmen in drei Kategorien dargestellt:

• Netzwerksegmentierung und Perimeterschutz: Die Klinik-IT sollte in logisch getrennte Netzsegmente aufgeteilt sein (z.B. Trennung von Verwaltungsnetz, Patienten-/Medizintechniknetz und externem Netz). Kritische medizintechnische Geräte gehören in isolierte VLANs oder separate Netzwerke mit streng limitierten Zugangspfaden. Eine mehrstufige Firewall-Architektur sichert die Übergänge zwischen den Netzen und zum Internet. Moderne Firewalls mit Intrusion-Prevention (IPS) können Angriffsversuche erkennen und blockieren. Zusätzlich sind DMZ-Segmente für externe Dienste (wie Patientenportale) einzurichten, um bei Kompromittierung keinen direkten Zugriff ins Kernnetz zu ermöglichen. Eine solide Segmentierung erschwert lateral movement von Angreifern und begrenzt im Ernstfall die Ausbreitung von Malware (z.B. Ransomware) auf das gesamte Haus.

• Sichere Konfiguration und Hardening: Alle Server, Clients und Geräte sollten nach Hardening-Guidelines konfiguriert werden. Das umfasst z.B. das Deaktivieren nicht benötigter Dienste, Einsatz starker Passwörter bzw. Zertifikatsauthentifizierung, Entfernen von Standard-Accounts oder -Passwörtern auf Geräten (ein häufiger Schwachpunkt, wie Backdoor/Default-Logins auf Patientenmonitoren zeigten). Wo möglich, sollten medizinische Systeme mit Whitelistings arbeiten (nur erlaubte Applikationen) und mit aktuellen Anti-Malware-Lösungen ausgestattet sein. Standard-Sicherheitsmechanismen wie Virenschutz, Host-Firewalls und Device-Control (USB-Sperren) sind auf allen Endgeräten zu implementieren, soweit mit medizinischen Anforderungen vereinbar. Insbesondere administrative Zugänge (z.B. zu Servern, Switches, Medizingeräten) müssen besonders geschützt werden – etwa durch starke Authentisierung (MFA, Smartcards) und strenge Vergabe von Admin-Rechten nur an Berechtigte (Prinzip der minimalen Rechte).

• Sicherheitsupdates und Patch-Management: Ein durchgängiges Patch-Management stellt sicher, dass Sicherheitslücken in Betriebssystemen, Anwendungssoftware und Firmware zügig geschlossen werden. Dies war im Düsseldorfer Fall 2020 entscheidend: Die Angreifer nutzten eine seit Monaten bekannte VPN-Schwachstelle, für die ein Patch verfügbar war. Das BSI hat betont, dass das Hinauszögern solcher Updates fahrlässig ist. Deshalb sind Prozesse zu etablieren, um verfügbare Sicherheitsupdates zeitnah zu testen und einzuspielen – bei kritischen Lücken notfalls per außerplanmäßiger Installation (auch bei Medizingeräten in Abstimmung mit Herstellern). Für Geräte, die keine Updates mehr erhalten (Legacy-Systeme), sind Kompensationsmaßnahmen erforderlich (Netzsegmentierung, virtuelles Patching durch Firewalls, langfristig Austausch des Geräts).

• Backup-, Restore- und Recovery-Konzept: Um Datenverlust vorzubeugen und Verfügbarkeit auch nach schweren Vorfällen (Ransomware, Hardware-Crash, Brand) wiederherstellen zu können, braucht es ein robustes Backup-Konzept. Alle kritischen Daten (Patientendokumentation, Labor-/Bilddaten, Verwaltungs- und Forschungsdaten) sind regelmäßig und automatisiert zu sichern. Backup-Grundprinzipien wie die 3-2-1-Regel (3 Kopien auf 2 verschiedenen Medien, 1 extern gelagert) sollten angewendet werden. Wichtig sind offline bzw. immutable Backups, die vor Ransomware geschützt sind – z.B. WORM-Medien oder in Air-Gap gelagerte Datenträger. Die Backups müssen verschlüsselt sein (Schutz Vertraulichkeit) und getestet werden: Regelmäßige Restore-Proben stellen sicher, dass im Ernstfall die Daten tatsächlich lesbar sind und das Team weiß, wie ein Recovery abläuft. Zusätzlich sollten Notfallszenarien vorbereitet sein, etwa ein Ausweichen auf Cloud-Backups oder benachbarte Kliniken bei Totalausfall. Auch System-Imaging für kritische Server beschleunigt die Wiederanlaufzeit nach einem Crash.

• Redundanz und Hochverfügbarkeit: Für lebenswichtige Systeme ist Redundanz essenziell. Zentrale Server (z.B. KIS-Datenbankserver) sollten in hochverfügbaren Clustern (Failover-Cluster) betrieben werden, Netzwerkkomponenten doppelt vorhanden sein (redundante Switche, duale Netzteile, mehrere Netzpfade). Die medizinische Netzstromversorgung muss durch USV-Anlagen und Dieselgeneratoren redundant abgesichert sein – hier sind regelmäßige Probeläufe vorgeschrieben und durchzuführen. Auch Kühlanlagen und Sauerstoffversorgung brauchen Backup-Systeme. Wichtig: Redundanz darf nicht nur auf dem Papier bestehen, sondern muss praktisch erprobt sein (Simulation von Komponentenausfällen). Single Points of Failure (eine einzelne Komponente, deren Ausfall ein ganzes System legt) sind wo immer möglich zu eliminieren. Beispielsweise sollte das Rechenzentrum der Klinik über eine automatische Brandlöschanlage verfügen, um einen Brand schnell zu kontrollieren, und ggfs. über ein Ausweich-Rechenzentrum (etwa in einem zweiten Brandabschnitt oder externes Backup-Rechenzentrum) für katastrophale Fälle.

• Verschlüsselung und Zugriffssicherung: Sämtliche sensible Daten (insbesondere Patientendaten, Forschungsdaten) sollten sowohl bei der Übertragung als auch auf den Speichermedien verschlüsselt werden. Im Netzwerk ist konsequent TLS/VPN für alle Verbindungen zu externen Partnern (Labor, Telematik-Infrastruktur, Homeoffice-Zugänge) einzusetzen. WLAN-Netze in der Klinik sind stark zu verschlüsseln (WPA3 mit Enterprise-Authentifizierung). At-Rest-Verschlüsselung: Auf Servern und insbesondere mobilen Endgeräten (Laptops, externe Festplatten, USB-Sticks) müssen Daten verschlüsselt gespeichert sein, damit ein Diebstahl nicht zum Datenabfluss führt – der erwähnte Laptop-Diebstahl hätte durch Festplattenverschlüsselung deutlich entschärft werden können. Auch Datenbanken mit Patientendaten können auf Dateisystemebene oder Applikationsebene verschlüsselt werden, sodass ein Einbrecher ohne die Schlüssel wenig anfangen kann. Ergänzend ist die Zugriffskontrolle zu stärken: alle Benutzerkonten sollten rollenbasiert minimale Berechtigungen haben, gemeinsame Team-Logins vermieden werden, und wo möglich eine Zwei-Faktor-Authentifizierung (2FA) eingeführt werden – gerade für Fernzugriffe (VPN, Remote Desktop) und Administrative Accounts. Moderne Kliniken setzen vermehrt auf Identity- und Access-Management (IAM)-Systeme, um Berechtigungen lifecycle-basiert zu verwalten (automatische Entziehung von Zugriffen bei Mitarbeiterwechsel etc.). Schließlich sind kritische Systeme zusätzlich durch Logging und Monitoring abzusichern: Alle sicherheitsrelevanten Aktionen (Login-Versuche, Konfigurationsänderungen, Datenexporte) sollten protokolliert und durch ein SIEM (Security Information and Event Management) auf Anomalien überwacht werden. So können z.B. ungewöhnliche Zugriffe auf Patientendaten rasch erkannt und untersucht werden.

• Medizingerätesicherheit: Für vernetzte medizintechnische Geräte sind spezielle Maßnahmen erforderlich. Zunächst sollten diese Geräte – wann immer machbar – mit den neuesten firmware updates versorgt werden (in Zusammenarbeit mit den Herstellern, unter Beachtung der Medizinprodukte-Regularien). Ist ein Gerät zu alt für Updates, gehört es auf ein abgesondertes Netzwerk mit minimaler Konnektivität. Die Kommunikation von Medizingeräten (z.B. HL7/DICOM-Datenverkehr) sollte nach Möglichkeit durch VPN/TLS-Tunnel abgesichert oder zumindest durch interne Firewalls gefiltert werden. Wo verfügbar, müssen Sicherheitsfeatures genutzt werden (z.B. Authentifizierung an Geräte-APIs, Audit-Logs aktivieren). Physische Sicherung: mobile Geräte (wie Ultraschall-Laptops oder medizinische Workstations) sollten mit Diebstahlschutz gesichert sein; Anschlüsse an medizinischen Geräten (USB, seriell) sollten kontrolliert werden, um unautorisierte Mediennutzung zu verhindern. Zudem ist das Personal im Umgang mit Gerätedaten zu schulen (keine unbekannten USB-Sticks anschließen etc.). Für kritische Geräte sollte es Notfallverfahren geben: z.B. manuelle Backup-Betriebsmodi (so haben moderne Infusionspumpen lokale Steuermöglichkeiten, falls das Zentralsystem ausfällt) und Vorhaltung von Ersatzgeräten.

• Überwachung und Notfall-Erkennung: Implementierung eines Intrusion Detection Systems (IDS) bzw. Security Monitoring ist ratsam, um laufende Angriffe frühzeitig zu erkennen. Ein Netzwerk-IDS kann verdächtigen Datenverkehr (etwa massenhaften Datenabfluss oder Kommunikation mit bekannten Malicious Hosts) alarmieren. Ebenso sollten Anomalieerkennungen stattfinden – z.B. plötzlich verschlüsselte Dateien (Hinweis auf Ransomware) oder ungewohnte Zugriffe außerhalb der Dienstzeiten. Die Klinik sollte klare Prozeduren für Security Incident Response haben: d.h. bei einem Alarm (z.B. Antivirensoftware schlägt an) muss ein geschultes Team sofort reagieren können (System isolieren, forensische Analyse einleiten). Idealerweise wird periodisch ein Penetrationstest durch externe Experten durchgeführt, um Schwachstellen proaktiv aufzudecken, sowie regelmäßige Notfallübungen (z.B. Ausfall Rechenzentrum simulieren). Durch solche Tests und Übungen wird die Wirksamkeit der technischen Sicherheitsmaßnahmen überprüft und verbessert.

Durch die genannten technischen Maßnahmen lässt sich ein hohes Maß an Grundsicherheit erreichen, das die meisten technischen Angriffsvektoren abdeckt und die Robustheit der Systeme erhöht. Allerdings greifen technische Lösungen nur, wenn sie in ein solides organisatorisches Rahmenwerk eingebettet sind – diesem widmet sich der nächste Abschnitt.

• Informationssicherheits-Managementsystem (ISMS): Die Klinik sollte ein umfassendes ISMS nach etablierten Standards (ISO/IEC 27001 oder BSI IT-Grundschutz) betreiben. Ein ISMS stellt sicher, dass Informationssicherheit kontinuierlich geplant, umgesetzt, überwacht und verbessert wird. Dazu gehört die Definition von Sicherheitsrichtlinien und Prozessen, die für alle Bereiche gelten. Mit einem ISMS können die oben ermittelten Schutzbedarfe formalisiert und regelmäßig überprüft werden (z.B. jährliche Risikobewertungen). Gerade für KRITIS-Kliniken ist ein solches systematisches Vorgehen Pflicht: Der Branchensicherheitsstandard (B3S) fordert ein etabliertes Informationssicherheits-Risikomanagement und ein betriebliches Kontinuitätsmanagement, das sicherstellt, dass auch bei IT-Ausfällen die medizinische Versorgung aufrechterhalten wird. Ein ISMS sollte in alle Funktionsbereiche der Klinik hineinwirken und durch Gremien (IT-Sicherheits- oder Datenschutz-Ausschuss) verankert sein.

• Organisatorische Verankerung und Verantwortlichkeiten: Es muss klar definiertes Sicherheitspersonal geben. Gesetzlich vorgeschrieben ist ein Datenschutzbeauftragter (DSB), da Gesundheitsdaten umfangreich verarbeitet werden (Art. 37 DSGVO) – dies ist umzusetzen und nach außen zu melden. Ebenso essenziell ist ein Informationssicherheitsbeauftragter (ISB), der das ISMS koordiniert. Der B3S verlangt ausdrücklich, dass die Geschäftsführung Informationssicherheitsziele durchsetzt, einen Datenschutzbeauftragten und einen dedizierten ISB ernennt. Der ISB sollte ausreichend Ressourcen und Weisungsbefugnis haben. Verantwortlichkeiten müssen auch auf Abteilungsebene klar sein (z.B. IT-Leitung für technische Umsetzung, aber auch Fachbereichsleiter für Einhaltung in ihrem Bereich). Wichtig ist eine Trennung von Zuständigkeiten: Administratoren sollen nicht gleichzeitig Kontrolle über Sicherheitsüberwachung ausüben (Vier-Augen-Prinzip), und der ISB sollte möglichst unabhängig von der IT-Leitung sein (um Interessenskonflikte zu vermeiden).

• Schulungen und Sensibilisierung: Mitarbeiter sind eine der schwächsten (oder stärksten) Glieder in der Sicherheitskette. Regelmäßige Schulungen im Datenschutz und der Informationssicherheit sind erforderlich – mindestens jährlich für alle Mitarbeiter mit Zugang zu sensitiven Daten. Inhalte: Umgang mit Passwörtern, Erkennung von Phishing-Mails, Melden von Vorfällen, Social Engineering Abwehr, korrekte Nutzung von Patientendaten etc. Speziell medizinisches Personal muss die besonderen Datenschutzanforderungen bei Gesundheitsdaten verinnerlichen. Es hat sich bewährt, Schulungen mit realen Vorfällen und Klinikbeispielen zu spicken, um die Relevanz zu verdeutlichen. Zusätzlich zu allgemeinen Schulungen sollten Schlüsselpersonen (Admins, Ärzte mit Forschungszugriff, Apotheker) vertiefende Trainings zu ihren Bereichen erhalten. Alle Mitarbeiter müssen Verpflichtungserklärungen unterschreiben, die sie auf Datengeheimnis und Schweigepflicht hinweisen – was ohnehin arbeitsrechtlich und nach DSGVO erforderlich ist. Eine Kultur der Aufmerksamkeit (Security Awareness) soll etabliert werden, sodass Mitarbeiter z.B. verdächtige Emails melden oder ungewöhnliche Personen im Serverraum ansprechen. Nur so lassen sich viele Insider-Risiken und Fehlbedienungen reduzieren.

• Zugriffs- und Berechtigungsmanagement: Die Vergabe von Berechtigungen zu Daten und Systemen muss strikten Regeln folgen. Prinzipien: Need-to-know und Least Privilege. Jeder Mitarbeiter erhält nur die Zugriffsrechte, die er für seine Aufgabe benötigt – nicht mehr. Rollenbasierte Berechtigungsprofile vereinfachen dies. Es sollte einen definierten Prozess für Benutzer-Provisionierung geben (Erstellung, Änderung, Entzug von Accounts bei Eintritt, Abteilungswechsel, Austritt). Wichtig ist, dass beim Austritt oder Positionswechsel sofort überflüssige Zugänge entzogen werden (z.B. Zugang zu Forschungsdaten bei Wechsel aus der Studie). Dieser Prozess sollte möglichst automatisch (gekoppelt an Personalverwaltung) laufen, um nichts zu übersehen. Admin-Rechte sind streng zu kontrollieren – idealerweise nur persönliche, protokollierte Admin-Accounts und temporäre Rechtevergabe bei Bedarf (Privilege Elevation). Allgemeine Gruppen-Logins sind zu vermeiden. Weiterhin sollte Multi-Faktor-Authentifizierung wenigstens für privilegierte Zugänge und Remote-Zugriffe organisatorisch vorgeschrieben und technisch erzwungen werden. Regelmäßige Rezertifizierungen der Berechtigungen (z.B. jährliche Review durch Vorgesetzte, wer Zugriff auf welche Patientendaten hat) erhöhen die Kontrolle. Die Protokollierung von Zugriffen auf besonders schutzwürdige Daten (Patientenakte, elektronische Fallakte) sollte nicht nur technisch erfolgen, sondern auch stichprobenartig ausgewertet werden – teilweise verlangen dies die Datenschutzaufsichtsbehörden für Kliniken. Ein internes Data Auditing-Team oder der DSB kann hier prüfen, ob z.B. Mitarbeiter unberechtigt auf Prominentenakten schauen.

• Notfall- und Kontinuitätsmanagement: Aufbauend auf der Risikoanalyse müssen ausführliche Notfallpläne und Business-Continuity-Pläne (BCP) vorhanden sein. Für IT-Ausfälle sollte ein IT-Notfallhandbuch vorliegen, das Prioritäten definiert (welche Systeme werden wie schnell wieder hochgefahren), Verantwortlichkeiten (Wer leitet das Krisenteam?), Kommunikationswege (wie informiert man Abteilungen beim IT-Blackout) und Workarounds für alle kritischen Prozesse (z.B. Ausfall elektronisches Rezept: Medikamentenausgabe via Papierlisten). Der B3S fordert etwa, Geschäftsfortführungs- und Wiederanlaufpläne für identifizierte kritische Systeme zu erstellen. Diese Pläne müssen regelmäßig getestet werden (Simulation eines IT-Ausfalls, um zu prüfen ob z.B. die manuelle Dokumentation auf Papier funktioniert, ob genügend vorgedruckte Formulare da sind, etc.). Auch technische Notfallübungen wie Umschalten auf Notstrom oder Ausfall eines Datacenter-Standorts sollten geprobt werden, um Kinderkrankheiten aufzudecken. Darüber hinaus sind Katastrophenpläne mit externen Stellen (Behörden, Feuerwehr) abzustimmen – z.B. für den Fall, dass eine komplette Evakuierung nötig wird oder eine Epidemie das Haus lahmlegt. Wichtig ist, die Notfallpläne aktuell zu halten: Ansprechpartner und Telefonlisten gehören laufend gepflegt, gerade in großen Organisationen mit regelmäßigem Personalwechsel. Schulungen zum Notfallmanagement (Wer macht was in der Krise?) erhöhen die Reaktionsfähigkeit. Letztlich soll dadurch erreicht werden, dass selbst im Chaos eines größeren Vorfalls die Klinik kontrolliert weiterarbeiten oder geordnet herunterfahren kann, ohne Panik und irreversible Schäden.

• Lieferanten- und Drittparteien-Management: Krankenhäuser sind mit zahlreichen externen Partnern vernetzt – von IT-Dienstleistern über Cloud-Services bis zu Medizingeräteherstellern und Reinigungsfirmen (mit Zugang zu sensiblen Bereichen). Es ist organisatorisch sicherzustellen, dass auch diese Dienstleister die Sicherheitsanforderungen einhalten. Dazu sollten Verträge entsprechende Klauseln enthalten (z.B. Verpflichtung auf DSGVO, Datenschutzzusatzvereinbarungen nach Art. 28 DSGVO mit Auftragsverarbeitern, Verpflichtung zur Einhaltung von BSI-Grundschutz bei sensiblen IT-Dienstleistungen, Meldepflichten bei Sicherheitsvorfällen seitens des Dienstleisters etc.). Bei kritischen IT-Dienstleistern ist zu prüfen, ob sie zertifiziert sind (z.B. ISO 27001). Gegebenenfalls sollte man wichtige Provider auditieren oder Nachweise einfordern. Insbesondere Cloud-Dienste müssen sorgfältig bewertet werden: Wo liegen die Daten? Greifen dort DSGVO-äquivalente Schutzmaßnahmen (Stichwort Schrems-II, Nutzung von EU-Clouds oder geeigneten Garantien)? Für Lieferanten von Medikamenten und Material gilt es, Second-Source-Strategien zu haben (falls ein Lieferant durch Cyberangriff oder Insolvenz ausfällt). Auch die Telematik-Infrastruktur (TI) im Gesundheitswesen bringt Drittparteien ins Spiel – Konnektoren, VPN-Zugangsdienste etc. Hier muss die Klinik sicherstellen, dass TI-Komponenten immer auf dem aktuellen Sicherheitsstand sind und die Anbindung reibungslos funktioniert, da z.B. E-Rezepte oder Notfalldatenmanagement sonst beeinträchtigt wären.

• Qualitätsmanagement und Dokumentation: Informationssicherheit sollte ins Qualitätsmanagement der Klinik integriert sein. Standard Operating Procedures (SOPs) für sicherheitsrelevante Prozesse (z.B. Joiner/Leaver-Prozess, Incident-Handling, Change-Management) sind zu erstellen und im Intranet verfügbar zu machen. Jedes Sicherheitsereignis ist zu dokumentieren und auszuwerten, um daraus zu lernen (z.B. Protokoll von fast-passierten Datenschutzverstößen, um Prozesslücken zu schließen). Die Vorfälle sollen auch an das Management berichtet werden – Cybersecurity ist Chefsache, wie zunehmend betont wird. Ein regelmäßiger Bericht an die Geschäftsführung (z.B. quartalsweise) über den Status der Informationssicherheit, aktuelle Risiken und Maßnahmen ist daher ratsam. Ferner sollten Benchmarks und KPIs erfasst werden (Anzahl der Phishing-Mails erkannt, Patch-Quoten, Dauer bis Incident-Response etc.), um Fortschritte zu messen. All dies erzeugt Transparenz und erhöht die Unterstützung auf Leitungsebene. Die Organisationskultur sollte Sicherheit als integralen Bestandteil der Patientenversorgung ansehen (Stichwort: „Patientensicherheit umfasst auch Informationssicherheit“).

• Zusammenarbeit und Meldewesen: Eine Klinik sollte sich aktiv in Netzwerke zum Informationsaustausch einbringen. In Deutschland gibt es z.B. die BSI-KRITIS-Kommunikation: KRITIS-Betreiber müssen eine 24/7-Kontaktstelle melden und sicherheitsrelevante Vorfälle an das BSI berichten. Entsprechende interne Prozesse müssen sicherstellen, dass z.B. ein erheblicher IT-Sicherheitsvorfall umgehend (binnen 24 Stunden) dem BSI gemeldet wird. Auch Datenschutzvorfälle müssen nach Art. 33 DSGVO binnen 72 Stunden an die Aufsicht gemeldet werden – hierfür ist ein Meldeworkflow zu etablieren (inkl. Abwägung des Risikos, damit im Ernstfall alle Fakten vorliegen). Der interne Krisenstab sollte zudem Kommunikationswege mit externen Partnern (Polizei, CERTs, evtl. Verfassungsschutz bei Spionageverdacht) kennen. In branchenspezifischen Warnverbünden (z.B. gesicherte Verteiler der Krankenhausgesellschaft) kann man von Erfahrungen anderer lernen und eigene Erkenntnisse teilen, etwa wenn neue Phishing-Kampagnen gegen Kliniken laufen. Diese Kooperation trägt dazu bei, dass Bedrohungen schneller erkannt und abgewehrt werden.

Zusammengefasst schaffen organisatorische Maßnahmen den Rahmen, in dem technische Maßnahmen effektiv wirken können. Sie sorgen für klare Zuständigkeiten, geschulte Mitarbeiter und etablierte Prozesse – elementar, um die in der Analyse identifizierten Risiken in den Griff zu bekommen. Die Kombination aus technischen und organisatorischen Vorkehrungen bildet den Kern des Schutzkonzepts. Schließlich müssen all diese Maßnahmen auch die rechtlichen Anforderungen erfüllen und nachweisen lassen, was im nächsten Abschnitt betrachtet wird.

• Erfüllung der DSGVO- und BDSG-Pflichten: Die Klinik muss sämtliche Anforderungen der Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes einhalten, insbesondere in Bezug auf Gesundheitsdaten. Praktisch bedeutet dies: Durchführung einer Datenschutz-Folgenabschätzung (DSFA) für die umfangreiche Verarbeitung besonderer Daten (gemäß Art. 35 Abs. 3 b DSGVO verpflichtend bei Gesundheitsdaten), Benennung eines Datenschutzbeauftragten, Umsetzung der ** technisch-organisatorischen Maßnahmen (TOMs)** nach Art. 32 DSGVO und Führung eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO), in dem die Verarbeitung von Patientendaten, Forschungsdaten etc. dokumentiert ist. Auch die Einhaltung der Datenschutzprinzipien (Zweckbindung, Datenminimierung, Speicherbegrenzung) sollte durch organisatorische Regeln gestützt sein – z.B. Löschkonzepte für Patientendaten nach Ablauf der Aufbewahrungsfristen (10 Jahre für Behandlungsdokumentation nach § 630f BGB, ggf. längere Aufbewahrung bei Röntgenaufzeichnungen etc. nach Spezialgesetzen).

• Auftragsverarbeitungs-Verträge (AVV): Für alle externen Dienstleister, die personenbezogene Daten der Klinik verarbeiten (z.B. Rechenzentrumsbetreiber, Cloud-Dienste für Backups, externe Abrechnungsstellen, Laborauftragsdienste) müssen schriftliche Verträge nach Art. 28 DSGVO abgeschlossen werden. Darin ist u.a. festzulegen, welche Sicherheitsmaßnahmen der Auftragnehmer mindestens zu erfüllen hat, dass Unterauftragsverhältnisse genehmigungspflichtig sind und dass Audit-Rechte bestehen. Die Klinik muss sicherstellen, dass diese Partner DSGVO-konform arbeiten; im Zweifel haftet sonst die Klinik. Daher sollten regelmäßige Überprüfungen oder Zertifikate (wie ISO 27001 oder TÜV-Prüfungen) der Dienstleister eingefordert werden. Besonders kritisch sind Cloud-Lösungen außerhalb der EU – hier sind rechtliche Mechanismen (Standardvertragsklauseln, evtl. zusätzliche Verschlüsselung) notwendig, um das Datenschutzniveau zu halten.

• Geheimhaltung und Arbeitsrecht: Alle Mitarbeiter – nicht nur medizinisches Personal mit Schweigepflicht – sollten Geheimhaltungsvereinbarungen unterzeichnen, die klarstellen, dass Patienten- und Klinikdaten vertraulich zu behandeln sind. Für externe Partner, Berater, Praktikanten etc. sind entsprechende NDAs (Non-Disclosure Agreements) abzuschließen, bevor sie Zugang zu sensiblen Bereichen oder Informationen erhalten. Auch das Geschäftsgeheimnisgesetz verlangt „angemessene Geheimhaltungsmaßnahmen“ als Voraussetzung für den rechtlichen Schutz von Geschäftsgeheimnissen. Dazu zählen rechtliche Schritte wie Geheimhaltungsvereinbarungen, Kennzeichnung von vertraulichen Dokumenten („confidential“ Stempel) und Vertragsstrafenklauseln bei Verstößen. Solche Maßnahmen sind insbesondere für Forschungskooperationen mit Drittmitteln oder Industriepartnern relevant. Bei Angestellten sollte die IT-Nutzungsrichtlinie (Teil des Arbeitsvertrags/Personalhandbuchs) klare Regeln zur privaten Nutzung von Klinik-IT, Umgang mit Passwörtern, Mitbringen eigener Geräte (BYOD-Policy) etc. enthalten – so kann bei Verstößen arbeitsrechtlich konsequent gehandelt werden.

• Melde- und Benachrichtigungspflichten: Rechtlich ist die Klinik verpflichtet, Datenschutzvorfälle mit Risiko für Betroffene binnen 72 Stunden der Aufsichtsbehörde zu melden (Art. 33 DSGVO) und bei hohem Risiko auch die Betroffenen zu informieren (Art. 34 DSGVO). Es muss daher intern geregelt sein, wann ein Vorfall diese Kriterien erfüllt und wer die Meldungen erstellt. Ebenso hat ein KRITIS-Krankenhaus nach § 8b BSIG erhebliche Störungen der IT an das BSI zu melden (dies schließt erfolgreiche Angriffe ein, die zu Ausfällen führten). Versäumte Meldungen können ihrerseits Sanktionen nach sich ziehen. Daher wird empfohlen, in den Notfallplan einen Meldeprozess aufzunehmen (inkl. Vorlage-Meldungen). Auch gegenüber ggf. anderen Behörden (Polizei, Landeskrankenhausgesellschaft) kann eine Info-Pflicht bestehen, z.B. bei Ausfall der Notaufnahme.

• Audits und Nachweise: Um die Einhaltung der gesetzlichen Anforderungen zu belegen, sollte sich die Klinik regelmäßigen Audits/Zertifizierungen unterziehen. Für KRITIS ist es ohnehin Pflicht, alle zwei Jahre einen Prüfnachweis an das BSI zu liefern, der zeigt, dass angemessene Schutzmaßnahmen umgesetzt sind. Dies kann über ein BSI-Testat (nach IT-Grundschutz) oder ISO 27001-Zertifizierung auf Basis des B3S erfolgen. Auch unabhängig davon ist eine externe Zertifizierung sinnvoll, da sie einerseits Schwachstellen aufdeckt und andererseits gegenüber Patienten und Partnern Vertrauen schafft. Intern sollten zudem jährliche interne Audits (gem. ISO 27001) oder Management-Reviews stattfinden, um Compliance-Lücken früh zu schließen. Eine besondere Rolle spielt der Datenschutzbeauftragte, der nach § 38 BDSG die Einhaltung der Datenschutzvorschriften überwacht – sein jährlicher Bericht sollte ernst genommen und Empfehlungen umgesetzt werden.

• Dokumentation der Rechtspflichten: Alle relevanten rechtlichen Anforderungen sollten in einer zentralen Compliance-Matrix oder ähnlichem festgehalten werden. Darin wird gemappt: Anforderung (Gesetz/Norm) – zuständiger Bereich – Umsetzung durch Maßnahme – Nachweis. Beispielsweise DSGVO Art. 32 (TOMs) – verantwortlich: IT-Leiter & ISB – umgesetzt durch: Firewall, Access Management, Verschlüsselung etc. – Nachweis: Policies, Protokolle, Auditberichte. So kann jederzeit dargelegt werden, dass man „Stand der Technik“ umgesetzt hat. Diese Dokumentation ist Gold wert im Falle einer Prüfung (etwa durch den Datenschutzaufsicht oder BSI) und schafft intern Klarheit.

• Awareness der Leitung und Haftung: Die Klinikleitung (Geschäftsführung/Vorstand) muss sich ihrer Verantwortung bewusst sein, die Informationssicherheit aktiv zu steuern. Durch das IT-Sicherheitsgesetz 2.0 und kommende EU-Richtlinien (NIS2) wird die persönliche Haftung der Leitung bei grober Vernachlässigung von Cybersecurity-Pflichten deutlicher hervortreten. Es ist daher rechtlich geboten, dass die Führung ausreichend Mittel und Priorität für dieses Thema bereitstellt. Im Umkehrschluss kann sie bei nachweislich umgesetztem Stand der Technik im Schadensfall zeigen, alles Zumutbare getan zu haben – was die Risiken von Regressansprüchen oder gar strafrechtlichen Konsequenzen mindert. Versicherungen (Cyber-Versicherung) können Teil der Risikovorsorge sein, decken aber nur finanzielle Folgen ab, nicht den Reputations- oder Vertrauensverlust. Deshalb ist Prävention der Königsweg.

• Strafrechtliche und berufsrechtliche Aspekte: Zur Vollständigkeit sei erwähnt, dass Verletzungen der Vertraulichkeit nicht nur Datenschutzbußen nach sich ziehen, sondern auch strafrechtlich sanktioniert sein können (etwa Verstoß gegen § 203 StGB – Verletzung von Privatgeheimnissen durch medizinisches Personal). Entsprechend müssen alle Mitarbeitenden mit Patientenkontakt regelmäßig auf diese Schweigepflicht hingewiesen werden. Berufsrechtlich können Kliniken zudem Sanktionen drohen (z.B. durch den Entzug von Behandlungsermächtigungen oder Sanktionen der Kassenärztlichen Vereinigung), sollten gravierende Sicherheitsmängel zu Patientenschäden führen.

• Patientenrechte und Transparenz: Aus rechtlicher Sicht sollte die Klinik auch Wert auf Transparenz gegenüber den Patienten legen. Patienten haben nach DSGVO Rechte auf Auskunft über die sie betreffenden Daten, Berichtigung, ggf. Löschung etc. Die Klinik muss Verfahren etabliert haben, um solchen Anfragen nachzukommen. Außerdem sollte sie in ihrer Datenschutzerklärung klar kommunizieren, welche Datenverarbeitungen stattfinden (z.B. elektronische Patientenakte, Forschungsnutzung mit Einwilligung, Anbindung an die Telematik etc.). Dies schafft Vertrauen und erfüllt die Informationspflichten (Art. 13/14 DSGVO). Im Falle eines Datenvorfalls sollte neben der formalen Benachrichtigung auch Patienten kommunikationsfreundlich erklärt werden, was passiert ist und welche Schritte die Klinik unternimmt – dies ist zwar mehr Goodwill als gesetzliche Pflicht, kann aber rechtlich relevant werden, falls es zu Schadensersatzforderungen kommt (hier kann aktive Schadenbegrenzung die Ansprüche vermindern).