Managerhaftung
13. Januar 2026
Persönliche Haftung, Cybersecurity und D&O-Versicherungen Viele Führungskräfte unterschätzen noch immer, dass sie im Falle einer Datenpanne nicht nur das Unternehmen, sondern auch ihre eigene persönliche Haftung
Informationssicherheit im Gesundheitswesen
Aufbau eines ISMS im Krankenhaus professionell steuern
Branchen-Know-How
jahrzehntelange Erfahrungen im Gesundheitswesen
Fach-Expertise
breit gefächerte Kompetenzen rund um Sicherheitsnormen
Methoden-Kompetenz
praxis-erprobte Lösungen für eine effiziente Umsetzung
Informationssicherheit ist im Krankenhaus kein Nice-to-have mehr.
Informationssicherheitsmanagementsystem oder kurz ISMS, schützt Ihre Klinik vor Ausfällen, Datenverlust und Haftungsrisiken. Gleichzeitig erfüllen Sie wachsende Anforderungen aus B3S, NIS2, DSGVO und von Kostentragenden sowie Aufsichtsbehörden.
Warum ein ISMS im Krankenhaus heute unverzichtbar ist
Krankenhäuser und Kliniken arbeiten hochgradig digital. Fällt die IT aus, steht schnell die Versorgung der Patientinnen und Patienten auf dem Spiel. Informationssicherheit betrifft daher nicht nur Serverräume. Sie reicht bis auf die Station, in den OP und ins Homeoffice.
Ein gelebtes ISMS schafft hier Klarheit. Rollen, Verantwortlichkeiten und Prozesse werden definiert. Risiken werden systematisch erkannt und behandelt. So senken Sie die Wahrscheinlichkeit schwerer Sicherheitsvorfälle deutlich. Gleichzeitig gewinnen Sie Handlungssicherheit bei Audits und Prüfungen.
Normen wie ISO 27001, BSI IT Grundschutz oder B3S für Krankenhäuser
Diese Normen fordern genau diesen strukturierten Ansatz. Sie verlangen, dass Informationssicherheit nachweisbar, risikobasiert und kontinuierlich verbessert wird. Ein professionelles ISMS übersetzt diese Vorgaben in Ihren Klinikalltag.
Das entlastet Ihre Leitungen und die IT. Denn Informationssicherheit wird planbar. Maßnahmen folgen einer klaren Priorität. Doppelarbeiten mit dem Datenschutz lassen sich reduzieren. UIMC verbindet beide Welten seit vielen Jahren. So entstehen pragmatische Lösungen, die sowohl Compliance als auch Praxis im Blick behalten.
ISMS praxisnah aufbauen: Von B3S bis ISO 27001
Ein ISMS im Krankenhaus muss zu Ihren Strukturen, Prozessen und Ressourcen passen. Reine „Papierkonzepte“ helfen in der Praxis wenig. Die UIMC setzt deshalb auf einen stufenweisen Aufbau mit klaren Prioritäten.
Vorgehensweise
Zunächst wird der Status quo realistisch bewertet. Wo stehen Sie bereits gut da? Wo bestehen Lücken, die bei einem Audit kritisch wären? Daraus entsteht ein Fahrplan mit klaren Meilensteinen.
Im nächsten Schritt werden Richtlinien, Prozesse und Nachweise so gestaltet, dass sie sowohl prüffest als auch alltagstauglich sind. UIMC legt Wert auf schlanke, verständliche Dokumente. Ziel ist, dass Ihre Beschäftigten damit gerne arbeiten.
Vor Audits bereiten wir Ihr Haus gezielt vor. Typische Auditorenfragen werden simuliert. Verantwortliche erhalten Sicherheit im Umgang mit Prüfungen. So steigern Sie die Chance auf ein erfolgreiches Erstzertifikat deutlich. Zugleich schaffen Sie eine stabile Basis für kommende Überwachungs- und Re-Zertifizierungsaudits.
Risikoanalyse
An erster Stelle im Rahmen einer strukturierten Herangehensweise an die Informationssicherheit steht eine strukturierte und umfassende Risikoanalyse. Hierzu wird der Stand der aktuellen Risikosituation im Haus erfasst und bewertet. Zum anderen werden im Rahmen der Risikoanalyse die Anforderungen der unternehmensinternen Prozesse an Schutzziele und die Bedeutung der einzelnen unternehmensinternen Prozesse für das Unternehmen evaluiert.
Die Ergebnisse der Risikoanalyse werden im Rahmen eines übersichtlichen Berichtes zur Verfügung gestellt und können so ebenfalls in die nächsten Schritte im Rahmen eines Aufbaus eines Managementsystems einfließen.
Zieldefinition
Im zweiten Schritt beim Aufbau eines Managementsystems sind die von der Organisation verfolgten Ziele zu ermitteln und festzulegen. Anhand der evaluierten Ziele kann die Organisation, unter Zuhilfenahme der Risikoanalyse, den erwünschten Grad des Managementsystems ermitteln. Hierbei stellen wir sicher, dass nicht nur das Anspruchsniveau der Unternehmensleitung erfasst und dokumentiert wird, sondern auch die Anspruchsniveaus aller für das Unternehmen relevanter Stakeholder ermittelt, bewertet und in die Zielvorstellung des Unternehmens eingearbeitet werden.
Als Ergebnis steht ein erarbeitetes Zielniveau für ein unternehmensweites Managementsystem, welches die Anforderungen aller für das Unternehmen relevanten Stakeholder berücksichtigt. Ebenfalls Ergebnis dieses Zielworkshops sind, auf Grundlage des bestimmten Zielniveaus, Anforderungen an die Leistungsvereinbarungen (Service Level-Agreements (SLAs)) im Rahmen des Managementsystems, sodass sichergestellt werden kann, dass das gewünschte Zielniveau nicht vor der eigenen Haustür endet und auch Dienstleister ihren Teil zur Erreichung des Zielniveaus beitragen.
Schwachstellenanalyse
Unser Checkup ist eine standardisierte Analyse Ihrer Informationssicherheits-Organisation inkl. bereits realisierter Anforderungen der relevanten Normen, die anhand des vorstrukturierten Tools computergestützt erhoben und auch ausgewertet wird.
Für die Erhebung sollten fachkundige Mitarbeiter des Hauses bei Gruppengesprächen zur Verfügung stehen. Es handelt sich hierbei um die Beantwortung von Fragen, deren Ergebnisse die Grundlage des Status-Quo-Berichts und des hierauf aufbauenden Vorschlags zur Schwachstellenbeseitigung bildet („Maßnahmenkatalog“).
Aufbau der Organisation
Nach erfolgter Analyse wird ein grobes Umsetzungskonzept erarbeitet und eine Informationssicherheits-Organisation aufgebaut. Im Rahmen der Schulungen ist es uns wichtig, die Inhalte verständlich zu vermitteln, um eine hohe Akzeptanz zu schaffen. Die Schulungen können persönlich und/oder im Rahmen von E-Learnings durchgeführt werden.
Unser Informationssicherheitshandbuch ist die ideale Basis, um ein Regelwerk aller aufbau- und ablauforganisatorischen Fragestellungen Ihres Unternehmens zu schaffen. Das auf langjähriger Erfahrung (Best Practice) und verschiedenen Sicherheitsnormen (insbesondere ISO/IEC 27002) basierende Regelwerk ist modular aufgebaut, wodurch es an jede Institution spezifisch anpassbar ist.
In Form einer Regelbetreuung (beispielsweise als Informationssicherheitsbeauftragte) können neben einer Projektverfolgung auch Adhoc-Anfragen bearbeitet werden.
Kontrolle und Revision
Auch muss regelmäßig überprüft werden, ob die dargestellte Risikosituation und definierten Sicherheitsziele noch aktuell sind. Ferner muss kontrolliert werden, ob die geplanten Maßnahmen richtig umgesetzt und die mit ihnen angestrebten Ziele erreicht werden. Erkenntnisse hieraus fließen in das Verfahren zur Verbesserung der Informationssicherheit ein.
Mit der Implementierung des PDCA-Zyklus (Plan-Do-Check-Act) in Ihrem Unternehmen entsteht ein funktionsfähiges und angemessenes ISMS, welches eine kontinuierliche Umsetzung und Verbesserung der Informationssicherheit gewährleistet.
Leistungen
6 Gründe, warum Ihnen gerade die UIMC bei der Umsetzung helfen kann:
Hohe Fachkompetenz
Hohe Fachkompetenz
Unsere Mitarbeitenden haben breit gefächertes Know-how in der Informationssicherheit und im Datenschutz.
Branchenkenntnisse
Branchenkenntnisse
Die UIMC kann auf jahrzehntelange Erfahrungen im Bereich von Krankenhäusern zurückgreifen.
Methoden-Kompetenz
Methodenkompetenz
Wir nutzen praxis-erprobte Tools und setzen auf Best-Practice-Lösungen im Rahmen der Umsetzung.
Projekt-Erfahrungen
Projekt-Erfahrungen
Seit über 25 Jahren führen wir Projekte im Rahmen des Aufbaus von Informationssicherheits-Managementsystemen durch.
Pragmatismus
Pragmatismus
Pragmatismus steht seit jeher an oberster Stelle, denn nur durch Akzeptanz wird Informationssicherheit auch wirklich gelebt.
Dienstleistungs-Mentalität
Dienstleistungs-Mentalität
Unsere Mitarbeitenden sind dienstleistungsorientiert und richten sich soweit wie möglich nach Ihnen und nicht umgekehrt.
Schützen Sie Ihre IT und Ihre Wettbewerbsfähigkeit
Ein gelebtes ISMS schafft Klarheit. Rollen, Verantwortlichkeiten und Prozesse werden definiert. Risiken werden systematisch erkannt und behandelt. So senken Sie die Wahrscheinlichkeit schwerer Sicherheitsvorfälle deutlich.
Fragestellungen
Klassische Probleme in der Krankenhaus-IT:
Unzureichende Berücksichtigung in der Strategie
Zum Teil werden Prozesse und Maßnahmen zwar gelebt, jedoch nicht dokumentiert, wodurch sie nicht eindeutig und verbindlich sind. Auch können diese nicht kontrolliert werden, so dass weder Umsetzung noch Wirksamkeit der Maßnahmen bekannt ist, was wiederum das Verbesserungspotential vermindert. Auch führt eine fehlende Revision oftmals dazu, dass Effektivität und Effizient von Prozessen nachlassen.
„Bring Your Own Device“ durch die Hintertür
Da es oftmals an klaren Regelungen und/oder ausreichenden Ressourcen mangelt, wird das Personal (ohne bösen Willen) selbst aktiv, indem beispielsweise für die interne Kommunikation eigene Geräte genutzt werden. So werden mangels Alternative im Zuge der Diagnose beispielsweise medizinische Unterlagen oder Patienten mit privaten Smartphones fotografiert oder per Messanger à la WhatsApp an Kollegen versendet, um einen schnellen fachlichen Austausch zu erreichen.
Informationssicherheit bei Digitalisierung oftmals nicht im Fokus
Die Digitalisierung im Gesundheitswesen ist aktuell ein großes Thema, indem viele Prozesse digitalisiert werden. Die Prozesse im Rahmen der Informationssicherheit bzw. im Informationssicherheits-Managementsystem werden bei der Digitalisierung aber oftmals vergessen, so dass die Strukturen zur Gewährleistung der Dienstleistungserbringung und der Erbringung der Sicherheit nicht Hand in Hand gehen.
Digitalisierungsbestrebungen, Alltag oder die besondere Sensibilität der Daten (Stichwort „Ärztliche Schweigepflicht“) erfordern spezielle Lösungen für den Stationsalltag. Zum Beispiel ist eine klassische PC-Zugangssicherung (Persönliche Nutzerdaten) im Stationsalltag nicht zielführend; doch wird im Rahmen der Digitalisierung der Systeme nur die Dienstleistungserbringung in den Fokus genommen, nicht aber die Informationssicherheit. Die Bedeutung zeigt, dass die Digitalisierungsförderung in Krankenhäusern aktuell nur dann genehmigt wird, wenn auch die Informationssicherheit in das Projekt integriert wird (mindestens 15%).
Unbekannte Risikolage
Risiken werden oftmals entweder gar nicht, unvollständig oder unzureichend erhoben, indem nicht der richtige Detaillierungsgrad gewählt wird. Wählt man den Grad zu hoch, sind die Risiken zu abstrakt; ist er zu hoch, verstrickt man sich schnell in Detailfragen. Doch ohne Risikobewertung liegt auch keine Grundlage für angemessene Entscheidungen vor. Risiken können bei den Sicherheitsmaßnahmen nicht berücksichtigt werden. Das Ergebnis können daher unzureichende und/oder ineffiziente Maßnahmen sein
Heterogene IT-Infrastruktur
Durch unterschiedliche Systeme, Netzwerke und eine hohe Anzahl und Integration von IT-Dienstleistern innerhalb der Infrastruktur bestehen oftmals unterschiedliche Anforderungen an die Informationssicherheit und die damit verbundenen Maßnahmen. Ohne einen Überblick hierüber können keine gezielten Maßnahmen ergriffen und nicht sichergestellt werden, dass alle Systeme etc. berücksichtigt wurden. Unterschiedliche Lebenszyklen der IT-Systeme machen dies nicht zwingend einfacher.
Ohne eine klare Identifikation von Assets, der klaren Zuordnung von Verantwortlichkeiten und übergreifenden Regelungen kann ein Vakuum entstehen, so dass Risiken nicht oder unzureichend betrachtet werden. Durch eine durchgehende Organisationsstruktur mit definierten Zuständigkeiten und Meldewegen, können Risiken gezielt reduziert werden.
Unzureichend sensibilisiertes Personal
Entscheidend für die effektive Umsetzung der Maßnahmen ist der Faktor Mensch, da Personal wissentlich oder unwissentlich Sicherheitsmaßnahmen umgeht. Auch wenn oftmals ein „guter Wille“ dahinsteht, so entstehen viele Sicherheitsvorfälle (bis hin zu meldepflichtigen Vorfällen) durch menschliche Fehler, die durch wenige Minuten Training reduziert werden können.
Krankenhäuser als Ziel von Cyberattacken
Auch aufgrund der bisweilen unzureichenden Sicherheitsmaßnahmen (beispielsweise aufgrund fehlender Strategie, unbekannter Risikosituation oder mangelnder Schulung der Mitarbeiter) versuchen Kriminelle auch Gesundheitseinrichtungen anzugreifen, um diese beispielsweise zu erpressen. Dies führt nicht nur zu kaufmännischen Risiken (reduzierte Umsätze und Lösegeld-Zahlungen), sondern auch zu gesundheitlichen Gefahren, wenn medizinische Geräte etc. nicht mehr genutzt werden können.
Auf medizinische Notfälle sind Krankenhäuser erfahrungsgemäß gut vorbereitet. Trotz zunehmender Digitalisierung der Behandlung sowie wachsender Komplexität der Spezialsysteme werden eigentlich notwendige Notfallpläne zunehmend weniger erarbeitet. Gerade bei Cyberangriffen zeigt sich zunehmend, dass eine unzureichende Vorbereitung auf dies Notfälle gegeben ist: Sei es bei der akuten Behandlung des Notfalls oder bei der Fortführung des Betriebs (Business-Continuity-Management).
Festgelegte Prozesse werden nicht gelebt
Auch aufgrund der bisweilen unzureichenden Sicherheitsmaßnahmen (beispielsweise aufgrund fehlender Strategie, unbekannter Risikosituation oder mangelnder Schulung der Mitarbeiter) versuchen Kriminelle auch Gesundheitseinrichtungen anzugreifen, um diese beispielsweise zu erpressen. Dies führt nicht nur zu kaufmännischen Risiken (reduzierte Umsätze und Lösegeld-Zahlungen), sondern auch zu gesundheitlichen Gefahren, wenn medizinische Geräte etc. nicht mehr genutzt werden können.
Auf medizinische Notfälle sind Krankenhäuser erfahrungsgemäß gut vorbereitet. Trotz zunehmender Digitalisierung der Behandlung sowie wachsender Komplexität der Spezialsysteme werden eigentlich notwendige Notfallpläne zunehmend weniger erarbeitet. Gerade bei Cyberangriffen zeigt sich zunehmend, dass eine unzureichende Vorbereitung auf dies Notfälle gegeben ist: Sei es bei der akuten Behandlung des Notfalls oder bei der Fortführung des Betriebs (Business-Continuity-Management).
Mangelnde Kommunikation bzgl. Informationssicherheit
Weder Vorgaben im Sinne von verbindlichen Prozessen und Richtlinien im Haus noch Informationen zum Status quo an die Leitung werden ausreichend kommuniziert. Ohne regelmäßige Informationen zur Risikosituation kann die Krankenhausleitung aber beispielsweise keine sinnvollen Entscheidungen im Hinblick auf die Informationssicherheit treffen, sei es im Hinblick auf Ressourcen, Strategie oder Verantwortlichkeiten.
News
Aktuelles & Interessantes
Weiterlesen »
ISO 21964
5. Januar 2026
DIN 66399 heißt jetzt ISO 21964 – Sonst ändert sich nichts? Was hinter den Normen zur Datenträgervernichtung steckt Wenn es um Datenträgervernichtung, Aktenvernichtung oder sichere
Jahresrückblick 2025
19. Dezember 2025
Jahresrückblick 2025: Datenschutz, Informationssicherheit und Compliance im Wandel 2025 war ein Jahr, in dem Datenschutz, Informationssicherheit und Compliance nicht nur Schlagworte waren. Neue Gesetze wie
Vorteile
Nutzen Sie die Vorteile aus der Beratung aus einer Hand
Bei uns erhalten Sie Leistungen und Beratung rund um das Thema Compliance aus einer Hand: Datenschutz, Informationssicherheit, Hinweisgeberschutzgesetz und KI.
Erfahrung und Expertise
Profitieren Sie von unserer Erfahrung und Größe. Wir sind in der Lage, umfangreiche Projekte unabhängig von einzelnen Mitarbeitern durchzuführen und gleichzeitig individuell auf Ihre Bedürfnisse einzugehen.
Vielseitige Experten
Unsere rund 30 Mitarbeiterinnen und Mitarbeitern haben breit gefächerte Spezialisierungen, die für praxisnahe Lösungen sorgen. Wir helfen Ihnen mit pragmatischen Lösungen und verständlichen Informationen.
Über 500 erfolgreiche Projekte
Unsere Erfolge sprechen für sich selbst! Wir haben aktuell mehr als 500 Projekte; viele unserer Kunden halten uns seit Jahren und zum Teil auch seit Jahrzehnten die Treue.
Immer gut informiert
Newsletter
Bleiben Sie mit unserem Info-Brief auf dem Laufenden. Abonnieren Sie den Newsletter und verpassen Sie keinen unserer Artikel.
Leistungen
Jedes Unternehmen ist anders; wir haben die passenden Konzepte!
Kleine mittelständische Unternehmen
Gerade in KMU kann der Datenschutz häufig durch ein Outsourcing effizient umgesetzt werden. Budget schonend und unter optimiertem personellen Aufwand etablieren wir mit standardisierten Hilfsmitteln ein praktikables Datenschutzkonzept, welches Sie in Ihrem KMU angemessen umzusetzen können. Die Idee unseres speziell auf KMU zugeschnittenen Konzepts besteht darin, die gesetzlich verankerte Angemessenheit im besonderen Maße zu berücksichtigen. Durch ein hohes Maß an Standardisierung, die Nutzung erprobter, standardisierter Hilfsmittel und die Reduzierung der Vor-Ort-Leistungen wird es ermöglicht, eine pragmatische, wenig aufwendige Lösung für das Datenschutzproblem zu akzeptablen Preisen zu realisieren. Dennoch sind wir immer dann verfügbar und helfen Ihnen genau dann verständlich und pragmatisch weiter, wenn Sie uns brauchen.
Profitieren Sie vom Synergieeffekt
und übergeben Sie Datenschutz- und IT-Sicherheitskonzept mit nur einem Auftrag an unsere Experten.
Unternehmensgruppen und Konzerne
Im Rahmen der Umsetzung der Datenschutz-Grundverordnung besteht verständlicherweise der Anspruch von Unternehmensgruppen bzw. Konzernen, eine homogene Datenschutz-Organisation aufzubauen und der Wunsch nach einer ganzheitlichen Betreuung, um bei der Umsetzung Synergien zu nutzen.
Je nach Ausgangssituation wird ein auf einem UIMC-Standard basierendes Implementierungskonzept angepasst und im Anschluss ein Projektplan zur Einführung beziehungsweise dem Ausbau der Datenschutzorganisation erstellt. Die nächsten Schritte stellen die Konzeptionierung des auf die Unternehmung zugeschnittenen Datenschutzmanagementsystems und den Aufbau der Datenschutzorganisation dar.
Das Reporting hat einen wesentlichen Anteil am Gelingen der Umsetzung, da ohne eine regelmäßige und transparente Berichterstattung die übergreifende Steuerung der Projekte nicht oder nur mit geringerem Erfolg zu realisieren ist. Dies findet in regelmäßigen Status-Meetings statt, deren Turnus in Abhängigkeit von Größe bzw. Kritikalität der aktuellen Tätigkeiten festgelegt wird.
Internationale Konzerne
Ziel ist es, für Konzerneinheiten auf dem europäischen Kontinent bzw. innerhalb der EU eine einheitliche Datenschutz-Organisation sowie eine ganzheitliche Betreuung umzusetzen. Die Vorgehensweise ist analog zur o. g. Umsetzung in Unternehmensgruppen, wird aber um die nationalen Besonderheiten ergänzt.
Der Projektplan sieht in der Regel einen Piloten in Deutschland vor, der dann im späteren Verlauf auf die europäischen Tochtergesellschaften und ggf. Mehrheitsbeteiligungen erweitert wird. Nachdem das Projekt aufgesetzt und die Umsetzungsunterstützung durch die Unternehmensführung sichergestellt wurde, wird ein Projektmarketing bei allen (wichtigen) lokalen Geschäftsführungen in Europa zur Vorstellung der UIMC und der Implementierungsmethodik vollzogen.
Kirchliche Einrichtungen
Durch langjährige Betreuungen von kirchlichen Institutionen kann die UIMC eine umfassende Expertise vorweisen, wenn es darum geht, Datenschutzkonzepte zu erstellen, welche die Regelungen des KDG (Kirchliches Datenschutzgesetz), des DSG-EKD (Datenschutzgesetz der Evangelischen Kirche) oder weiterer Kirchennormen umfassend umsetzen.
Aufgrund der besonderen Gesetzeslage, aber auch durch die besondere Art der Organisationen, bedarf es einer etwas anderen Absprache im Datenschutz. Darin sind wir genau die Experten, nach denen Sie suchen!
Aufgrund der besonderen Gesetzeslage, aber auch durch die besondere Art der Organisationen, bedarf es einer etwas anderen Absprache im Datenschutz. Darin sind wir genau die Experten, nach denen Sie suchen!
Hochschulen
Auch Hochschulen und Universitäten bedürfen einer individuellen Umsetzung des Datenschutzes. Gerade die spezielle Organisationsform und Tätigkeitsfelder wie Lehre und Forschung erfordern besondere Erfahrung in der Umsetzung des Datenschutzes. Neben speziellen Gesetzesanforderungen sind auch die Beteiligten anders als in der freien Wirtschaft in den Umsetzungsprozess zu integrieren. Die UIMC betreut schon seit vielen Jahren die Hochschulwelt und kann daher mit viel Erfahrung und Expertise überzeugen.
Gesundheitswesen
Auch das Gesundheitswesen bedarf einer besonderen Betrachtung im Datenschutz. Neben der Tatsache, dass gerade hier hochvertrauliche Daten (Gesundheitsdaten als „besondere Kategorien personenbezogener Daten“) verarbeitet werden, gibt es in Krankenhäusern, medizinischen Versorgungszentren, Praxen etc. besondere Abläufe und Anforderungen. Ferner gibt es in diesem Bereich unzählige Spezialgesetze (ob in der weltlichen oder kirchlichen Rechtsordnung), die es gilt zu berücksichtigen.
Durch langjährige Betreuungen von Institutionen im Gesundheitswesen kann die UIMC eine umfassende Expertise für die Unterstützung bieten.