Unternehmens- und Informations-Management Consultants
Aufbau eines ISMS im Krankenhaus professionell steuern
jahrzehntelange Erfahrungen im Gesundheitswesen
breit gefächerte Kompetenzen rund um Sicherheitsnormen
praxis-erprobte Lösungen für eine effiziente Umsetzung
Die Implementierung eines Informationssicherheits-Managementsystems oder kurz ISMS, schützt Ihre Klinik vor Ausfällen, Datenverlust und Haftungsrisiken. Gleichzeitig unterstützt es bei der erfüllen Sie Erfüllung wachsender Anforderungen aus B3S, NIS2, DSGVO und von Kostentragenden sowie Aufsichtsbehörden.
Krankenhäuser und Kliniken arbeiten hochgradig digital. Fällt die IT aus, steht schnell die Versorgung der Patientinnen und Patienten auf dem Spiel. Informationssicherheit betrifft daher nicht nur Serverräume: Sie reicht bis auf die Station, in den OP und ins Homeoffice.
Ein gelebtes ISMS schafft hier Klarheit: Rollen, Verantwortlichkeiten und Prozesse werden definiert und Risiken werden systematisch erkannt sowie behandelt. So senken Sie die Wahrscheinlichkeit schwerer Sicherheitsvorfälle deutlich. Gleichzeitig gewinnen Sie Handlungssicherheit bei Audits und Prüfungen.
Diese Normen fordern genau diesen strukturierten Ansatz. Sie verlangen, dass Informationssicherheit nachweisbar, risikobasiert und kontinuierlich verbessert wird. Ein professionelles ISMS übersetzt diese Vorgaben in Ihren Klinikalltag.
Das entlastet Ihre Leitungen und die IT. Denn Informationssicherheit wird planbar. Maßnahmen folgen einer klaren Priorität. Doppelarbeiten mit dem Datenschutz lassen sich reduzieren. UIMC verbindet beide Welten seit vielen Jahren. So entstehen pragmatische Lösungen, die sowohl Compliance als auch Praxis im Blick behalten.
Durch die Verabschiedung des Patientendaten-Schutz-Gesetzes (PDSG) sind alle Krankenhäuser dazu verpflichtet ein ISMS aufzubauen.
Krankenhäuser sind gemäß § 391 SGB V verpflichtet, „nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und den Schutzbedarf der verarbeiteten Patienteninformationen maßgeblich sind.“ Hierzu gehören gemäß Absatz 2 explizit „Maßnahmen zur Steigerung der Security-Awareness von Mitarbeiterinnen und Mitarbeitern.“
Ferner unterliegen die meisten Krankenhäuser auch den Anforderungen von NIS2, dessen zentrale Forderung ebenfalls ein ISMS ist.
Die Verpflichtungen gelten als erfüllt, wenn branchenspezifische Sicherheitsstandards umgesetzt sind.
Das Krankenhauszukunftsgesetz (KHZG) regelt die verpflichtende Einführung digitale Services rund um den Patientenaufenthalt – von der Notaufnahme über die Behandlung bis hin zum Entlassmanagement und der Nachsorge. Hierbei müssen pro Fördertatbestand 15 Prozent der Kosten für die IT-Sicherheit eingeplant werden.
Gemäß KHZG drohen Krankenhäusern bei Nichtumsetzung der definierten Kriterien ab dem 1. Januar 2025 spürbare finanzielle Abschläge (Malus-Regelung). So drohen Abschläge von bis zu 2 Prozent auf die Abrechnung der Krankenhausfälle.
Ein ISMS im Krankenhaus muss zu Ihren Strukturen, Prozessen und Ressourcen passen. Reine „Papierkonzepte“ helfen in der Praxis wenig. Die UIMC setzt deshalb auf einen stufenweisen Aufbau mit klaren Prioritäten.
Zunächst wird der Status quo realistisch bewertet. Wo stehen Sie bereits gut da? Wo bestehen Lücken, die bei einem Audit kritisch wären? Daraus entsteht ein Fahrplan mit klaren Meilensteinen.
Im nächsten Schritt werden Richtlinien, Prozesse und Nachweise so gestaltet, dass sie sowohl prüffest als auch alltagstauglich sind. UIMC legt Wert auf schlanke, verständliche Dokumente. Ziel ist, dass Ihre Beschäftigten damit gerne arbeiten.
Vor Audits bereiten wir Ihr Haus gezielt vor. Typische Auditorenfragen werden simuliert. Verantwortliche erhalten Sicherheit im Umgang mit Prüfungen. So steigern Sie die Chance auf ein erfolgreiches Erstzertifikat deutlich. Zugleich schaffen Sie eine stabile Basis für kommende Überwachungs- und Re-Zertifizierungsaudits.
An erster Stelle im Rahmen einer strukturierten Herangehensweise an die Informationssicherheit steht eine strukturierte und umfassende Risikoanalyse. Hierzu wird der Stand der aktuellen Risikosituation im Haus erfasst und bewertet. Zum anderen werden im Rahmen der Risikoanalyse die Anforderungen der unternehmensinternen Prozesse an Schutzziele und die Bedeutung der einzelnen unternehmensinternen Prozesse für das Unternehmen evaluiert.
Die Risikobewertung erfolgt Asset-basiert. Die zu bewertenden Assets werden im Rahmen eines gemeinsamen Workshops erarbeitet, um sie dann in die Risikobewertung zu überführen. Die Ergebnisse der Risikoanalyse werden im Rahmen eines übersichtlichen Berichtes zur Verfügung gestellt und können so ebenfalls in die nächsten Schritte im Rahmen eines Aufbaus eines Managementsystems einfließen.
Im zweiten Schritt beim Aufbau eines Managementsystems sind die von der Organisation verfolgten Ziele zu ermitteln und festzulegen. Anhand der evaluierten Ziele kann die Organisation, unter Zuhilfenahme der Risikoanalyse, den erwünschten Grad des Managementsystems ermitteln. Hierbei stellen wir sicher, dass nicht nur das Anspruchsniveau der Unternehmensleitung erfasst und dokumentiert wird, sondern auch die Anspruchsniveaus aller für das Unternehmen relevanter Stakeholder ermittelt, bewertet und in die Zielvorstellung des Unternehmens eingearbeitet werden.
Als Ergebnis steht ein erarbeitetes Zielniveau für ein unternehmensweites Managementsystem, welches die Anforderungen aller für das Unternehmen relevanten Stakeholder berücksichtigt. Ebenfalls Ergebnis dieses Zielworkshops sind, auf Grundlage des bestimmten Zielniveaus, Anforderungen an die Leistungsvereinbarungen (Service Level-Agreements (SLAs)) im Rahmen des Managementsystems, sodass sichergestellt werden kann, dass das gewünschte Zielniveau nicht vor der eigenen Haustür endet und auch Dienstleister ihren Teil zur Erreichung des Zielniveaus beitragen.
Unser Checkup ist eine standardisierte Analyse Ihrer Informationssicherheits-Organisation inkl. bereits realisierter Anforderungen der relevanten Normen, die anhand des vorstrukturierten Tools computergestützt erhoben und auch ausgewertet wird.
Für die Erhebung sollten fachkundige Mitarbeiter des Hauses bei Gruppengesprächen zur Verfügung stehen. Es handelt sich hierbei um die Beantwortung von Fragen, deren Ergebnisse die Grundlage des Status-Quo-Berichts und des hierauf aufbauenden Vorschlags zur Schwachstellenbeseitigung bildet („Maßnahmenkatalog“).
Nach erfolgter Analyse wird ein grobes Umsetzungskonzept erarbeitet und eine Informationssicherheits-Organisation aufgebaut. Im Rahmen der Schulungen ist es uns wichtig, die Inhalte verständlich zu vermitteln, um eine hohe Akzeptanz zu schaffen. Die Schulungen können persönlich und/oder im Rahmen von E-Learnings durchgeführt werden.
Unser Informationssicherheitshandbuch ist die ideale Basis, um ein Regelwerk aller aufbau- und ablauforganisatorischen Fragestellungen Ihres Unternehmens zu schaffen. Das auf langjähriger Erfahrung (Best Practice) und verschiedenen Sicherheitsnormen (insbesondere ISO/IEC 27002) basierende Regelwerk ist modular aufgebaut, wodurch es an jede Institution spezifisch anpassbar ist.
In Form einer Regelbetreuung (beispielsweise als Informationssicherheitsbeauftragter) können neben einer Projektverfolgung auch Adhoc-Anfragen bearbeitet werden.
Auch muss regelmäßig überprüft werden, ob die dargestellte Risikosituation und definierten Sicherheitsziele noch aktuell sind. Ferner muss kontrolliert werden, ob die geplanten Maßnahmen richtig umgesetzt und die mit ihnen angestrebten Ziele erreicht werden. Erkenntnisse hieraus fließen in das Verfahren zur Verbesserung der Informationssicherheit ein.
Mit der Implementierung des PDCA-Zyklus (Plan-Do-Check-Act) in Ihrem Unternehmen entsteht ein funktionsfähiges und angemessenes ISMS, welches eine kontinuierliche Umsetzung und Verbesserung der Informationssicherheit gewährleistet.
Leistungen
Fragestellungen
Zum Teil werden Prozesse und Maßnahmen zwar gelebt, jedoch nicht dokumentiert, wodurch sie nicht eindeutig und verbindlich sind. Auch können diese nicht kontrolliert werden, so dass weder Umsetzung noch Wirksamkeit der Maßnahmen bekannt ist, was wiederum das Verbesserungspotential vermindert. Auch führt eine fehlende Revision oftmals dazu, dass Effektivität und Effizient von Prozessen nachlassen.
Da es oftmals an klaren Regelungen und/oder ausreichenden Ressourcen mangelt, wird das Personal (ohne bösen Willen) selbst aktiv, indem beispielsweise für die interne Kommunikation eigene Geräte genutzt werden. So werden mangels Alternative im Zuge der Diagnose beispielsweise medizinische Unterlagen oder Patienten mit privaten Smartphones fotografiert oder per Messanger à la WhatsApp an Kollegen versendet, um einen schnellen fachlichen Austausch zu erreichen.
Die Digitalisierung im Gesundheitswesen ist aktuell ein großes Thema, indem viele Prozesse digitalisiert werden. Die Prozesse im Rahmen der Informationssicherheit bzw. im Informationssicherheits-Managementsystem werden bei der Digitalisierung aber oftmals vergessen, so dass die Strukturen zur Gewährleistung der Dienstleistungserbringung und der Erbringung der Sicherheit nicht Hand in Hand gehen.
Digitalisierungsbestrebungen, Alltag oder die besondere Sensibilität der Daten (Stichwort „Ärztliche Schweigepflicht“) erfordern spezielle Lösungen für den Stationsalltag. Zum Beispiel ist eine klassische PC-Zugangssicherung (Persönliche Nutzerdaten) im Stationsalltag nicht zielführend; doch wird im Rahmen der Digitalisierung der Systeme nur die Dienstleistungserbringung in den Fokus genommen, nicht aber die Informationssicherheit. Die Bedeutung zeigt, dass die Digitalisierungsförderung in Krankenhäusern aktuell nur dann genehmigt wird, wenn auch die Informationssicherheit in das Projekt integriert wird (mindestens 15%).
Risiken werden oftmals entweder gar nicht, unvollständig oder unzureichend erhoben, indem nicht der richtige Detaillierungsgrad gewählt wird. Wählt man den Grad zu hoch, sind die Risiken zu abstrakt; ist er zu hoch, verstrickt man sich schnell in Detailfragen. Doch ohne Risikobewertung liegt auch keine Grundlage für angemessene Entscheidungen vor. Risiken können bei den Sicherheitsmaßnahmen nicht berücksichtigt werden. Das Ergebnis können daher unzureichende und/oder ineffiziente Maßnahmen sein
Durch unterschiedliche Systeme, Netzwerke und eine hohe Anzahl und Integration von IT-Dienstleistern innerhalb der Infrastruktur bestehen oftmals unterschiedliche Anforderungen an die Informationssicherheit und die damit verbundenen Maßnahmen. Ohne einen Überblick hierüber können keine gezielten Maßnahmen ergriffen und nicht sichergestellt werden, dass alle Systeme etc. berücksichtigt wurden. Unterschiedliche Lebenszyklen der IT-Systeme machen dies nicht zwingend einfacher.
Ohne eine klare Identifikation von Assets, der klaren Zuordnung von Verantwortlichkeiten und übergreifenden Regelungen kann ein Vakuum entstehen, so dass Risiken nicht oder unzureichend betrachtet werden. Durch eine durchgehende Organisationsstruktur mit definierten Zuständigkeiten und Meldewegen, können Risiken gezielt reduziert werden.
Auch aufgrund der bisweilen unzureichenden Sicherheitsmaßnahmen (beispielsweise aufgrund fehlender Strategie, unbekannter Risikosituation oder mangelnder Schulung der Mitarbeiter) versuchen Kriminelle auch Gesundheitseinrichtungen anzugreifen, um diese beispielsweise zu erpressen. Dies führt nicht nur zu kaufmännischen Risiken (reduzierte Umsätze und Lösegeld-Zahlungen), sondern auch zu gesundheitlichen Gefahren, wenn medizinische Geräte etc. nicht mehr genutzt werden können.
Auf medizinische Notfälle sind Krankenhäuser erfahrungsgemäß gut vorbereitet. Trotz zunehmender Digitalisierung der Behandlung sowie wachsender Komplexität der Spezialsysteme werden eigentlich notwendige Notfallpläne zunehmend weniger erarbeitet. Gerade bei Cyberangriffen zeigt sich zunehmend, dass eine unzureichende Vorbereitung auf dies Notfälle gegeben ist: Sei es bei der akuten Behandlung des Notfalls oder bei der Fortführung des Betriebs (Business-Continuity-Management).
Auch aufgrund der bisweilen unzureichenden Sicherheitsmaßnahmen (beispielsweise aufgrund fehlender Strategie, unbekannter Risikosituation oder mangelnder Schulung der Mitarbeiter) versuchen Kriminelle auch Gesundheitseinrichtungen anzugreifen, um diese beispielsweise zu erpressen. Dies führt nicht nur zu kaufmännischen Risiken (reduzierte Umsätze und Lösegeld-Zahlungen), sondern auch zu gesundheitlichen Gefahren, wenn medizinische Geräte etc. nicht mehr genutzt werden können.
Auf medizinische Notfälle sind Krankenhäuser erfahrungsgemäß gut vorbereitet. Trotz zunehmender Digitalisierung der Behandlung sowie wachsender Komplexität der Spezialsysteme werden eigentlich notwendige Notfallpläne zunehmend weniger erarbeitet. Gerade bei Cyberangriffen zeigt sich zunehmend, dass eine unzureichende Vorbereitung auf dies Notfälle gegeben ist: Sei es bei der akuten Behandlung des Notfalls oder bei der Fortführung des Betriebs (Business-Continuity-Management).
Weder Vorgaben im Sinne von verbindlichen Prozessen und Richtlinien im Haus noch Informationen zum Status quo an die Leitung werden ausreichend kommuniziert. Ohne regelmäßige Informationen zur Risikosituation kann die Krankenhausleitung aber beispielsweise keine sinnvollen Entscheidungen im Hinblick auf die Informationssicherheit treffen, sei es im Hinblick auf Ressourcen, Strategie oder Verantwortlichkeiten.
Vorteile
Bei uns erhalten Sie Leistungen und Beratung rund um das Thema Compliance aus einer Hand: Datenschutz, Informationssicherheit, Hinweisgeberschutzgesetz und KI.
Krankenhäuser, MVZ, Betriebsärzte… Die UIMC kann auf umfassende Erfahrungen im Bereich des Gesundheitswesens zurückgreifen.
Ob ISO 27001, BSI Grundschutz, TISAX, B3S o.ä.: Unsere Beraterinnen und Berater weisen umfassendes Know How im Bereich der Informationssicherheits-Normen auf.
Seit 1997 haben wir eine Vielzahl an Projekten im Rahmen des Aufbaus von Informationssicherheits-Managementsystemen durchgeführt. Häufig bis zur Zertfizierungsreife.
News
Datenschutz in der Gesprächstranskription Protokolle, Beweisführung, Dokumentationspflichten: Transkription und Gesprächsaufzeichnung von Telefon- und Videokonferenzen verspricht mehr Effizienz, bessere Dokumentation und Qualitätssicherung. Gleichzeitig berührt sie zentrale
Wenn der Mensch zur größten Schwachstelle wird… und zur Lösung Ein erfolgreicher Cyberangriff ist für Unternehmen heute oft existenzbedrohender als ein klassischer Einbruch. Ein einziger
[Update] Fristen für die Umsetzung beachten Registrierungspflicht: Unternehmen, die dem NIS2UmsuCG unterliegen, müssen sich innerhalb von drei Monaten nach Inkrafttreten des Gesetzes (bis 06.03.2026) beim
