Cybersicherheit als Führungsaufgabe: Was Entscheider jetzt wissen müssen

veröffentlicht am 31. Juli 2025

Die jüngste Prüfungssaison im KRITIS-Umfeld hat wieder wichtige Einblicke in die Sicherheitslage kritischer Infrastrukturen geliefert – von technischen Schwachstellen über organisatorische Defizite bis hin zu Best Practices, die sich durchgesetzt haben. In unserem Rückblick analysieren wir zentrale Erkenntnisse aus den Prüfungen, identifizieren wiederkehrende Herausforderungen und geben einen fundierten Ausblick darauf, was Betreiber jetzt tun müssen, um zukünftigen Anforderungen und regulatorischen Entwicklungen gerecht zu werden.

Erkenntnisse aus der aktuellen Prüfungssaison

Die Prüfungen im Gesundheitssektor zeigen ein positives Bild: Zwar ist vielerorts ein Informationssicherheitsmanagementsystem (ISMS) etabliert, doch in der konkreten Umsetzung bestehen noch deutliche Unterschiede – insbesondere bei der Messbarkeit und Nachweisbarkeit der Wirksamkeit. Das Sicherheitsbewusstsein auf Leitungsebene ist gestiegen, die Rollen der Informationssicherheitsbeauftragten sind klarer definiert, und viele Organisationen nehmen den § 8a-Nachweis nicht mehr als reine Pflichtübung, sondern als Chance zur Weiterentwicklung.

Neue Anforderungen in der Nachweisführung: Reifegrade und GAIN

Die größte Veränderung im Prüfprozess betrifft die Art, wie Sicherheitsmaßnahmen bewertet und nachgewiesen werden müssen. Der neue Standard setzt auf ein Reifegradmodell, das Umsetzungsstände abgestuft auf einer Skala von 1 (geplant) bis 5 (kontinuierlich verbessert) einordnet und dabei konkrete Anforderungen bzw. Erwartungen vorgibt.

Was bedeutete das für Betreiber?

Nicht mehr nur das Vorhandensein einer Maßnahme zählte, sondern deren Wirksamkeit und Reife.
Bereiche wie das ISMS, das Notfallmanagement (BCMS) oder auch die Angriffserkennung wurden detaillierter als in den Vorjahren bewertet.
Betreiber müssen nun aktiv nachweisen, wie Maßnahmen gelebt, überprüft und verbessert werden.

Der Ansatz bringt auch Vorteile: Organisationen erhalten ein klares Bild über ihre Schwächen und Entwicklungsfelder – ein wertvolles Steuerungsinstrument für Geschäftsführung und IT-Leitung.

Systeme zur Angriffserkennung: Pflicht und Chance zugleich

Ein zentrales Thema bleibt die Pflicht zur Einführung von Systemen zur Angriffserkennung (SzA). Diese gilt bereits verbindlich für alle KRITIS-Betreiber – und wird künftig auch im erweiterten NIS2-Rahmen für weitere Gesundheitseinrichtungen relevant.

Was ist gefordert?

Technische Lösungen wie IDS/IPS, SIEM-Tools oder verhaltensbasierte Erkennungssysteme
Ein strukturiertes Monitoring aller sicherheitsrelevanten Ereignisse
Prozesse zur Analyse, Bewertung und Reaktion auf verdächtige Aktivitäten
Klare Zuständigkeiten und Eskalationswege – idealerweise 24/7

Warum ist das wichtig?

Die aktuelle Bedrohungslage hat sich weiter verschärft: Ransomware-Angriffe, staatlich gesteuerte Cyberoperationen und gezielte Angriffe auf medizinische IT-Systeme nehmen zu. Kliniken gelten als besonders verwundbar – nicht nur wegen ihrer Bedeutung für die Versorgung, sondern auch aufgrund des hohen Digitalisierungsgrads und der Sensibilität der Daten. Die Einführung von Angriffserkennungssystemen ist deshalb nicht nur gesetzliche Pflicht, sondern ein essenzieller Schutzmechanismus für Patientensicherheit und Betriebsfähigkeit.

Der Aufwand, der mit der Einführung eines funktionierenden Angriffserkennungssystems verbunden ist, darf jedoch nicht unterschätzt werden. Die Technik allein reicht nicht – entscheidend sind die dahinterliegenden Prozesse, personellen Ressourcen und Reaktionsfähigkeit.

Seit dem Nachweisverfahren 2023 gab es hier allerdings sehr positive Entwicklungen, auch bei kleineren Einrichtungen. Es sind zum Teil sehr gute UseCases für die Angriffserkennung etabliert und strukturierte Prozesse, um die erkannten Auffälligkeiten zu bewerten und darauf zu reagieren.

Handlungsempfehlungen für Entscheider in der Gesundheitswirtschaft

1. Reifegrad bewerten und Entwicklung planen:

Nutzen Sie die neuen Reifegradmodelle zur Standortbestimmung. Setzen Sie sich ambitionierte, aber realistische Ziele – insbesondere in den Bereichen Notfallmanagement, Angriffserkennung und Lieferantenmanagement.

Hierzu zählen auch KPIs (Key Performance Indicators), die dazu dienen, den Erfolg, die Wirksamkeit und die Effizienz von Maßnahmen im Bereich der Informationssicherheit objektiv zu bewerten. Dies ist in vielen der Reife- und Umsetzungsgrade eine Voraussetzung für Stufe 4.

Beispiele für KPIs sind:

KPI	Beschreibung
Anzahl der Sicherheitsvorfälle	Wie viele Vorfälle (z. B. Malware, Phishing, Datenlecks) wurden in einem Zeitraum erkannt?
Zeit bis zur Erkennung (MTTD) (Mean Time to Detect)	Wie lange dauert es im Durchschnitt, bis ein Vorfall erkannt wird?
Zeit bis zur Behebung (MTTR) (Mean Time to Respond/Recover)	Wie schnell werden Sicherheitsvorfälle behoben?
Patch-Compliance-Rate	Prozentsatz der Systeme, die rechtzeitig gepatcht wurden.
Benutzer-Sensibilisierung	Anteil der Mitarbeitenden, die an Security-Awareness-Trainings teilgenommen haben.
Ergebnisse von Penetrationstests/Audits	Anzahl und Schweregrad der gefundenen Schwachstellen.
Anzahl nicht autorisierter Zugriffsversuche	Gibt Hinweise auf mögliche Angriffe oder Insider-Bedrohungen.
Antiviren-/EDR-Erkennungsrate	Wie effektiv sind vorhandene Sicherheitslösungen bei der Erkennung?

2. Nachweisprozesse vorbereiten:

Planen Sie frühzeitig eine Gap-Analyse zwischen den Vorgaben zur Umsetzung („Stand der Technik“) und dem eigenen Umsetzungsstand. Dies hilft insbesondere, wenn das Thema KRITIS neu für die Einrichtung ist oder auch mit Blick auf NIS2 für kleinere Häuser, die nicht unter KRITIS fallen. Zwar wird es hier noch ein paar Jahre dauern, bis letztere Nachweise über die Umsetzung erbringen müssen – aber die Zeit vergeht wie immer viel zu schnell. Und auch im Fall von Sicherheitsvorfällen ist es wichtig nachweisen zu können, dass man das Thema nicht schuldhaft vor sich hergeschoben hat.

3. Angriffserkennung konsequent angehen:

Bewerten Sie Ihre aktuelle Infrastruktur und setzen Sie ein umsetzbares Angriffserkennungskonzept auf – inklusive Sensorik, Analyse, Alarmierung und Reaktion. Prüfen Sie Möglichkeiten zur Auslagerung an ein externes SOC oder zu kooperativen Lösungen mit anderen Einrichtungen.

4. Notfallübungen durchführen:

Testen Sie regelmäßig den Ernstfall – nicht nur IT-Ausfälle, sondern auch komplexe Krisenszenarien. Nutzen Sie Übungen zur Sensibilisierung und kontinuierlichen Verbesserung Ihrer Krisenreaktion.

5. Cybersicherheit zur Chefsache machen:

Sicherheit ist Führungsverantwortung. Geschäftsführungen müssen Ressourcen bereitstellen, Prioritäten setzen und eine Sicherheitskultur vorleben. Ohne Rückhalt von oben bleibt Informationssicherheit Stückwerk. Dies ist auch mit Blick auf NIS2 von großer Bedeutung, denn die Geschäftsführung ist persönlich verantwortlich für die Umsetzung von Maßnahmen zur Erhöhung der Cybersicherheit. Sie kann zivil- oder strafrechtlich zur Verantwortung gezogen werden, wenn Vorgaben nicht erfüllt werden.

Fazit

Die KRITIS-Prüfungen zeigen: Der Gesundheitssektor steht bei der Informationssicherheit am Scheideweg. Zwischen gesetzlichen Vorgaben, wachsender Bedrohung und internen Ressourcenengpässen droht eine Sicherheitslücke – oder eine Chance. Wer die aktuellen Anforderungen nutzt, um strukturiert in Reife und Resilienz zu investieren, schafft mehr als nur Compliance: Er schützt Patient*innen, sichert den Betrieb und stärkt das Vertrauen in das eigene Haus.

AUTOREN

Jürgen Schwestka	Tino Schwabe

FOLGEN SIE UNS!

AUS DEM NEWSLETTER

Newsletter Gesundheits- und Sozialwirtschaft Nr. 07/2025

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

WIR BERATEN SIE GERN!

Gesundheits- und Sozialwirtschaft