Krankenhaus-IT Journal Online - Top-Themen IT-Sicherheit & Kritis > Finanzielle Dimensionen und Investitionsbedarf bei IT-Sicherheit in KRITIS-Krankenhäusern

Finanzielle Dimensionen und Investitionsbedarf bei IT-Sicherheit in KRITIS-Krankenhäusern

Category : IT-Sicherheit & Kritis

Published by Kai Wehrs on 28.11.2025 10:20

Die Kosten für IT-Sicherheitsmaßnahmen in KRITIS-Krankenhäusern in Deutschland sind erheblich und setzen sich aus initialen Investitionen und laufenden Betriebskosten zusammen. Die Kostentreiber bei der Umsetzung des Branchenspezifischen Sicherheits-standards (B3S) in Krankenhäusern liegen vor allem in drei großen Blöcken:

Personalaufwand, externe Beratung und technische Investitionen.

Gemäß einer Analyse, basierend auf 154 KRITIS-relevanten Krankenhäusern (mit mindestens 29.000 vollstationären Fällen pro Jahr), belaufen sich die initialen Mehrkosten infolge der Umsetzung der branchenspezifischen Sicherheitsmaßnahmen nach B3S (Branchenspezifischer Sicherheitsstandard) auf etwa 1,5 bis 2 Millionen Euro pro Haus im ersten Jahr. Diese Kosten umfassen Investitionen in IT-Komponenten, Facility Management, Sicherheits- und Verwaltungsprozesse sowie medizinische Technik. Die wiederkehrenden jährlichen Kosten für den Betrieb der IT-Sicherheitsmaßnahmen liegen bei ca. 500.000 bis 600.000 Euro, wobei insbesondere der erhöhte Personalbedarf einen großen Teil der Folgekosten ausmacht. (1)

Die Kostenstruktur gliedert sich in verschiedene Maßnahmenblöcke wie Netzsegmentierung, Firewalls, Intrusion Detection und Prevention, Authentisierung, Verschlüsselung sowie Datensicherung und Archivierung. Die Investitionskosten variieren hier je nach Maßnahme und Krankenhausgröße, z.B. liegen die Investitionskosten für Netzsegmentierung im Mittel bei rund 946.000 Euro für ein großes Krankenhaus und die Betriebskosten für Datensicherung bei etwa 31.200 Euro jährlich pro Einrichtung.

Das Krankenhauszukunftsgesetz (KHZG) unterstützt Krankenhäuser finanziell dabei, solche IT-Sicherheitsmaßnahmen umzusetzen. Insgesamt stehen Fördermittel in Höhe von bis zu 4,3 Milliarden Euro bereit, wobei 70% der förderfähigen Kosten vom Bundesamt für Soziale Sicherung übernommen werden und die verbleibenden 30% von Ländern und Trägern getragen werden müssen. Die Kreditanstalt für Wiederaufbau (KfW) bietet darüber hinaus zinsgünstige Kredite zur Finanzierung dieser Investitionen an.

Zusätzlich zur Förderung ist zu beachten, dass Krankenhäuser nach §75c SGB V und IT-Sicherheitsgesetz verpflichtet sind, ihr IT-Sicherheitsniveau kontinuierlich zu verbessern, was regelmäßig Ressourcen bindet und damit auch langfristige Kosten verursacht. Durchschnittlich werden daher laufende Mehrkosten von ca. 400.000 Euro pro Jahr pro Krankenhaus erwartet, vor allem bedingt durch erweiterten IT-Personaleinsatz und Betriebssicherheitsmaßnahmen.

Insgesamt zeigen diese Zahlen, dass die Sicherung von KRITIS-Krankenhäusern nach BSI-Standards und B3S-Anforderungen eine langfristige und kostspielige Investition ist, die jedoch grundlegend ist, um den Schutz, die Versorgungssicherheit und Betriebskontinuität von Krankenhäusern zu gewährleisten. Förderungen wie das KHZG helfen, diese finanzielle Belastung abzufedern und Digitalisierung sowie Sicherheit nachhaltig zu stärken.

Kostentreiber und Einsparpotenziale bei Umsetzung des B3S

Die Kostentreiber bei der Umsetzung des Branchenspezifischen Sicherheitsstandards (B3S) in Krankenhäusern liegen vor allem in drei großen Blöcken: Personalaufwand, externe Beratung und technische Investitionen.

Erstens erfordert die Umsetzung einen hohen Personalaufwand. Pro Klinikbereich (z.B. eine Fachabteilung) ist mindestens eine Person nötig, die sich phasenweise Vollzeit um die B3S-Umsetzung kümmert. Die Projektdauer beträgt oft 9 bis 24 Monate, mit einem Aufwand von etwa 90 bis 240 Personentagen bei größeren Häusern. Das bedeutet erhebliche Arbeitszeitressourcen und Koordinationsaufwand innerhalb des Krankenhauses.

Zweitens spielt die externe Beratung eine bedeutende Rolle. Krankenhäuser beauftragen oft externe Experten, die etwa 20 bis 80 Personentage vor Ort verbringen, um bei der Umsetzung zu unterstützen. Die Beratungskosten starten ab ca. 10.000 Euro für kleinere Standorte und steigen mit der Anzahl der Mitarbeiter und Standorte deutlich an.

Drittens erfordern die technischen Maßnahmen Investitionen in IT-Infrastruktur, Sicherheitssoftware und Netzwerke. Zu den größten Kostenblöcken gehören Netzsegmentierung, Firewalls, Authentisierungslösungen und regelmäßige Sicherheitsüberprüfungen, die sowohl initial als auch im laufenden Betrieb Kosten verursachen.

Einsparpotenziale ergeben sich insbesondere durch die Nutzung modularer Sicherheitslösungen, Automatisierung von Compliance-Prozessen und den gezielten Einsatz digitaler Tools zur Reduktion von Beratungsaufwand. Beispielsweise kann die Unterstützung durch KI-gestützte Audit-Tools den Beratungs- und Personalkostenblock um über 50% verringern. Flexibles Coaching und selbstständige Umsetzung von Compliance-Schritten durch interne Teams reduzieren zudem die Abhängigkeit von externen Beratern.

Darüber hinaus hilft eine sorgfältige Planung und Priorisierung der Sicherheitsmaßnahmen bei der Vermeidung unnötiger Kosten. Synergien zwischen verschiedenen Abteilungen und die Nutzung von Fördermitteln, etwa durch das Krankenhauszukunftsgesetz, tragen ebenfalls zur Kostensenkung bei. Somit ist eine Kombination aus effizienter Projektsteuerung, moderner Technologie und gezielter Nutzung externer Ressourcen der Schlüssel zur Kostenoptimierung bei der B3S-Umsetzung.

Diese Erkenntnisse helfen Krankenhäusern, die finanziellen Ressourcen für IT-Sicherheitsmaßnahmen gezielt zu steuern und Einsparpotenziale besser zu nutzen.

(1)Kostenerhebung im Auftrag und in Zusammenarbeit mit der Deutschen Krankenhausgesellschaft e. V. Stand: November 2023, Goldmedia GmbH Strategy Consulting

Autor: Wolf-Dietrich Lorenz

Symbolbild: NINENII /AdobeStock