Für CIOs und IT-Leitungen im Krankenhaus ist „souveräne IT-Sicherheit“ kein abstraktes Ideal, sondern eine Managementaufgabe zwischen begrenzten Ressourcen, wachsender Regulierung und einem Bedrohungsniveau, das direkt in den OP-Saal hineinreicht. Sie bedeutet, unter Bedingungen permanenter Unsicherheit handlungsfähig zu bleiben: Cloud-Abhängigkeiten, vernetzte Medizintechnik, nationale Plattformen und KI-Dienste müssen so eingebunden werden, dass Verfügbarkeit, Datenintegrität und Entscheidungsautonomie klinischer Teams auch im Krisenfall gewahrt bleiben.

In dieser Lage ist das „Prinzip Hoffnung“ – der Glaube an Vernunft und Vorsicht der Nutzer – allein ein Risiko, das sich ein Krankenhaus als kritische Infrastruktur nicht leisten kann; gefordert ist ein „Prinzip Vorsicht“, das technische, organisatorische und vertragliche Schutzmechanismen systematisch verankert, ohne Innovation abzuwürgen.

DSA und DMA adressieren primär große Plattformbetreiber und Gatekeeper, treffen Krankenhäuser aber mittelbar über ihre Abhängigkeit von Cloud-, Plattform- und Kommunikationsdiensten. Für CIOs entsteht hier ein zusätzlicher Governance-Layer: Vertragswerke, Beschaffungsrichtlinien und Plattformstrategien müssen mit den Vorgaben kompatibel sein, ohne dass Kliniken selbst zu Mini-Plattformregulierern mutieren. Entlastung schafft eine Regulierung, die Pflichten für Krankenhäuser klar abgrenzt, Schnittstellen zu sektorspezifischen Normen wie NIS2, EHDS, MDR und EU-AI-Act konsolidiert und Doppelprüfungen vermeidet. Sinnvoll ist ein risikobasierter Ansatz: Je kritischer die Rolle eines Dienstes (z.B. EHR, Medizingeräte-Backends, KI-Entscheidungsunterstützung), desto höher die Anforderungen an Nachweisführung, Auditierbarkeit und Exit-Szenarien.

IT-Souveränität aus Sicht von CIO und IT-Leitung

Eine Roadmap aus CIO-Sicht beginnt mit Standardisierung und Priorisierung: Harmonisierte Mindestanforderungen für Informationssicherheit und Interoperabilität (z.?B. im Rahmen des EHDS für EHR-Systeme) erleichtern Beschaffung und Rezertifizierung, weil sie klare Prüfkataloge und Zertifikate nutzbar machen. Darauf baut ein integriertes Governance-Modell auf, in dem Informationssicherheit, Datenschutz, Risikomanagement und Qualitätssicherung zusammengeführt werden und in den NIS2-Anforderungen (z.?B. Meldewege, Business Continuity) mit klinischen Sicherheitszielen verbunden sind. Operativ braucht es technische Befähigung zur schnellen Isolierung kompromittierter Dienste: Zero-Trust-Architekturen, fein granulare Netzwerksegmente und vertraglich vereinbarte „Kill-Switches“ für Cloud- und KI-Dienste, die sub-stündige Reaktionszeiten auf Vendor-Incidents ermöglichen.

Fehlerkultur wird in diesem Kontext zum Hebel der Resilienz: Viele Krankenhäuser beginnen, Sicherheitsvorfälle und Beinahe-Fehler ähnlich wie klinische Komplikationen zu analysieren – als Lernanlässe, nicht als Anlässe zur Schuldzuweisung. Gerade unter NIS2, dass Meldepflichten und strukturiertes Incident Handling fordert, wird deutlich, dass nachhaltige Resilienz weniger aus „Zero Incidents“ entsteht, sondern aus der Fähigkeit, Incidents transparent, schnell und systematisch zu verarbeiten. Für CIOs heißt dies, Security- und Incident-Management in die klinische Sicherheitskultur einzubetten: interdisziplinäre Post-Mortems, wiederkehrende Übungen (inklusive Cloud- und KI-Ausfallszenarien) und KPIs, die Lernfortschritte statt nur Vermeidungszahlen messen.

Die Behauptung, der Mensch sei einfach zu nachlässig und damit „selbst schuld“ an der Misere, greift aus Managementsicht zu kurz. Studien zu Krankenhäusern in Europa zeigen, dass strukturelle Faktoren wie Personalmangel, hohe Abhängigkeit von externen Anbietern und komplexe Plattformketten die Verwundbarkeit deutlich erhöhen und Reaktionszeiten im Vendor-Fall oft weit über kritischen Zielwerten liegen. Für die IT-Leitung bedeutet das: Der Mensch ist nicht primär das Problem, sondern der Indikator für unzureichend gestaltete Systeme und Prozesse; wirksame Gegenstrategien liegen in klaren Rollen, einfachen Sicherheitsroutinen, realistischer Schulung und technischen Schutzgeländern, die Fehlbedienungen abfangen, ohne den klinischen Alltag zu blockieren.

Autor: Wolf-Dietrich Lorenz

Symbolbild: Екатерина Чумаченко / AdobeStock