Kliniken stehen unter dem Druck, ihre digitale Infrastruktur gegen steigende Cyberbe-drohungen, technische Ausfälle und regulatorische Anforderungen zu schützen. Eine systematische Roadmap für Risikomanagement, Cyberresilienz und Business Continuity bildet daher die Grundlage für ein widerstandsfähiges Gesundheitswesen. Cyberresilienz erfordert neben Technologie durch Netzsegmentierung, Zero-Trust-Architekturen und Moni-toring organisationales Bewusstsein.

In der Praxis sollte die Verantwortungsverteilung in der Klinik zwischen Klinikleitung, CIO und CISO keine Überschneidungen oder Lücken in der Zuständigkeit bilden.

Zunächst gilt es, Risiken strukturiert zu identifizieren, zu bewerten und zu priorisieren. Methodisch kommen hier etablierte Verfahren wie SWOT-Analysen, FMEAs (Failure Mode and Effects Analysis) oder ISO-31000-basierte Risikoanalysen zum Einsatz. Ergänzend sind regelmäßige Penetrationstests, Schwachstellen-Scans und Notfallübungen wesentlicher Bestandteil eines gelebten Sicherheitsmanagements.

Transparenz entsteht durch ein zentrales Risikoregister, das technische, organisatorische und klinische Risiken abbildet und Verantwortlichkeiten klar zuordnet. Jede Klinik sollte eine Risikomanagerin oder einen Risikomanager benennen, die oder der das Risikomanagement als kontinuierlichen Prozess steuert und regelmäßig an die Geschäftsführung berichtet. Schnittstellen zur IT-Sicherheitsbeauftragten, zur Datenschutzkoordination und zu klinischen Fachbereichen gewährleisten, dass Risiken multidimensional bewertet werden – sowohl hinsichtlich Patientenversorgung als auch Betriebsstabilität.

Cyberresilienz erfordert neben Technik, etwa durch Netzsegmentierung, Zero-Trust-Architekturen und Monitoring, vor allem organisationales Bewusstsein. Schulungen zur „Cyberhygiene“, klare Meldewege bei Sicherheitsvorfällen und simulierte Angriffsübungen fördern Sicherheitskultur und Reaktionsfähigkeit. Die Business-Continuity-Strategie ergänzt dieses System durch definierte Wiederanlaufpläne, Priorisierung kritischer Prozesse und Minimierung von Ausfallzeiten.

Langfristig sollten Kliniken ein integriertes Governance-Modell entwickeln, das Risiko-, Informationssicherheits- und Notfallmanagement aufeinander abstimmt. Nur durch klare Verantwortlichkeiten, kontinuierliche Kommunikation und resilient ausgelegte Infrastrukturen kann eine Klinik ihrer Verantwortung für Sicherheit, Versorgungskontinuität und Vertrauen gerecht werden.

Verantwortlichkeiten und Kernprozesse

• Verantwortlichkeiten und sollten entlang der Governance-Struktur und der Kernprozesse von Risiko-, Informationssicherheits- und Business-Continuity-Management verankert werden.
• Geschäftsführung/Vorstand: Festlegung der Risiko- und Sicherheitsstrategie, Genehmigung von Budgets, regelmäßige Befassung mit Cyberrisiken und Business Continuity auf Leitungsebene.
• Klinikleitung/Standortleitung: Umsetzung der Strategie in operative Vorgaben, Priorisierung kritischer Prozesse, Sicherstellung der Einbindung aller Fachbereiche in Risiko- und Notfallplanung.
• CISO/IT-Leitung: Aufbau und Betrieb der technischen Sicherheitsarchitektur, kontinuierliches Monitoring, Incident-Response-Planung, Reporting zu Cyberrisiken und Resilienz an Management und Gremien.
• Risikomanagement/Compliance: Pflege des Risikoregisters, Moderation von Risikoanalysen, Konsolidierung von KRITIS-, Datenschutz- und klinischen Risiken, Koordination interner Audits.
• Klinische Fachbereiche: Meldung von Beinahe-Ereignissen und IT Störungen, Bewertung von Auswirkungen auf die Patientenversorgung, Mitwirkung bei Notfallübungen und Prozessanpassungen.
• Externe Partner/Dienstleister: Einhaltung vertraglich definierter Sicherheitsanforderungen, Unterstützung bei Patching, Monitoring und Wiederanlauf kritischer Services.

Praktische Verteilung in der Klinik

In der Praxis sollte die Verantwortungsverteilung in der Klinik so gestaltet sein, dass Klinikleitung, CIO und CISO ein klares, abgestimmtes Dreieck bilden, ohne Überschneidungen oder Lücken in der Zuständigkeit zu erzeugen. Die Klinikleitung trägt die übergeordnete Verantwortung für Versorgungsqualität, Wirtschaftlichkeit und Compliance und definiert den Risikoappetit in Bezug auf Ausfalltoleranzen, Datenschutz und Sicherheitsniveau. Sie setzt die Leitplanken für Digitalstrategie, Cyberresilienz und Business Continuity, entscheidet über Prioritäten und Budgets und verlangt von CIO und CISO konsolidierte, verständliche Lage- und Risikoberichte als Entscheidungsgrundlage.

Der CIO verantwortet den stabilen und effizienten Betrieb der gesamten digitalen Infrastruktur und Anwendungen und ist damit „Owner“ der IT-Services, ihrer Verfügbarkeit und Wirtschaftlichkeit. Er übersetzt die strategischen Ziele der Klinikleitung in eine umsetzbare Digital- und Modernisierungsroadmap, priorisiert Projekte, Ressourcen und Investitionen und stellt sicher, dass alle Vorhaben nach den vom CISO definierten Sicherheits- und Resilienzanforderungen geplant und umgesetzt werden. In Störungs- oder Krisensituationen organisiert der CIO den technischen Wiederanlauf, koordiniert interne und externe IT-Ressourcen und berichtet eng abgestimmt mit dem CISO an die Klinikleitung.

Der CISO wiederum ist fachlich für Informationssicherheit und Cyberrisikomanagement zuständig und agiert als unabhängige Kontroll- und Beratungsinstanz. Er entwickelt Sicherheitsstrategie, Policies und Mindeststandards, bewertet Risiken aus Projekten und Betrieb, steuert das Security Monitoring und führt im Incident die sicherheitsrelevante Lageeinschätzung. Praktisch bedeutet das: Der CISO definiert „was“ sicherheitsseitig erforderlich ist, der CIO verantwortet „wie“ diese Anforderungen technisch und organisatorisch umgesetzt werden, und die Klinikleitung entscheidet, welches Risikoniveau akzeptiert wird und welche Maßnahmen wann realisiert werden.

Autor: Wolf-Dietrich Lorenz

Symbolbild: KI-generierte Illustration, erstellt mit OpenAI (ChatGPT)