Schwerpunktthema:
Digitale Resilienz und kritische Infrastruktur
Das Fachmagazin für die Gesundheitswirtschaft
Ausgabe 50 | 18. Jahrgang
02 / 25
Versorgung: sicherstellen
Innovationen: fördern
Partnerschaften: stärken
Menschen: schützen
Mit dem KPMG-Gesundheitsbarometer, unserem großen Fachmagazin, fördern wir seit achtzehn Jahre regelmäßig den fachlichen Austausch in der spannenden und komplexen Gesundheitswirtschaft. Dabei konnten wir bereits zahlreiche impulsgebende Perspektiven hochkarätiger Persönlichkeiten aus Wirtschaft, Politik und Forschung kennenlernen. Wir erreichen rund 9.000 Führungskräfte und Interessierte aus den Bereichen Krankenhaus, Sozialversicherungsträger, Pflegeeinrichtungen, Rehabilitation und (Gesundheits-)Politik sowie Medizintechnik, pharmazeutische Industrie und Biotechnologie. Nachdem sich die vorherige Ausgabe des Gesundheitsbarometers mit
Mit der zunehmenden Digitalisierung des Gesundheitswesens rücken Fragen der IT-Sicherheit und strukturellen Belastbarkeit digitaler Systeme in den Fokus strategischer Gesundheitssteuerung. Die aktuelle Ausgabe des Gesundheitsbarometers widmet sich der zentralen Schnittstelle zwischen technologischer Innovation und operativer Krisenfestigkeit. Die Beiträge dieser Ausgabe bieten analytische Perspektiven und praxisorientierte Lösungsansätze für Entscheidungsträger:innen in Krankenhäusern, Gesundheitsbehörden und IT-Abteilungen. Ziel ist es, digitale Transformation nicht nur als Treiber von Effizienz zu verstehen, sondern als strukturellen Auftrag zur Sicherung der Versorgungsstabilität – auch unter Krisenbedingungen.
Die Bedeutung eines strukturierten Business Continuity Managements für die Sicherstellung krisenfester Versorgungsstrukturen erläutert Prof. Dr. med. Jürgen Graf. Im Vordergrund steht dabei die Frage, wie Krankenhäuser durch gezielte Vorsorgemaßnahmen auf unterschiedliche Ausfallszenarien reagieren können, um kritische Prozesse der Patientenversorgung auch unter instabilen Rahmenbedingungen aufrechtzuerhalten. Welche Rolle eine strategisch verankerte Cybersicherheit in diesem Kontext spielt, führt Minh Nhat Le aus. Er macht deutlich, dass IT-Sicherheit nicht als nachgelagerte Schutzmaßnahme verstanden werden darf, sondern als integraler Bestandteil institutioneller Digitalstrategien zu denken ist. Eine unternehmensstrategische Perspektive ergänzt Norman Dittes, der anhand der AsklepiosGruppe aufzeigt, wie konzernweite Synergien gezielt genutzt werden können, um resiliente Versorgungsstrukturen zu etablieren, in denen Cybersicherheit als organisationsübergreifendes Querschnittsthema
dem Thema Versorgungsmodelle im Gesundheitswesen beschäftigte, richtet die vorliegende Fassung den Fokus auf digitale Resilienz und kritische Infrastruktur im Gesundheitswesen. Sie möchten regelmäßig über aktuelle Themen der Gesundheitsbranche informiert werden? Abonnieren Sie unser Gesundheitsbarometer kostenfrei als Print- oder Onlineexemplar.
www.kpmg.de/gesundheitsbarometer
verankert ist. Dr. Matthias Keilen berichtet in einem Erfahrungsbericht über den Ernstfall und wie ein Cyberangriff die digitale Resilienz auf den Prüfstand setzt.
Dass digitale Resilienz nicht nur eine strategische, sondern vor allem auch eine forschungspraktische Dimension besitzt, verdeutlicht Prof. Dr. Oliver Kohlbacher. Am Beispiel der biomedizinischen Forschung zeigt er, wie essenziell standardisierte Prozesse und verlässliche IT-Infrastrukturen sind, um den Schutz sensibler Gesundheitsdaten zu gewährleisten und gleichzeitig datengetriebene Innovationsprozesse zu ermöglichen. Diese doppelte Zielsetzung – Datensicherheit und Forschungsdynamik – steht auch im Zentrum der Überlegungen von Prof. Dr. Dr. Melanie Börries, die sich mit digitaler Resilienz, kritischen Infrastrukturen und den Anforderungen an eine patientenzentrierte, vernetzte Krebsforschung befasst.
Wie sich Anforderungen an IT-Sicherheit im klinischen Alltag konkret umsetzen lassen, zeigen die Perspektiven von Anne-Marie Schneider und Christian Dreher. Schneider hebt hervor, dass moderne IT-Architekturen nur dann als Treiber digitaler Innovation fungieren können, wenn Sicherheitslogiken von Beginn an integrativ mitgedacht werden – insbesondere in hochkomplexen universitätsmedizinischen Versorgungsstrukturen. Dreher ergänzt diese Sicht um spezifische Anforderungen im militärisch-zivilen Klinikbetrieb und unterstreicht die Bedeutung kontinuierlicher Awareness-Maßnahmen als Bestandteil eines wirksamen Resilienzmanagements.
Die politischen und strukturellen Voraussetzungen für den Aufbau digitaler Resilienz im Gesundheitswesen stehen im Mittelpunkt der gemeinsamen Analyse von Melanie Wendling und Bernhard Calmer. Beide betonen die Notwendigkeit gezielter Investitionen in IT-Sicherheit, klar definierter regulatorischer Rahmenbedingungen sowie sektorübergreifender Zusammenarbeit, um Cybersicherheit langfristig als systemische Aufgabe zu verankern.
Liebe Leserinnen und Leser, mit dieser Ausgabe feiern wir ein besonderes Jubiläum – es ist die 50. Veröffentlichung unseres Gesundheitsbarometers. Ein Meilenstein, der Anlass gibt, innezuhalten und zugleich den Blick nach vorn zu richten: auf die Themen, die das Gesundheitswesen heute und in Zukunft bewegen. Die Digitalisierung treibt den Wandel des Gesundheitswesens voran –insbesondere Krankenhäuser sehen sich dadurch mit erheblichen strukturellen und organisatorischen Herausforderungen konfrontiert. Mit ihr gehen Chancen zur Verbesserung von Versorgungsqualität und Effizienz einher, zugleich entstehen neue Anforderungen an Sicherheit, Resilienz und strategische Steuerung. Im Zentrum steht dabei die Notwendigkeit, digitale Innovationen mit höchster Verlässlichkeit, Sicherheit und Widerstandsfähigkeit zu verbinden. Denn gerade in einer Branche, in der Versorgungssicherheit nicht verhandelbar ist, muss digitale Transformation mehr leisten als technische Modernisierung: Sie muss robust sein.
Zunehmende Cyberangriffe auf unser Gesundheitssystem zeigen deutlich, wie verletzlich unsere vernetzten Strukturen heute sind. Gleichzeitig steigen regulatorische Anforderungen, insbesondere im Bereich Cybersicherheit und kritische Infrastrukturen. Es braucht ganzheitliche Strategien, um Risiken frühzeitig zu erkennen, Schäden zu vermeiden und im Ernstfall jederzeit handlungsfähig zu bleiben. Hierbei geht es nicht allein um Notfallpläne, sondern um die Fähigkeit, Versorgungsprozesse auch unter widrigen Bedingungen zuverlässig sicherzustellen. Patienten und Versicherte müssen auch im Ernstfall weiterhin versorgt und unterstützt werden, um die Versorgungssicherheit zu gewährleisten.
Ergänzend bietet KPMG in dieser Ausgabe eine strukturierte Einordnung zur Umsetzung der NIS-2-Richtlinie, die als europäische Vorgabe für Cybersicherheit eine Ausweitung von Meldepflichten und Sicherheitsanforderungen auf kritische Infrastrukturen – darunter auch Krankenhäuser – vorsieht. Beleuchtet werden zentrale Herausforderungen sowie deren strategische Implikationen für IT-Management, Governance und Compliance.
Parallel dazu wandelt sich die strategische Ausrichtung der IT-Landschaften: Digitale Resilienz gewinnt an Bedeutung – verstanden als die Fähigkeit, Störungen abzufedern und Systeme schnell wiederherzustellen. Sie entsteht nicht nur durch technische Maßnahmen, sondern durch abgestimmte Prozesse und klare Verantwortlichkeiten. Die Zukunftsfähigkeit von Beteiligten im Gesundheitswesen zum Beispiel von Krankenhäusern hängt maßgeblich von einer IT-Strategie ab, die Sicherheit, Verfügbarkeit und Wirtschaftlichkeit in gleicher Weise vereint.
Diese Ausgabe widmet sich der engen Verzahnung von digitaler Transformation und Resilienz im Gesundheitswesen. Sie vereint Einblicke aus Praxis, Regulierung und strategischer Steuerung – getragen von der Überzeugung, dass nachhaltige Leistungsfähigkeit dort entsteht, wo technologischer Fortschritt auf stabile Strukturen trifft und Sicherheit sowie Wirtschaftlichkeit, als sich ergänzende Prinzipien verstanden werden.
Ich bin überzeugt, dass die folgenden Beiträge bereichernd Perspektiven für die Weiterentwicklung des Gesundheitswesens eröffnen. In diesem Sinne wünsche ich Ihnen wertvolle Impulse für die Zukunft.
33
Interview
SCHWERPUNKT 09
Interview
Business Continuity Management: Nachhaltige Sicherheit im Krankenhaus
Cyber Security im Klinikbetrieb der Bundeswehr – zwischen militärischer Struktur und medizinischer Versorgung
67
Fachbeitrag
15
Interview
Cyberresilienz als strategische Zukunftsaufgabe
39
Erfahrungsbericht
Wenn der Ernstfall eintritt: Cyberangriffe als Prüfstein für digitale Resilienz
21
Interview
Digitale Transformation in der Universitätsmedizin: Wie die Charité historische Strukturen erneuert und Sicherheit als Basis für Innovation etabliert
49
Interview
Digitale Resilienz im Gesundheitswesen: Wie Verbandsarbeit und Kooperation die Cybersicherheit stärken
71
Fachbeitrag
C5-Testat jetzt Pflicht: So erfüllen Gesundheitsorganisationen ihre Nachweispflicht nach § 393 SGB V
25
Interview
Digitalisierung ganzheitlich denken
55
Interview
Resiliente Forschungsinfrastrukturen für die Medizin von morgen entwickeln
77
Kolumne
Cybersicherheit im Gesundheitswesen: Zwischen Regulierung und Realität
39
61
Interview
Daten retten Leben – Datenhoheit und Vernetzung als Treiber personalisierter Medizin
Cyber-Sicherheit im Gesundheitswesen am Beispiel der NIS-2: Was Kliniken und Forschungseinrichtungen jetzt wissen müssen 15 61 33 49 21 09
67
Business Continuity Management: Handlungsfähigkeit auch in Krisen sicherstellen
Seite 9
Digitalisierung ganzheitlich denken: Integration von IT, Finanzsteuerung und Governance für eine zukunftsfähige Versorgung.
Seite 25
Cyberresilienz als Verbandsaufgabe:
Politische Prioritäten, Kooperationen und Standards, die der bvitg e. V. für ein widerstandsfähiges digitales Gesundheitswesen setzt.
Seite 49
Neue Maßstäbe für Cyber-Sicherheit im Gesundheitswesen mit NIS-2: Was Kliniken und Forschungseinrichtungen organisatorisch und technisch beachten müssen
Seite 67
Cyberresilienz als strategische Zukunftsaufgabe:
Warum Cyber- und Datenschutz frühzeitig in Digitalprojekte integriert werden müssen.
Seite 15
Cyber Security im Klinikbetrieb der Bundeswehr: W ie das Bundeswehrkrankenhaus Berlin mit hybriden Strukturen und neuen Technologien seine Informationssicherheit weiterentwickelt.
Seite 33
Sichere Dateninfrastrukturen in der Forschung: Das IBMI Tübingen zeigt, wie Datenschutz, KI und medizinische Anwendung Hand in Hand gehen können.
Seite 55
C5-Testate im Gesundheitswesen
Seite 71
Von historisch zu digital: Mit einer klaren Digitalstrategie und dem Fokus auf Sicherheit entwickelt die Charité eine neue Basis für Forschung, Versorgung und administrative Prozesse.
Seite 21
Wenn der Ernstfall eintritt: W ie die Bezirkskliniken Mittelfranken nach einem Hackerangriff ihre digitale Resilienz stärken und die Versorgung neu denken.
Seite 39
Daten retten Leben: Chancen der vernetzten Forschung nutzen, Sicherheitsanforderungen umsetzen und Patientendaten verantwortungsvoll einsetzen
Seite 61
Mit NIS-2 setzt die EU neue Maßstäbe für Cyber-Sicherheit im Gesundheitswesen: Kliniken und Forschungseinrichtungen stehen vor umfassenden organisatorischen und technischen Veränderungen.
Seite 77
SCHWERPUNKT
Prof. Dr. med. Jürgen Graf, Ärztlicher Direktor und Vorstandsvorsitzender, im Gespräch mit Harald Maas, Partner, und Laura Kneip, Sektormanagerin, beide KPMG AG Wirtschaftsprüfungsgesellschaft
Ein Interview mit Professor Graf über die Bedeutung und Umsetzung von Business Continuity Management an der Universitätsmedizin Frankfurt
Herr Professor Graf, Sie haben eine beeindruckende Laufbahn in der Intensiv- und Notfallmedizin sowie in Führungsfunktionen durchlaufen. Wie sind Sie in Ihrer jetzigen Rolle als Ärztlicher Direktor und Vorstandsvorsitzender der Universitätsmedizin Frankfurt mit dem Thema Business Continuity Management (BCM) erstmals in Berührung gekommen?
Retrospektiv betrachtet am ersten Tag. An einem Universitätsklinikum geht es immer um die Aufrechterhaltung der Leistungsfähigkeit – sowohl in der Patientenversorgung als auch bei den Aufgaben in Lehre und Forschung. Betriebsstörungen und Ausfälle im Bereich des Personals sowie der Infrastruktur sind die Regel, nicht die Ausnahme. Ob wir in dem Kontext über Business Continuity Management (BCM) oder Trouble Shooting sprechen, hängt vom Umfang und der Dauer personeller und infrastruktureller Beeinträchtigungen ab. Die Übergänge sind fließend.
Welchen Stellenwert hat das Thema BCM heute auf Vorstandsebene?
Die aktive Auseinandersetzung mit BCM-Fragestellungen hat über die letzten Jahre deutlich zugenommen. Im Vorstand gehören sie zu den Regelthemen, nicht zuletzt durch die Krisen- und AusfallmanagementKommission, die die Universitätsmedizin Frankfurt vor einigen Jahren gegründet hat.
Welche Rolle spielen aus Ihrer Sicht Cyberrisiken für das BCM von Krankenhäusern? Ist das inzwischen ein gleichwertiger Risikofaktor wie zum Beispiel Stromausfall oder Lieferengpässe?
Cyberrisiken betreffen formal zwar insbesondere die IT-Infrastruktur und die Medizintechnik, faktisch sind von Störungen allerdings nicht selten sämtliche Betriebsbereiche, klinisch wie administrativ und technisch, eines Krankenhauses betroffen. Immer häufiger sind IT-Störungen durch nicht legitimierte, externe Einflussnahme – sogenannte Hackerangriffe oder Cyberangriffe – verursacht. Insofern zählen Cyberrisiken zu den Risiken, die häufig auftreten und möglicherweise betriebs- und somit bestandsgefährdende Auswirkungen haben können.
Gibt es an der Universitätsmedizin Frankfurt ein strukturiertes BCM-Programm? Welche konkreten Szenarien, wie zum Beispiel Cyberangriffe, werden aktiv abgedeckt?
Ja, die Universitätsmedizin Frankfurt verfügt über ein strukturiertes BCM-Programm. Es ist zentral organisiert und wir wollen dafür strukturell ein Hospital Command Center etablieren. Wir bereiten uns aktiv auf verschiedene Ausfallszenarien vor, darunter insbesondere Cyberangriffe, aber auch Stromausfälle, ITAusfälle, Pandemien oder Ausfälle kritischer Infrastruktur. Ziel ist es, jederzeit die kritischen Kernprozesse der Patientenversorgung aufrechtzuerhalten.
[…] Von Störungen sind nicht selten sämtliche Betriebsbereiche, klinisch wie administrativ und technisch, eines Krankenhauses betroffen.
Wie würden Sie den Status quo des BCM im deutschen Gesundheitswesen einschätzen?
Verbesserungsfähig, mutmaßlich ist es aber stärker als sein Ruf. Es darf nicht unterschätzt werden, dass insbesondere medizinische Versorgungsbereiche im Kontext der Notfallversorgung vergleichsweise flexibel und improvisationsstark sind.
Krisenstab Universitätsmedizin Frankfurt | Planungsstab Hessen
Krankenhaus-Alarm- und -Einsatzplan (KAEP) | Krankenhauseinsatzplan
Generische Vorbereitung | Preparedness – Business Continuity Management
Krisen- und Ausfallkommission | Stabsrahmenübungen | KAEP-Übungen | Simulationen
Was sind Ihrer Meinung nach die größten Hürden bei der praktischen Umsetzung von BCM-Maßnahmen in Krankenhäusern?
Krankenhäuser agieren in einem sehr eng regulierten Markt, in dem mittlerweile über branchenspezifische Sicherheitsstandards (B3S) oder den KrankenhausAlarm- und Einsatzplan (KAEP) Vorgaben und Regelungen existieren. Eine Anreizbildung, Ressourcen –Personal, Technik bzw. Infrastruktur und Zeit – in diese Bereiche zu allozieren, besteht hingegen nicht. Der größte Teil der möglicherweise sinnvollen Maßnahmen lässt sich allein durch die Erlöse der Patientenversorgungsleistungen finanziell nicht abdecken.
Die Zusammenarbeit von Krankenhäusern wird immer wichtiger und aktiv durch die Gesetzgeber gefordert. Sehen Sie auch Bestrebungen der Zusammenarbeit im Bereich BCM, beispielsweise zwischen Universitätsklinika?
In Hessen haben wir während der Coronapandemie das Modell des „Planungsstabs stationäre Versorgung“ etabliert. Dabei übernehmen sogenannte koordinierende Krankenhäuser in den sechs Versorgungsgebieten (VG) die Organisation der akut- und notfallmedizinischen Versorgung zwischen den verschiedenen Kliniken. Bei Bedarf greifen sie zudem organisatorisch steuernd ein.
Wie auch bei allen anderen übergeordneten Themen der Universitätsmedizin arbeiten die deutschen Universitätsklinika über den Verband der Universitätsklinika Deutschlands (VUD) sehr eng auch bei Fragen zu BCM zusammen.
[…] BCM sollte nicht ausschließlich einrichtungsbezogen, sondern systemisch betrachtet werden.
Wie sehen Sie den Umgang mit medizinischer Operational Technology (OT), also vernetzte Geräte in Klinikbetrieb und Intensivmedizin, im Kontext von Cyberresilienz?
Wir werden in der Lage sein müssen, einen sicheren Betrieb auch im Umgang mit sogenannter Operational Technology zu gewährleisten. Ohne moderne und vernetzte Medizintechnik wird es uns in den kommenden Jahren weder gelingen, die Produktivitätssteigerungen zur Kompensation der demografischen Entwicklung im Gesundheitswesen zu bewerkstelligen, noch die Qualität der Versorgung und die Innovation im Sinne des biotechnologischen Fortschritts der Medizin angemessen abzubilden.
Hierfür wird nach meiner Einschätzung jedoch erheblich in die technische Infrastruktur investiert werden müssen. Überdies sprechen wir in diesem Kontext über Technologien, die sicherlich im Wesentlichen in Zentren zur Anwendung gelangen sollten, damit – Sie sprechen es an – auch die notwendige Resilienz bei hochgradig integrierten und vernetzten Systemen, wie beispielsweise in der Intensivmedizin, gewährleistet ist.
Wenn Sie an die nächsten fünf bis zehn Jahre denken: Welche Rolle sollte BCM in der strategischen Entwicklung von Universitätskliniken spielen, auch im Hinblick auf Digitalisierung und zunehmende Risiken wie beispielsweise geopolitische Veränderungen?
Die Krankenhausstrukturreform wird früher oder später zu einer Konzentration von Versorgungsstrukturen und vernetzter Leistungserbringung über verschiedene Krankenhauslevel unter Einbezug des ambulanten Sektors führen. Hierbei sind die Universitätsklinika als die zentralen Versorgungszentren sowie auch die Koordinierungsstellen der Patientenversorgung gesetzlich vorgesehen.
Hieraus folgt aus meiner Sicht ein starkes gesellschaftspolitisches Interesse, dass insbesondere die deutschen Universitätsklinika im Kontext von BCM technisch, organisatorisch und personell tatsächlich in der Lage sind, auch unter schwierigsten Bedingungen beziehungsweise bei erheblichen Einschränkungen, notwendige medizinische Versorgungsleistungen sicherzustellen und im Netzwerk des Verantwortungsbereichs erfolgreich zu koordinieren.
Es ist weder sinnvoll noch innerhalb der nächsten Jahre möglich, dies an allen Krankenhausstandorten gleichermaßen zu realisieren.
Abschließend gefragt: Wenn Sie sich für das Thema Business Continuity im Gesundheitswesen etwas wünschen könnten, sei es technologisch, organisatorisch oder politisch, was wäre das?
Mein Wunsch wäre, dass BCM nicht ausschließlich einrichtungsbezogen, sondern systemisch betrachtet würde. Ausgehend von der Fragestellung, welche Versorgungsleistung unter welchen Bedingungen wie lange verfügbar gehalten werden soll, ist für mich die zukünftige Aufgabe von BCM, hier die strukturellen, organisatorischen, technischen und personellen Voraussetzungen zur Abdeckung der entsprechenden Bedarfe aus einer Landes- und Bundesperspektive sicherzustellen.
Prof. Dr. med. Jürgen Graf Ärztlicher Direktor und Vorstandsvorsitzender
Prof. Dr. med. Jürgen Graf ist seit 2016 Ärztlicher Direktor und Vorstandsvorsitzender des Universitätsklinikums Frankfurt, seit 01. Juli 2021 ist er Mitglied des Vorstands im Verband der Universitätsklinika Deutschlands (VUD). Als Facharzt für Innere Medizin, Anästhesiologie und Intensivmedizin hat Prof. Dr. med. Jürgen Graf mehrere Zusatzqualifikationen, unter anderem in Flugmedizin, Betriebsmedizin und Notfallmedizin. Zuvor war er am Universitätsklinikum Aachen, im Rätischen Kantonsspital in Chur in der Schweiz, am Universitätsklinikum Gießen und Marburg sowie beim Medizinischen Dienst der Deutschen Lufthansa in Frankfurt ärztlich tätig. Von 2014 bis 2016 war er zudem Klinischer Direktor am Klinikum Stuttgart.
Harald Maas Partner
Public Sector, Healthcare
KPMG AG
Wirtschaftsprüfungsgesellschaft haraldmaas@kpmg.com
Laura Kneip
Sektormanagerin
Healthcare
KPMG AG
Wirtschaftsprüfungsgesellschaft lkneip@kpmg.com
SCHWERPUNKT
INTERVIEW
Minh Nhat Le, Leiter der Stabsstelle Digitalisierung & CISO der Universitätsmedizin Mainz, im Gespräch mit Wilhelm Dolle, Partner, und Peter Maximilian Conrad, Senior Manager, beide KPMG AG Wirtschaftsprüfungsgesellschaft
Minh Nhat Le, Leiter der Stabsstelle Digitalisierung und CISO der Universitätsmedizin Mainz, über den größten Digitalisierungsschub der Klinikgeschichte, die Verankerung von Sicherheit „by design“ und den Weg zu echter digitaler Souveränität.
Herr Le, Sie sind seit über einem Jahrzehnt an der Universitätsmedizin Mainz tätig, wie hat sich Ihr Verantwortungsbereich im Laufe der Jahre entwickelt? Was war für Sie der entscheidende Impuls, sich nicht nur der IT, sondern insbesondere der Digitalisierung und Cybersecurity zu widmen?
Als ich in der Universitätsmedizin anfing, habe ich meinen Fokus auf IT-Infrastruktur und IT-Betrieb gelegt. Heute ist das natürlich ganz anders.
Im Laufe der Zeit habe ich erkannt, dass die eingesetzten Technologien nur dann wirken können, wenn sie auch tatsächlich sinnvoll in die klinischen Prozesse eingebettet sind. Denn, sind wir mal ehrlich, eine neue Virtuelle-Maschinen(VM)-Infrastruktur trägt nicht gleich dazu bei, dass auch die klinischen Prozesse verbessert werden. Gleichzeitig vertrauen uns unsere Patientinnen und Patienten täglich ihre sensibelsten Informationen an. Und es ist mein persönliches Anliegen, dass auch diese Informationen durchgehend geschützt sind.
Sie leiten seit September 2024 die neue Stabsstelle Digitalisierung. Wie definieren Sie Ihre Rolle an der Schnittstelle zwischen technischer Innovation und organisatorischer Verantwortung?
In meiner neuen Rolle sehe ich mich als „Übersetzer“ zwischen IT, klinischer Versorgung und dem Management. Mein Ziel ist es, digitale Innovationen so einzubetten, dass sie echten Nutzen bringen – und zwar für alle Beteiligten. Von der Verwaltung, über die Pflege und Medizin bis hin zur Forschung. Dazu gehört es, Prozesse zu verstehen, Standards zu schaffen und dabei die Organisation und den Menschen mitzunehmen.
Mit dem Programm UM.Digital, der Digitalstrategie der Universitätsmedizin Mainz, wurden acht strategische Digitalisierungsprojekte initiiert, flankiert von 42 Millionen Euro Landesmitteln, wobei es um die Optimierung der Versorgung von Patientinnen und Patienten sowie der Arbeitsabläufe für Mitarbeitende geht. Können Sie uns mehr darüber erzählen? Wie stellen Sie sicher, dass bei all der Innovationsdynamik das Thema IT-Sicherheit von Anfang an „mitgebaut“ und nicht erst im Nachhinein abgesichert wird?
Wie Sie richtig gesagt haben, läuft aktuell bei uns in Mainz das historisch größte digitale Transformationsprogramm in der Geschichte der Universitätsmedizin Mainz, das wir UM.Digital nennen. UM.Digital hat insbesondere das Ziel, das Krankenhausinformations-
system (KIS) sowie das System des Enterprise Resource Plannings (ERP) zu transformieren und ganzheitlich in der Organisation umzusetzen. Im gleichen Zuge wird aber auch unsere Netzwerkinfrastruktur vollständig modernisiert.
Und wie sind wir gestartet?
Wir haben uns in Mainz zunächst damit beschäftigt, eine Digitalstrategie zu entwickeln. Und weil wir wissen, dass so eine Transformation sehr viel Geld kostet, haben wir frühzeitig unseren Trägern die Strategie und das Umsetzungsvorhaben vorgestellt. Und ich kann Ihnen mitteilen, dass wir sehr erfolgreich waren. Denn wir haben insgesamt 42 Millionen Euro für die kommenden zwei Jahre erhalten, damit wir mit der Umsetzung unserer Digitalisierungsvorhaben starten können.
Bezug nehmend auf Ihre Frage zur Informationssicherheit haben wir sowohl die Informationssicherheit/ Cybersicherheit sowie den Datenschutz in unserer Programm- und Projektgovernance zentral verankert, sodass unsere Expertinnen und Experten im Bereich Informationssicherheit und Datenschutz frühzeitig in diese Transformationsprojekte eingebunden wurden. Damit stellen wir sicher, dass die Themen Informationssicherheit und Datenschutz von Anfang an eingebaut werden. Cybersicherheit ist eine Gemeinschaftsaufgabe – gerade im Gesundheitswesen.
Zum Stichwort IT-Sicherheitsgesetz, Richtlinien und Standards: Geht das aus Ihrer Sicht in die richtige Richtung?
Ja, grundsätzlich schon. Das IT-Sicherheitsgesetz und insbesondere die branchenspezifischen Sicherheitsstandards (B3S) haben in den letzten Jahren zu einer stärkeren Strukturierung und Sensibilisierung geführt. Allerdings liegt der Fokus vieler Häuser noch zu sehr auf reiner Compliance. Der Sprung zur echten Resilienz ist aus meiner Sicht anspruchsvoller. Die Netzwerk-und-Informationssysteme-Richtlinie der EU (NIS-2) könnte hier wichtige Impulse geben, insbesondere durch klare Verantwortungszuweisung der Geschäftsführung, strengere Meldepflichten und stärkere Anforderungen an das Risikomanagement.
Am Ende des Tages ist die richtige Interpretation sowie der Stand der Technik für die Prüfung von großer Bedeutung. Gerade wenn es darum geht, dass es eine Vielzahl unterschiedlicher Standards und normativer Vorschriften zur Auswahl gibt, ist es notwendig, sektorspezifische Standards zu etablieren. Eine Idee wäre zum Beispiel die Konsolidierung aller Anforderungen, wie RUN1, GAiN 2 , OH-SzA 3 etc., in den B3S oder ein Grundschutzprofil für Krankenhäuser. Gleichzeitig sollte dabei die Größe des Hauses berücksichtigt werden.
Einer der Treiber für die erfolgreiche Umsetzung dieser Vorgaben sind klare Finanzierungsstrukturen und Fördermöglichkeiten.
Was sind derzeit die größten Risiken, die Sie im Bereich der Cybersicherheit für Ihre Klinik sehen und wie gehen Sie präventiv damit um?
Ich sehe die größten Risiken in Häusern unserer Größe weniger in einzelnen Angriffstechniken, sondern in der zunehmenden Komplexität und fehlenden Durchgängigkeit vieler Strukturen. Wichtig sind aus meiner Sicht ein gutes Asset-Management und Risikoverständnis – wer seine Systeme nicht kennt, kann sie nicht schützen. Deshalb setzen wir auf kontinuierliche Transparenz, klare Governance sowie strukturiertes
Risikomanagement. Und vor allem: Wir verstehen IT-Sicherheit als kontinuierlichen Prozess und nicht als Projekt mit Enddatum. Dabei spielt die Sensibilisierung der Mitarbeitenden eine sehr große Rolle.
Wie gut sind aus Ihrer Sicht große Gesundheitseinrichtungen heute aufgestellt, wenn es um strukturelle Cyberresilienz geht, insbesondere im Hinblick auf kritische IT-Infrastrukturen und medizinische Geräte zur Steuerung, Überwachung und Automatisierung von Prozessen (Operational Technology, OT)?
In der Breite ist die Resilienz noch sehr unterschiedlich. IT-seitig machen viele Häuser große Fortschritte, etwa durch Zentralisierung oder Cloudstrategien. Bei OT oder branchenspezifischen Anwendungen wie dem KIS sehen wir jedoch häufig Herausforderungen – von proprietären Schnittstellen bis hin zu fehlender Patchbarkeit – eines der größten Risiken, aber auch gleichzeitig eine große Chance, um eine zukunftsfähige KIS- und ERP-Transformation umzusetzen. Aus meiner Sicht benötigen wir regulatorische Vorgaben und staatliche Kontrollinstanzen, damit die großen Unternehmen, die Produkte anbieten und herstellen, Informationssicherheit von Anfang an implementieren und auch überprüft werden – Stichwort ,,Security by Design“.
= Orientierungshilfe für Systeme zur Angriffserkennung
Wie konkret hat sich Ihre Einrichtung auf Szenarien wie Ransomware-Angriffe, Systemausfälle oder Datendiebstahl vorbereitet? Gibt es etablierte Krisenreaktionspläne im Sinne eines Business Continuity Management (BCM)?
Wir arbeiten mit strukturierten Notfallkonzepten, die über die IT hinausgehen. Business Continuity betrifft im Krankenhaus immer auch Pflege, Medizin, IT und Logistik. Deshalb setzen wir auf integrierte Strukturen, interdisziplinäre Übungen und verständliche Wiederanlaufpläne. Aus meiner Sicht reichen Notfallpläne allein nicht aus. Sie müssen bekannt gegeben werden, eingeübt und im Ernstfall abrufbar sein.
Und da BCM kein reines Informationssicherheitsthema ist, haben wir die Notwendigkeit erkannt, auch eine neue Stabsstelle mit diesem Fokus zu etablieren.
Ein zentraler Faktor für Cybersicherheit bleibt das Verhalten der Mitarbeitenden, gerade im Klinikalltag, wo unter Zeitdruck gearbeitet wird und digitale Prozesse zunehmend komplexer werden. Schulungen und Awareness-Maßnahmen sind deshalb essenziell. Wie integrieren Sie das Thema Sensibilisierung der Beschäftigten in Ihre Sicherheitsstrategie?
Um dem steigenden Personalbedarf in diesem Bereich gerecht zu werden, setzen wir auf eine Kombination aus internen Fachkräften und externen Expertinnen und Experten. Wir haben den Vorteil, dass unser Tarifvertrag für die Region sehr attraktiv ist und die Arbeitszeitregelungen bei uns zusätzlich optimiert wurden – 35 Stunden pro Woche ab dem 01.01.2027.
Zudem haben wir ein operatives IT-Sicherheitsteam ins Leben gerufen. Dabei setzen wir auf Mitarbeitende aus der IT-Abteilung mit IT-Sicherheitsexpertise, die insbesondere bereits mit den Strukturen und Prozessen des Unternehmens vertraut sind und gezielt weitergebildet werden, um als IT-Sicherheitsteam arbeiten zu können. Auf diese Weise stellen wir sicher, dass die gesamte Prozesskette in der IT-Sicherheit abgedeckt wird.
Ein ähnliches Vorgehen verfolgen wir im Datenschutzbereich. Die Rolle der Datenschutzkoordination haben wir weiter ausgebaut und Mitarbeitende werden kontinuierlich geschult.
Wir möchten, dass sich alle Beschäftigten gut informiert und sicher fühlen, wenn es um Themen wie IT-Sicherheit und Datenschutz geht.
Aus meiner Sicht benötigen wir regulatorische Vorgaben und staatliche Kontrollinstanzen, damit die großen Produktanbieter und Hersteller Informationssicherheit von Anfang an implementieren und überprüft werden – Stichwort „Security by Design“.
Wenn Sie auf die nächsten fünf Jahre blicken, was wäre für Sie ein realistisches, aber ambitioniertes Ziel für Ihre Digital- und Sicherheitsstrategie an der Universitätsmedizin Mainz?
Ich arbeite mit dem Team aktiv daraufhin, dass wir in fünf Jahren nicht nur technologisch, sondern auch kulturell digital- und sicherheitsbewusst aufgestellt sind. Insbesondere, dass wir digital souverän sind – mit vernetzten Plattformen, sicheren Architekturen und vor allem, dass die Prozesse transformiert werden und den Berufsalltag unserer Mitarbeitenden spürbar entlasten.
Wenn Sie einen Wunsch äußern könnten: Was bräuchte das deutsche Gesundheitswesen, um im Bereich Cybersicherheit wirklich resilient zu werden, technologisch, organisatorisch oder politisch?
Einen Wunsch zu äußern ist wirklich schwierig. Aus meiner Sicht sind drei Handlungsfelder entscheidend:
Erstens sollten langfristige Investitionen getätigt werden, die nicht nur den Betrieb, sondern auch die Sicherheit umfassend abdecken. Zweitens müssen klare, verpflichtende Mindeststandards etabliert werden, die auch eine echte Durchsetzungskraft besitzen. Drittens ist es notwendig, eine Kultur des Miteinanders zu fördern, die mehr Austausch, mehr Kooperationsplattformen und mehr offene Standards umfasst.
Cybersicherheit ist eine Gemeinschaftsaufgabe – gerade im Gesundheitswesen.
Minh Nhat Le Leiter der Stabsstelle Digitalisierung und Chief Information Security Officer (CISO) der Universitätsmedizin Mainz
Minh Nhat Le ist als Leiter der Stabsstelle Digitalisierung und Chief Information Security Officer in der Universitätsmedizin Mainz tätig. In dieser Doppelfunktion verantwortet er sowohl die digitale Transformation als auch die strategische Steuerung der Informationssicherheit.
Im Rahmen seiner Funktion leitet er zudem operativ das Digitalisierungsprogramm „UM.Digital“, das strategische Schlüsselprojekte im Bereich klinischer Prozesse, Verwaltung und IT-Infrastruktur vereint.
Er bringt über zehn Jahre Erfahrung im Bereich der Informationssicherheit und IT mit. Als direkte Berichtsstelle zum Vorstandsvorsitzenden entwickelt er Entscheidungsgrundlagen, priorisiert Digitalisierungsvorhaben und adressiert organisationale Herausforderungen im digitalen Wandel.
Wilhelm Dolle Partner
Consulting, Cyber Security & Resilience KPMG AG
Wirtschaftsprüfungsgesellschaft wdolle@kpmg.com
Peter Maximilian Conrad Senior Manager
Public Sector Consulting, Healthcare KPMG AG
Wirtschaftsprüfungsgesellschaft pconrad@kpmg.com
SCHWERPUNKT
INTERVIEW
Anne-Marie Schneider, Leitung Geschäftsbereich IT, CIO, Charité Universitätsmedizin Berlin, im Gespräch mit Alexander Morton, Partner, und Paul Haag, Manager, beide KPMG AG Wirtschaftsprüfungsgesellschaft
Anne-Marie Schneider, CIO der Charité Universitätsmedizin Berlin, über den Umbau historisch gewachsener Strukturen, die Verankerung von IT-Sicherheit als Grundlage für Innovation und den kulturellen Wandel hin zu einer serviceorientierten digitalen Klinik.
Liebe Frau Schneider, Sie sind Chief Information Officer (CIO) der Charité in Berlin, der größten Universitätsklinik Europas mit mehreren Campus, Forschungseinheiten, internationalen Projekten und über 20.000 Beschäftigten. Können Sie uns einen Einblick in Ihren beruflichen Werdegang geben und was Sie persönlich auf diesem Weg besonders geprägt hat?
Mein Einstieg ins Berufsleben erfolgte bei KPMG im Bereich Audit. Dort lernte ich unterschiedlichste Unternehmensstrukturen kennen – eine Erfahrung, die mir bis heute hilft, komplexe Organisationen schnell zu verstehen.
Nach meinem Wechsel zur Charité übernahm ich zunächst die Leitung des Konzernrechnungswesens. Schon damals wurde mir klar: Ohne Digitalisierung lassen sich moderne Strukturen nicht nachhaltig etablieren. Excel-Tabellen, fehlende Konsolidierungstools und starre Strukturen waren Realität – und zugleich der Ausgangspunkt für meine ersten Digitalisierungsprojekte.
Es folgten Stationen als Referentin des Finanzvorstands sowie als stellvertretende Geschäftsbereichsleiterin Finanzen. Dort trieb ich Umstrukturierungen und Automatisierungen voran und leitete das SAPVorprojekt – eine Schlüsselaufgabe, die mir zeigte, wie technische und prozessuale Transformation ineinandergreifen. Der nächste Schritt war nur folgerichtig: der Wechsel in die IT. Heute gestalte ich als CIO gemeinsam mit meinem Team die digitale Zukunft der Charité.
Die digitale Transformation der Universitätsmedizin ist ein langfristiger Prozess, der weit über die Einführung neuer Technologien hinausgeht. Sie bedeutet kulturellen Wandel, Organisationsentwicklung und den Mut, bestehende Strukturen grundlegend zu hinterfragen. Universitätskliniken sind hervorragend darin, Projekte zu initiieren und Expertise in Stabsstellen oder Forschungsinstituten zu bündeln. Die eigentliche Herausforderung liegt jedoch darin, diese Initiativen zu integrieren und daraus einen spürbaren Mehrwert für die Organisation zu schaffen.
Digitalisierung ist für uns kein Selbstzweck. Sie soll die Arbeit erleichtern, Versorgung verbessern und Mitarbeitende entlasten. Die Digitalisierung eröffnet uns die Chance, Prozesse effizienter zu gestalten, die Versorgung zu verbessern und wissenschaftliche Exzellenz international sichtbar zu machen. Das gelingt nur, wenn wir das Silodenken überwinden und die IT service- und werteorientiert ausrichten. Statt rein technologischer Insellösungen brauchen wir ganzheitliche Prozessketten, die Wertschöpfung generieren – von der Verwaltung über die Forschung bis hin zur direkten Patientenversorgung.
Die Charité hat mit der Strategie Rethinking Health eine langfristige Agenda formuliert, die den Wandel zur digitalen, vernetzten und lernenden Universitätsklinik beschreibt. Welche Rolle spielt die IT in diesem Transformationsprozess und wie verändern sich Entscheidungswege, Organisation, Prozesse und Aufgabenverteilung durch diese Neuausrichtung?
Wir wollen im Digitalisierungsbereich Maßstäbe setzen und ein serviceorientiertes Erlebnis schaffen, das die gesamte Organisation nachhaltig prägt.
Im Zuge der Digitalisierung des Gesundheitswesens, etwa durch das Krankenhauszukunftsgesetz (KHZG), das Investitionen in digitale Infrastruktur fördert, hat sich viel bewegt. Das zeigt auch der DigitalRadar, der den Reifegrad der Krankenhäuser evaluiert. Was sind aus Ihrer Sicht derzeit die größten Herausforderungen für Universitätskliniken, um die Digitalreife deutscher Kliniken nachhaltig und strategisch weiterzuführen?
Die IT ist längst nicht mehr nur technischer Dienstleister, sondern strategischer Partner. Im Rahmen von Rethinking Health haben wir die Organisationsstruktur der IT tiefgreifend erneuert. Management- und Supportprozesse wie IT-Security, Service und Operations wurden neu definiert, während Kernprozesse entlang von Value Streams organisiert sind – etwa in den Bereichen Forschung und Lehre, Krankenversorgung und Verwaltung.
So schaffen wir eine servicedominierte Architektur, die Innovationen unterstützt, statt sie zu blockieren. Ein besonderer Vorteil ist unser Berliner Simulationsund Trainingszentrum: Hier können neue Technologien im medizinischen Umfeld in einem geschützten Umfeld getestet werden, bevor sie in den klinischen Alltag integriert werden.
Die Charité gehört zur kritischen medizinischen Infrastruktur in Deutschland. Welchen Stellenwert nimmt IT-Sicherheit in diesem Kontext ein und wie haben sich Anforderungen und Bedrohungslagen in den letzten Jahren verändert?
Als Teil der kritischen Infrastruktur steht die Charité besonders im Fokus von Cyberangriffen. Deshalb haben wir einen Masterplan für Cyber Resilience mit 34 Projekten bis 2030 entwickelt und bauen ein spezialisiertes IT-Security-Team auf.
IT-Sicherheit ist dabei keine rein technische Aufgabe der IT, sondern ein Thema für die gesamte Organisation. Alle Mitarbeitenden müssen Sicherheitsaspekte verinnerlichen und in ihren Arbeitsalltag integrieren. Nur so lässt sich gewährleisten, dass Digitalisierung und damit einhergehende Innovationen nicht auf einem wackeligem Fundament stehen.
Wie balancieren Sie den Innovationsdruck, etwa durch künstliche Intelligenz (KI), Cloud oder mobile Systeme, mit dem notwendigen Schutz kritischer Infrastrukturen und sensibler Daten ihrer Patientinnen und Patienten?
Künstliche Intelligenz, Cloud-Lösungen und mobile Systeme versprechen enorme Chancen – von effizienteren Abläufen bis hin zu personalisierter Medizin. Gleichzeitig gilt es, sensible Daten und kritische Strukturen bestmöglich zu schützen. Um Innovationen gezielt zu fördern, haben wir das Center of Technical Excellence gegründet. Es ist zentrale Andockstelle für KI- und Cloud-Themen, bündelt technische Forschungsund Medizinkompetenz und überführt erfolgreiche Pilotprojekte in den Regelbetrieb. Dabei betrachten wir Innovation stets im Gesamtkontext von Prozessen, Strukturen und Versorgung – und arbeiten eng mit Partnern innerhalb und außerhalb der Charité zusammen.
Welche Rolle spielt externe Regulierung – zum Beispiel durch das IT-Sicherheitsgesetz 2.0 oder KRITIS-Verordnungen – in Ihrer täglichen Arbeit und strategischen Ausrichtung?
Gesetze wie das IT-Sicherheitsgesetz 2.0 oder KRITIS-Verordnungen sind für uns tägliche Realität. Sie geben Orientierung, erfordern aber auch hohe Investitionen und klare Priorisierungen. Entscheidend ist, dass Sicherheitsanforderungen nicht isoliert betrachtet werden, sondern von Anfang an in Projekte integriert sind. Governance und klare Frameworks sind hier unverzichtbar: Sie schaffen Verlässlichkeit und ermöglichen es, Innovationen trotz komplexer regulatorischer Vorgaben erfolgreich umzusetzen.
Wenn Sie fünf bis zehn Jahre in die Zukunft blicken: Wie sieht Ihre digitale Vision für die Charité aus und was braucht es politisch, strukturell und technologisch, um sie Realität werden zu lassen?
Mein Blick in die Zukunft ist klar: In zehn Jahren soll die Charité als lernende, vernetzte und digitale Klinik europaweit Maßstäbe setzen. Die Technologien sind vorhanden – entscheidend wird es sein, den Mut zum Aufbruch in die neue Zeit mitzubringen und mehr Partnerschaften einzugehen.
Digitalisierung bedeutet, mutig zu investieren, Neues auszuprobieren und erfolgreiche Lösungen in den Alltag zu überführen. Dazu braucht es für mich in der Charité drei zentrale Voraussetzungen:
1. Finanzierbarkeit: Digitale Innovationen müssen realistisch finanzierbar bleiben.
2. Kultureller Wandel: Mitarbeitende müssen bereit sein, neue Technologien anzunehmen und aktiv zu gestalten.
3. Politische Unterstützung: Nur wenn die Politik den Wandel aktiv begleitet und fördert, wird er nachhaltig gelingen.
Anne-Marie Schneider Leitung Geschäftsbereich IT, CIO, Charité Universitätsmedizin Berlin
Frau Schneider ist Diplombetriebswirtin und seit 10 Jahren in der Charité Universitätsmedizin Berlin tätig. Aktuell ist sie CIO, Geschäftsbereichsleitung IT, und verantwortet das Management der IT-Organisation sowie die Sicherstellung der laufenden IT-bezogenen operativen Prozesse. Zuvor war Frau Schneider in weiteren Positionen als stellvertretende Geschäftsbereichsleitung Finanzen, Referentin des Direktoriums sowie als Leiterin des Konzernrechnungswesens tätig. Vor ihrer Zeit bei der Charité hat Frau Schneider in einer Wirtschaftsprüfungsgesellschaft gearbeitet.
Alexander Morton Partner
Public Sector Consulting, Healthcare KPMG AG
Wirtschaftsprüfungsgesellschaft alexandermorton@kpmg.com
Es reicht nicht aus, wenn einzelne Bereiche KRITIS-Anforderungen „einreichen“, unsere gesamte Struktur muss diese Vorgaben von Anfang an mitdenken und fest verankern.
Abschließend ganz persönlich gefragt: Was wünschen Sie sich für die digitale Zukunft von Krankenhäusern in Deutschland, in Bezug auf Resilienz, Datensouveränität und Innovationsfähigkeit im europäischen Vergleich?
Ein zentrales Zukunftsthema ist die Datensouveränität. Während Sicherheit zurecht Priorität hat, erleben wir gleichzeitig, dass restriktive gesetzliche Vorgaben die Nutzung medizinischer Daten für Forschung und Innovation stark einschränken.
Ich wünsche mir daher größere gesetzliche Spielräume, die es ermöglichen, Daten verantwortungsvoll zu nutzen, ohne die Sicherheit zu vernachlässigen. Nur so kann Deutschland im europäischen Vergleich resilient, innovativ und wettbewerbsfähig bleiben.
Paul Haag Manager
Public Sector Consulting, Healthcare KPMG AG
Wirtschaftsprüfungsgesellschaft phaag@kpmg.com
SCHWERPUNKT
INTERVIEW
Norman Dittes, Konzernbereichsleitung Finanzen, RHÖN-KLINIKUM AG, im Gespräch mit Thorsten Schrum, Partner, und Rishabh Bargoti, Manager, beide KPMG AG Wirtschaftsprüfungsgesellschaft
Ein Gespräch mit Norman Dittes über strategische IT-Projekte, Prozessoptimierung und die Vision eines modernen Klinikunternehmens in Zeiten des Wandels.
In Ihrer Funktion bei der RHÖN-KLINIKUM AG tragen Sie die Verantwortung für Finanzen und Governance, wirken aber auch maßgeblich an strategischen IT-Projekten mit. Welche Themen beschäftigen Sie aktuell am meisten?
Als Konzernbereichsleiter Finanzen in der RHÖN-KLINIKUM AG (RKA), einem börsennotierten Krankenhauskonzern und Teilkonzern der Asklepios-Gruppe, gibt es für mich an vielen Stellen Berührungspunkte zu strategischen IT-Projekten. Wir verstehen unsere innovativen Initiativen nicht als eine reine Aufgabe der IT-Organisation beziehungsweise der Einheiten RHÖN-KLINIKUM IT Service GmbH (RIT).
Wir denken diese Initiativen End-to-End, das heißt interdisziplinär entlang der Wertschöpfungskette. Wir nehmen unterschiedliche Perspektiven ein – die Sicht der Patientinnen und Patienten, der Beschäftigten im Konzern, die mit den Anwendungen oder neuen Verfahren arbeiten müssen, der IT-Fachkräfte oder zum Beispiel der Rechtsabteilung und anderer beteiligter Interessengruppen.
Am meisten beschäftigen wir uns im Moment – neben der Unterstützung der Medizin, die innovativen, digitalen Lösungen zu finanzieren und umzusetzen – mit der Entwicklung unseres IT-Systemumfelds, insbesondere mit dem Krankenhausinformations- und dem ERP-System.
Dabei geht es sehr viel um die Governance, den Umgang mit und den Fluss von Daten beziehungsweise Informationen und wie diese die Prozesse- und Abläufe in der Organisation sowie unsere Patientinnen und Patienten beeinflussen. Wichtig hierbei ist es auch, die Regelungen um den Schutz sensibler, persönlicher Daten von Patientinnen und Patienten sowie Mitarbeitenden einzuhalten (Stichwort: Regelungen des Datenschutzes).
Als Finanzexperte in der Organisation verstehe ich mich als Sparringspartner für verschiedene Funktionen im Konzern. Den interdisziplinären Ansatz sehe ich als große Chance, aber auch Notwendigkeit für nachhaltigen Erfolg. Gleichzeitig macht es auch Spaß.
Welche Rolle spielt Ihre persönliche Erfahrung aus internationalen IT-Transformationsprojekten für Ihre heutige Steuerung der Digitalisierung im Klinikbereich?
Fokus meiner Tätigkeit ist und war die Arbeit mit Organisationen zu IT-Finanz-Transformationsprojekten. Wenn Sie meine Vita betrachten, erkennen Sie schnell – ich bin kein Eigengewächs der Krankenhausbranche. Ich durfte viele Erfahrungen mit nationalen und internationalen Unternehmen in der Pharma- und
Medizintechnikbranche sammeln. Wenn Sie meine Kolleginnen und Kollegen fragen, würden Sie Ihnen wohl sagen, dass mein Einfluss auf die IT-Transformationsprojekte in der RKA oder im Asklepios-Konzern eher durch das Out-of-the-Box-Denken entsteht, der Übertragung von Ideen aus anderen Branchen. Dennoch – ob national oder international – bei IT-Transformationsprojekten geht es darum, die Menschen und die Organisation mitzunehmen. Der Erfolg eines Projekts misst sich nach meiner Erfahrung daran, wie die Technologie nach der Transformation von den Mitarbeitenden in den prozessualen Abläufen eingesetzt wird und Innovation gelebt wird. Hierbei hilft es, Ideen aus meinen früheren Tätigkeiten einzusetzen. Daneben erkennen wir, dass es noch gewisse Potenziale in den etablierten Krankenhausstrukturen und -prozessen gibt, bei denen Datenanalysen und Process-Mining als hilfreiche Tools eingesetzt werden könnten.
Oft hängt es bei solchen Projekten auch an einem effektiven Projektmanagement. Bei der Strukturierung von Projekten und der Umsetzung von konzeptionellen Ideen in größeren Organisationen hilft meine Erfahrung selbstverständlich auch.
Unser gemeinsames Ziel lautet „Better Together“: Besser zusammenarbeiten, Kompetenzen bündeln, Synergien nutzen.
Die RHÖN-KLINIKUM AG ist Teil der AsklepiosGruppe. Wie ist das Zusammenspiel zwischen zentraler Konzernstrategie und standortnaher Steuerung organisiert, insbesondere bei Themen wie Digitalisierung oder IT-Sicherheit?
Innerhalb der Asklepios-Gruppe und dem Teilkonzern RKA verfolgen wir ein gemeinsames Ziel, wir möchten aktiv an einem Better Together arbeiten. Dabei möchten wir die Kompetenzen der Mitarbeitenden in der gesamten Gruppe bündeln, Synergien nutzen und die besten Lösungen aus den Teilorganisationen überall einsetzen. Bei der Digitalisierung oder IT-Sicherheit greifen wir auf die zentralen Strukturen in der IT, der Materialwirtschaft, dem Erlösmanagement oder im Accounting zurück, um konzernübergreifende Initiativen zu identifizieren. Ein gewisses Clustering – sei es regional oder funktional – hilft uns, die notwendige Nähe zu den Standorten und zum operativen Geschäft vor Ort sicherzustellen.
Am Beispiel unserer SAP-S/4HANA-Transformation lässt sich das gut darstellen – hier haben wir ein Projektteam aufbauen können, das einen Erfahrungsmix beisteuerte aus:
• SAP-S/4HANA-Transformationen
• Fachlichem Know-how im Bereich IT-Finance
• Accounting und Controlling
• Business-Service-Strukturen und -Prozesse
• Lokaler Expertise
Der Konzernverbund zwischen Asklepios, RKA und Mediclin ist dabei eine wesentliche Hilfe. Bei sämtlichen gemeinsamen oder eigenständigen Initiativen berücksichtigen wir die regulatorischen Anforderungen aus Sicht einer Good Corporate Governance, des Aktienrechts, des Datenschutzes und anderer Regelungsbereiche.
Im Rahmen der Initiative RHÖN Digital treibt Ihre Organisation den digitalen Wandel konzernweit voran, von smarter Medizintechnik bis zu modernen Verwaltungsprozessen. Welche Rolle spielen Sie in der strategischen Ausrichtung dieser Transformation?
Transformationen funktionieren nur im Team – wir haben viel Expertise innerhalb der Organisation und des Netzwerks. In meiner Funktion in der Verwaltungsorganisation geht es neben der Umsetzung von digitalen und innovativen Prozessen um die Finanzierung dieser Vorhaben. Die Finanzierung stellen wir sicher durch:
• Operatives Liquiditätsmanagement
• Effektives Erlösmanagement (das beinhaltet auch die korrekte Abrechnung innovativer Lösungen)
• Fremdfinanzierungs- und Treasury-Aktivitäten
• Jedoch auch in signifikantem Maße durch Bundes- und Landes-Fördermittelprogramme
Die Planung von liquiden Mitteln und die Finanzierung von Vorhaben umfasst nicht nur die Überprüfung, ob die entsprechenden Mittel verfügbar sind, sondern
auch, ob die geplanten Initiativen für die Organisation werthaltig und ökonomisch sinnvoll sind.
Hier braucht es in einem Konzern wie unserem gewisse Checks and Balances, denn wir möchten die Gelder wirtschaftlich sinnvoll und nachhaltig einsetzen.
Meine Erfahrung aus meinen vergangenen Tätigkeiten hilft mir ebenfalls, Gesellschaftern, Aufsichtsräten, Vorstand und nicht zuletzt Fördermittelbehörden Sicherheit zu geben, dass die Gelder sachlich und finanziell richtig verwendet werden.
Mit der RHÖN-KLINIKUM IT Service GmbH gibt es eine eigene digitale Infrastrukturgesellschaft im Konzern. Wie ist diese in Ihre Arbeit eingebunden und welche Informationssicherheits- und Qualitätsstandards setzt man sich dort?
Die RIT hilft uns an unseren fünf Standorten auf verschiedene Weise. Sie trägt dazu bei, die digitale Infrastruktur für den Betrieb der Krankenhäuser sicherzustellen – von den patientennahen Systemen wie zum Beispiel dem Krankenhausinformationssystem, über die in der Verwaltung genutzten Systeme wie zum Beispiel dem ERP-System bis hin zur technischen Infrastruktur, also den Rechenzentren und IT-Netzwerken. Darüber hinaus sorgt sie für Datensicherheit und setzt für uns innovative Projekte insbesondere im Zusammenhang mit den bundesweiten Digitalisierungsprogrammen des Krankenhauszukunftsgesetzes (KHZG) und dem Transformationsfonds um. Die Unterstützung für die RKA-Häuser lässt sich in operative, laufende IT-Unterstützung sowie Projektunterstützung unterteilen.
Wir involvieren die RIT in alle Initiativen und Projekte, bei denen Digitalisierungs-, IT-Infrastruktur- und Datenstrukturen für unsere medizinischen Dienstleistungen und Unternehmensfunktionen benötigt werden.
Kliniken gelten als kritische Infrastruktur, entsprechend hoch sind die Anforderungen an IT-Sicherheit. Welche Maßnahmen wurden innerhalb der RHÖN-Gruppe etabliert, um diese Sicherheit konzernweit zu gewährleisten?
Was würden Sie sagen: Wie wichtig ist IT-Sicherheit heute für das Vertrauen von Patientinnen und Patienten, von Partnerunternehmen und Beschäftigten? Geht es hier nur um Technik oder auch um Haltung und Unternehmenskultur?
IT-Sicherheit ist für uns keine rein technische Frage, sie betrifft die ganze Organisation.
Der Schutz der uns anvertrauten Daten hat für die RKA und die mit ihr verbundenen Unternehmen höchste Priorität. Wir haben ein langjährig etabliertes, zentrales Team, das sich mit Aspekten der IT-Sicherheit befasst. Es bewertet auf Basis von Behördeninformationen (zum Beispiel vom Bundesamt für Sicherheit in der Informationstechnik, BSI), öffentlichen Quellen und eigenen Analysen die Bedrohungslage und passt die Abwehrmaßnahmen entsprechend an. Wir sehen seit Jahren stetig steigende Angriffsversuche, auch bedingt durch die zunehmende Digitalisierung im Gesundheitswesen, die zu einer wachsenden Zahl von Angriffspunkten geführt hat. In enger Kooperation innerhalb der Asklepios-Gruppe halten wir unsere Systeme stets auf dem neuesten Stand und reagieren auf Bedrohungstrends durch gezielte Anpassungen unserer IT-Sicherheitsinfrastruktur.
Daneben ist die RHÖN-KLINIKUM-AG-Gruppe ISO 27001 zertifiziert. Wir konnten also nachweisen, dass wir ein Informationssicherheitsmanagementsystem (ISMS) implementiert haben und daran arbeiten, es kontinuierlich zu verbessern.
IT-Sicherheit ist heute von entscheidender Bedeutung für das Vertrauen aller Beteiligten und geht weit über die reine Technik hinaus. In unserem Unternehmen werden große Mengen sensibler Daten verarbeitet. Der Schutz dieser Daten vor unbefugtem Zugriff und Missbrauch ist essenziell.
Die Gesundheitsbranche unterliegt einem hohen Maß an Regulation, entsprechend beschäftigen wir uns intensiv mit der Einhaltung gesetzlicher Anforderungen und Vorschriften. Hier möchte ich erwähnen, dass die Einhaltung nicht nur gesetzlich vorgeschrieben ist, sondern auch ein Zeichen für die Seriosität und Verantwortung eines Unternehmens darstellt. Das erwarte ich auch als Patient und Mitarbeiter.
Wir möchten dabei auf der einen Seite finanzielle, aber auf der anderen Seite auch Reputationsschäden vermeiden. Sicherheitsvorfälle können erhebliche finanzielle Verluste verursachen und den Ruf eines Unternehmens nachhaltig schädigen. Ein stark ausgeprägtes IT-Sicherheitsmanagement hilft uns, solche Risiken zu minimieren.
Unser Sicherheitsmanagement basiert auf Aspekten des Bewusstseins, der Haltung und Schulungen. IT-Sicherheit ist nicht nur eine technische Herausforderung, sondern erfordert auch ein hohes Maß an Bewusstsein und Verantwortung bei allen Mitarbeitenden. Regelmäßige Schulungen sind entscheidend, um ein sicheres Verhalten im Umgang mit Daten und Systemen zu fördern.
Wir streben eine Unternehmenskultur an, die Sicherheit als gemeinsamen Wert und Verantwortung aller Mitarbeiter betrachtet. Das bedeutet, dass IT-Sicherheit nicht nur als Aufgabe der IT-Abteilung gesehen wird, sondern als integraler Bestandteil aller Geschäftsprozesse. Teil der Unternehmenskultur sind eine offene Kommunikation über Sicherheitsrisiken und -vorfälle sowie transparente Prozesse zur Meldung und Behandlung von Sicherheitsproblemen. Das stärkt das Vertrauen und die Zusammenarbeit innerhalb des Unternehmens und mit externen Parteien.
Insgesamt ist die IT-Sicherheit heute ein zentraler Erfolgsfaktor für die RKA und ihre Kliniken. Sie umfasst nicht nur technische Maßnahmen, sondern auch eine entsprechende Haltung und Unternehmenskultur. Nur durch eine ganzheitliche Herangehensweise, die Technik, Prozesse und Menschen gleichermaßen berücksichtigt, kann ein hohes Maß an Sicherheit und Vertrauen erreicht werden.
Viele Kliniken kämpfen mit knappen Budgets, gleichzeitig steigen die Anforderungen an IT- und Sicherheitsstandards. Wie schaffen Sie es, diese Herausforderungen wirtschaftlich zu steuern und gleichzeitig strukturell weiterzudenken?
Sie haben recht, die Ressourcen und Budgets in der Branche sind knapp. Wir sind jedoch weiterhin ein stabiler Konzern mit Finanz und Ertragskraft. Aber wir arbeiten auch konsequent dafür.
Die Herausforderungen sehe ich überwiegend in der Investitionsplanung und damit verbunden in der Rentabilitätsanalyse. Wir sehen und spüren die Veränderung der Geschäftsmodelle von IT- und Technologieunternehmen, insbesondere getrieben durch das Cloudmodell beziehungsweise digitale Mietmodelle. Die Software-as-a-Service-Modelle (SAAS) der Technologieunternehmen oder Bundle-Verträge in der Medizintechnik, also Verträge, in denen Preisstrukturen über ein Bündel von Leistungen in der Medizintechnik geschlossen werden, müssen buchhalterisch in der Bilanz, G&V und Kapitalflussrechnung abgebildet, bei der Investitionsplanung berücksichtigt und innerhalb des Unternehmens transparent gemacht werden. Das heißt, mein Team muss von Anfang an eingebunden werden.
Wir gehen diese Herausforderung sehr strukturiert und nach folgenden Regeln an:
• Interdisziplinärer Beschaffungs- und Entscheidungsprozess mit der Einbindung von Medizin, Einkauf, juristischer Abteilung, Finanzexpertinnen und -experten und anderen Beteiligten
• Klare Governance für Investitionen und strukturierter Investitionsprozess
• Fokussiertes und eng gehaltenes Liquiditätsmanagement
• Konzentriertes Vorgehen im Umgang mit Fördermittelprogrammen (zum Beispiel KHZG, Transformationsfonds etc.)
• Einbindung von und Zusammenspiel mit Ministerien, Fördermittelbehörden und anderen Stakeholdern
Unsere Möglichkeiten im Konzernverbund – die Nutzung der verschiedensten Kompetenzen, das Netzwerk und das Know-how in der Organisation – sind hier ein wichtiger Erfolgsfaktor und Multiplikator.
Und zum Abschluss: Welche Entwicklungen im Zusammenspiel von Technologie, Finanzierung und medizinischer Versorgung sehen Sie auf uns zukommen? Was ist Ihre Vision für ein modernes, resilient aufgestelltes Klinikunternehmen in fünf Jahren?
Ich sehe die Entwicklungen im Zusammenspiel von Technologie, Finanzierung und Versorgung von Patientinnen und Patienten in Klinikunternehmen als vielfältig, komplex aber auch vielversprechend an. Warum ist das so?
Betrachten wir einmal die Technologie im Bereich der Telemedizin und Digitalen Gesundheitsanwendungen. Hier konnte ich einige interessante Ideen im Rahmen einer Weiterbildung der Harvard Medicine School zur künstlichen Intelligenz in Healthcare mitnehmen. Die Telemedizin wird zunehmend genutzt, um Spezialisten schnell zusammenzubringen und die Versorgung von Patientinnen und Patienten zu verbessern, insbesondere in ländlichen Gebieten. Digitale Gesundheitsanwendungen und digitale Pflegeanwendungen werden immer häufiger verschrieben und tragen zur Effizienzsteigerung bei.
Es gibt bereits einige KI-gestützte Analysen und Systeme, die genutzt werden, um Krankheitsmuster schneller und präziser zu erkennen. Dies führt zu
frühzeitigen und genaueren Diagnosen und verbessert die Qualität der medizinischen Versorgung. Es gibt jedoch auch KI-Lösungen, die dazu beitragen, die Arbeitsbelastung von Ärzten und Pflegekräften zu reduzieren, Stichwort: Einsatzplanung.
Robotik und Automatisierung von Prozessen werden eine große Rolle spielen. Wir setzen im Konzern neben Robotik in der Chirurgie, in der robotergestützte Operationen bei hochpräzisen Eingriffen durchgeführt werden können, auch in der Finanzbuchhaltung vermehrt Robotik ein, zum Beispiel für automatisierte Transaktionsverbuchungen
Über den lancierten Transformationsfonds des Gesundheitsministeriums sollen bis zu 50 Milliarden Euro zur Verfügung stehen, um die Klinikstrukturen zu modernisieren und die Digitalisierung im Gesundheitswesen zu fördern. Er soll Investitionsprogramme unterstützen, die darauf abzielen, die digitale Infrastruktur und die Ausstattung der Krankenhäuser zu modernisieren. Solche Investitionsprogramme werden entscheidend sein, um die Krankenhäuser fit für die Zukunft zu machen und eine flächendeckende Patientenversorgung zu gewährleisten.
Einen weiteren Aspekt habe ich in der Vergangenheit unter den Stichworten Personalized Medicine oder Personalized Healthcare kennengelernt. Die individuelle Versorgung von Patientinnen und Patienten rückt durch den Einsatz moderner Technologien mehr und mehr in den Fokus und nimmt zu. Die Anpassung der Behandlung an die Bedürfnisse der jeweiligen Person verbessert die Behandlungsergebnisse.
Aufbauend auf diesen Überlegungen enthält meine persönliche Vision eines modernen, resilient aufgestellten Klinikunternehmens folgende Bausteine:
• Konsequente Integration innovativer digitaler Technologien – immer mit dem Fokus darauf, die Menschen mitzunehmen.
• Effiziente und einfache Finanzierungsmodelle mit überschaubaren administrativen Auflagen (Stichwort Bürokratie) – die administrativen Kosten dürfen den wirtschaftlichen Nutzen nicht überschreiten.
• Patientenzentrierte Versorgungsstrategie – die Marktteilnehmer im Gesundheitsmarkt verstehen sich als Dienstleister für Patientinnen und Patienten und Gesellschaft.
• Attraktive Arbeitsbedingungen für Mitarbeitende – dazu gehören eine ansprechende Arbeitsumgebung, effektive Tools und Arbeitsmittel, gutes Talent- und Performance-Management, alles mit dem Ziel, attraktiv für Fachkräfte zu sein.
• Nachhaltige Unternehmensführung – Kliniken implementieren nachhaltige Praktiken, um ihre Umweltauswirkungen zu minimieren. Dies umfasst den Einsatz erneuerbarer Energien, die Reduzierung von Abfällen und die Förderung umweltfreundlicher Technologien.
Insgesamt wird ein modernes Klinikunternehmen in fünf Jahren ein hoch technologisiertes, finanziell stabiles und auf die behandlungssuchenden Menschen zentriertes Gesundheitszentrum sein, das in der Lage ist, den Herausforderungen der Zukunft zu begegnen und gemeinsam mit den Mitarbeiterinnen und Mitarbeitern eine erstklassige medizinische Versorgung zu bieten.
Norman Dittes Konzernbereichsleitung Finanzen, RHÖN-KLINIKUM AG
Norman Dittes ist aktuell als Head of Group Finance der RHÖN-KLINIKUM AG tätig. Er hat einen CPA, M. Sc. Accounting, Auditing and Taxation sowie einen LL.B. Business Law. Vor seiner Tätigkeit bei der RHÖN-KLINIKUM AG konnte er langjährige nationale und internationale Erfahrung im Bereich Finanzberichterstattung, Accounting, Kapitalmarkttransaktionen, Corporate Governance u.a. von privaten und börsennotierten Unternehmen in der Gesundheitsbranche inkl. Pharma und Medizintechnik sammeln. Er war hierbei als Wirtschaftsprüfer bei der Wirtschaftsprüfungsgesellschaft KPMG AG an den Standorten Basel (Schweiz) und Shanghai (China) tätig.
Thorsten Schrum Partner
Audit, Healthcare KPMG AG
Wirtschaftsprüfungsgesellschaft tschrum@kpmg.com
Rishabh Bargoti Manager
Audit, Healthcare KPMG AG
Wirtschaftsprüfungsgesellschaft rbargoti@kpmg.com
SCHWERPUNKT
INTERVIEW
Christian Dreher, Informationssicherheitsbeauftragter im Bundeswehrkrankenhaus Berlin, im Gespräch mit Julia Kaub, Partnerin, und Alexander Miller, Senior Manager, beide KPMG AG Wirtschaftsprüfungsgesellschaft
Ein Gespräch mit Christian Dreher über Informationssicherheitsstrategien, Awareness-Kampagnen und den Weg zu mehr Resilienz im Bundeswehrkrankenhaus Berlin.
Sie sind heute als Informationssicherheitsbeauftragter (ISB) im Bundeswehrkrankenhaus Berlin tätig. Was waren für Sie die prägenden Stationen oder Erfahrungen auf dem Weg dorthin?
Ich wurde von der Bundeswehr ausgebildet, erst zum Informatikkaufmann, dann zum IT-Professional und später zum Informatiktechniker. In meiner zwanzigjährigen Dienstzeit wurde ich aber bisher nie in der IT eingesetzt.
Zuvor war ich 7 Jahre lang als Presseoffizier tätig und als stellvertretender Ressortleiter für Social Media auch für viele technische Themen zuständig. Informationssicherheit spielte auch hier eine Rolle, insofern unterschiedliche Social-Media-Konten für verschiedene Leute genutzt wurden. Da habe ich mich das erste Mal mit Informationssicherheit beschäftigt und mit der Frage, wie wir die Strukturen sicherer machen können, damit die Bundeswehrvorschriften erfüllt werden.
All das fand ich grundsätzlich sehr spannend und es weckte mein Interesse, mich bei einem zukünftigen Wechsel in die IT primär mit Informationssicherheit zu beschäftigen.
Sie tragen die zentrale Verantwortung für die digitale Sicherheit einer militärischen Gesundheitseinrichtung. Was motiviert Sie persönlich, sich diesem anspruchsvollen Aufgabenfeld zu widmen?
Nach meiner Zeit als Presseoffizier und eigentlich schon während dieser Zeit wollte ich irgendwann in die IT wechseln. Anfang letzten Jahres hat sich mein Personalführer bei mir gemeldet und mir den Dienstposten als ISB im Bundeswehrkrankenhaus Berlin angeboten. Sowohl das Profil als auch das Umfeld hat mich sehr gereizt, weil die IT – im Unterschied zu einer Standarddienststelle der Bundeswehr – nicht komplett von der BWI, dem zentralen IT-Dienstleister der Bundeswehr, gemanagt wird. Hier im Krankenhaus habe ich dadurch einen deutlich größeren Handlungsspielraum.
Ich bin tiefer in der Materie drin, weil wir eine eigene Domäne betreiben, ein spannendes Feld, auf dem ich hier jeden Tag etwas Neues hinzulerne. Das gefällt mir.
Bundeswehrkrankenhäuser nehmen in militärischen Lagen eine doppelte Rolle ein: Sie sind medizinische Versorgungseinrichtungen und zugleich Teil der strategischen Infrastruktur. Wie verändert dieser Kontext Ihre Prioritäten im Bereich der Cyber- und Informationssicherheit?
Ich muss mit meinem Team immer hybrid denken, einerseits natürlich an die Strukturen der Bundeswehr, unsere Vorschriften – die A-960/1 Informationssicherheit, unsere Bibel – und dass wir nach dem Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) arbeiten, das ist unsere Hauptaufgabe. Andererseits sind wir ein Krankenhaus, in dem es zivile Vorgaben gibt (z.B. B3S Gesundheitbranchenspezifischer Sicherheitsstandard), die wir ebenfalls erfüllen müssen.
Der Bundeswehr ist bewusst, dass unser Krankenhaus nicht einfach eine Standarddienststelle ist, dass wir viele zivile Normen beachten müssen. Hier erhalten wir inzwischen deutlich mehr Unterstützung. Das gibt uns die Möglichkeit, die Maßstäbe, die außerhalb der Bundeswehr gelten, stärker in den Fokus zu rücken und ebenfalls im Blick zu behalten.
Das Zentrum für Cyber-Sicherheit der Bundeswehr (ZCSBw) spielt eine zentrale Rolle im Schutz der IT-Systeme. Wie arbeiten das ZCSBw und das Bundeswehrkrankenhaus Berlin in Fragen der Informationssicherheit zusammen?
Das ZCSBw ist natürlich die zentrale Dienststelle, die den umfassenden Schutz unserer IT-Systeme und -Services gewährleistet. Das mag auf der Arbeitsebene vielen gar nicht bewusst sein, aber sie ist im Hintergrund immer tätig. Nicht nur zur Unterstützung bei Penetrationstests oder Schwachstellenanalysen, sondern auch durch das Cyber Security Operations Centre der Bundeswehr (CSOCBw) – das Auge und Ohr unser Cybersicherheit. Alles, was über Informationssicherheitsvorkommnisse gemeldet wird, wird aufgenommen, ausgewertet und gegebenenfalls gleich bearbeitet.
Wir haben eigene Sicherheitsmaßnahmen im Haus, aber im CSOCBw werden wir gleich noch auf einer höheren Stufe gesichert. Eine kontinuierliche Systemanalyse unterstützt uns effektiv – etwa bei der frühzeitigen Erkennung nicht autorisierter Geräte.
Im Umkehrschluss können wir aber auch gleichzeitig selbst Meldungen an das CSOCBw machen, wenn wir hier direkt im Haus Auffälligkeiten beobachten. Wenn beispielsweise bemerkt wird, dass über bestimmte E-Mail-Adressen vermehrt Phishing-Angriffe erfolgen, dann können wir diese E-Mail-Adressen direkt melden und sperren lassen.
Von diesem zentralen Meldeportal profitiert nicht nur unsere Dienststelle, sondern die gesamte Bundeswehr, das nennt sich M@RVIN – ein Ticketsystem, dass uns bei der strukturierten Bearbeitung und Nachverfolgung von Informationssicherheitsvorkommnissen unterstützt. Wir profitieren von den Überwachungsmechanismen, die angeboten werden und die bei uns angeschlossen sind, und das CSOCBw profitiert von unseren Meldungen. Wenn die gesamte Bundeswehr die Meldewege einhält, können wir Phishing oder Angriffe, die bundesweit relevant sind, schnellstmöglich unterbinden, weil Maßnahmen des CSOCBw, wie zum Beispiel Zugangssperren, zentral für die gesamte Bundeswehr wirksam werden können.
In der Bundeswehr wird großer Wert auf präventive Maßnahmen gelegt, wie regelmäßige Sicherheitsinspektionen und Penetrationstests. Wie werden solche Maßnahmen konkret im Krankenhausalltag umgesetzt?
Es kommen regelmäßig Teams, die entsprechende Tests und Inspektionen durchführt und darüber einen Bericht mit Optimierungsvorschlägen erstellt, die von unserer Abteilung direkt umgesetzt werden können. Im Verbund mit der Medizintechnik und der KIS (Krankenhausinformationssystem) Koordination verteile ich die Aufgaben und wir stellen Mängel ab, um unser System weiter zu härten. Die Informationssicherheitsinspektion steht bei uns Ende des Jahres an. Die Vorbereitungen dazu haben allerdings schon angefangen, unter anderem auch mit der Unterstützung von KPMG im Auftrag der BWI. Die daraus entstehende Mängelliste zeigt aber in meinen Augen nicht wirkliche Mängel auf, sondern dient zur Unterstützung bei der kontinuierlichen Verbesserung unserer Informationssicherheit. Die Inspektion sehe ich weniger als Prüfung als vielmehr Unterstützung, die uns einen wertvollen Blick von außen auf unsere Systeme liefert.
[...] Die Menschen müssen Informationssicherheit nicht nur verstehen, sondern auch täglich anwenden.
Die Bedrohungslage im Cyberraum entwickelt sich ständig weiter. Welche aktuellen Herausforderungen sehen Sie für die Informationssicherheit im Bundeswehrkrankenhaus Berlin?
Neben dem ständigen Zyklus der Absicherung und Optimierung unserer Systeme, gibt es 2 Kernpunkte.
Erstens gibt es bei der Bundeswehr eine fortschreitende Digitalisierung, die den Klinikalltag erleichtert. Es gibt dazu spezielle Projekte, wie zum Beispiel für sogenannte Stand-alone-Geräte, bei denen man direkt am Gerät arbeiten muss und die bislang kaum Schnittstellen hatten. Diese werden derzeit ertüchtigt, um an das System angebunden zu werden – mit dem Ziel, den Arbeitsalltag zu erleichtern und relevante Daten direkt ins KIS zu übertragen. Dadurch können Informationen effizienter nachverfolgt werden, ohne dass sie mehrfach erfasst werden müssen.
Sobald Geräte mehr sind als einfache Stand-alone-Systeme, entsteht ein Sicherheitsrisiko. Die Herausforderung besteht darin, die technischen Vorgaben und die Absicherung in Einklang mit dem klinischen Alltag zu bringen. Das ist eines unserer größten Zukunftsprojekte, denn ich möchte einerseits, dass unser Haus so digital wie möglich wird, andererseits dürfen wir die Sicherheitsvorgaben, die wir erfüllen müssen, nicht vernachlässigen. Immer wieder stehe ich inmitten dieses Balanceakts.
Mir ist es wichtig, dass wir die Informationssicherheitsvorgaben so weit wie möglich einhalten. Und wo das nicht möglich ist, müssen wir Lösungen finden und dürfen nicht einfach sagen: „Das funktioniert
nicht.“ Nichts ist schlimmer, als wenn ich mir im „Elfenbeinturm“ etwas ausdenke, das den Klinikalltag so stark einschränkt, dass unsere Verwaltungsangestellten, Ärztinnen und Ärzte sowie das klinische Fachpersonal ihre Arbeit nicht mehr richtig machen können.
Der zweite zentrale Punkt ist die ständige Sensibilisierung der Mitarbeitenden. Sie sind einerseits das Einfallstor für sicherheitsgefährdende Vorfälle, aber gleichzeitig auch unsere erste Verteidigungslinie.
Wir bieten allen Mitarbeitenden daher Schulungen, jährliche Belehrungen, Awareness-Maßnahmen zu Phishing und spezielle Informationssicherheitstage, damit allen bewusst wird, wie wichtig dieses Thema ist. Vor Kurzem führte mein Bereich gemeinsam mit dem ZCSBw eine Phishing-Kampagne durch, um einen Aha-Effekt zu erzeugen und den Mitarbeitenden eindrücklich vor Augen zu führen, was passieren kann, wenn man unbedacht klickt.
Das ist der zweite große Kernpunkt: Die Menschen müssen Informationssicherheit nicht nur verstehen, sondern auch täglich anwenden.
Das Spannungsfeld zwischen Vorgaben der Bundeswehr, zivilen Vorgaben und der Medizintechnik ist unheimlich herausfordernd, aber faszinierend zugleich.
Sie agieren an der Schnittstelle zwischen Medizin, IT und militärischer Struktur. Welche Rahmenbedingungen – politisch, technisch oder personell – würden Ihrer Meinung nach die Resilienz im Gesamtsystem Bundeswehrkrankenhaus weiter stärken?
Das Spannungsfeld zwischen Vorgaben der Bundeswehr, zivilen Vorgaben und der Medizintechnik ist unheimlich herausfordernd, aber faszinierend zugleich. In gewisser Weise sind wir eine besondere Dienststelle, was inzwischen zunehmend erkannt wird. Wir gehören nicht zu den typischen Dienststellen der Bundeswehr – unsere IT gibt es so nur hier und in den anderen Bundeswehrkrankenhäusern. Dafür wurden nun neue Strukturen geschaffen.
Die Zukunft bringt Veränderungen mit sich, deswegen müssen Technik, Methoden und Verfahren in der Gesundheitsversorgung angepasst werden, zentral, aber auch mit Möglichkeiten der dezentralen Umsetzung.
Abschließend gefragt: Wenn Sie einen Wunsch für die Weiterentwicklung der Informationssicherheit im militärischen Gesundheitswesen frei hätten, worin würde er bestehen?
Der Anfang ist gemacht: Wir werden zunehmend in bestimmte Bereiche eingebunden und in Konzepte mit aufgenommen. Trotzdem habe ich den Wunsch, dass die Arbeitsebene mehr Kompetenzen zugesprochen bekommt.
Im Bundeswehrkrankenhaus Berlin stehen Expertinnen und Experten bereit – sowohl für den klinischen Alltag als auch für die Administration. Eine stärkere Einbindung und bessere Nutzung dieser Erfahrung würde viele Abläufe noch runder und effizienter gestalten.
Außerdem sollte gerade im Bereich der Gesundheitsversorgung mehr Fokus auf die zivilen Vorgaben gelegt werden, insbesondere auf den für die Gesundheitsbranche festgelegten branchenspezifischen Sicherheitsstandard (B3S).
Das wäre mein Wunsch. Und ich glaube, wenn das gelingt, kann ich das Thema Informationssicherheit in den nächsten Jahren hier deutlich voranbringen.
Christian Dreher
Informationssicherheitsbeauftragter im Bundeswehrkrankenhaus Berlin
Christian Dreher hat Ausbildungen als Informatikkaufmann und Informationstechniker sowie IT-Professional. Im Jahr 2006 ist er bei der Bundeswehr eingetreten und wurde im Jahr 2014 Offizier im militärfachlichen Dienst. Von 2017 bis 2024 war Herr Dreher Presseoffizier Redaktion der Bundeswehr. Christian Dreher ist seit 2024 Informationssicherheitsbeauftragter des Bundeswehrkrankenhauses in Berlin.
Julia
Kaub Partnerin
Regulatory Advisory, Public Sector & Healthcare
KPMG AG
Wirtschaftsprüfungsgesellschaft jkaub@kpmg.com
Alexander Miller
Senior Manager
Regulatory Advisory, Public Sector & Healthcare
KPMG AG
Wirtschaftsprüfungsgesellschaft alexandermiller@kpmg.com
SCHWERPUNKT
ERFAHRUNGSBERICHT
Dr. Matthias Keilen, Vorstand Medizin, Bezirkskliniken Mittelfranken im Gespräch mit Julia Kaub, Partnerin, KPMG AG Wirtschaftsprüfungsgesellschaft und Sebastian Hoegl, Senior Manager, KPMG Law Rechtsanwaltsgesellschaft mbH
Dr. Matthias Keilen über Krisenmanagement, digitale Resilienz und die strategische Neuausrichtung nach einem Hackerangriff.
Die Bezirkskliniken Mittelfranken sind eines der größten Klinikunternehmen der Region mit einem umfassenden Versorgungsauftrag, insbesondere in den Bereichen Psychiatrie, Psychosomatik, Neurologie und Geriatrie.
Wir übernehmen in Bayern im Auftrag der Bezirke vor allem die psychiatrische Voll- und Pflichtversorgung. Das entbindet uns jedoch nicht davon, eine moderne, zeitgemäße Medizin sicherzustellen. Der Begriff Versorgungsauftrag klingt häufig nach Stagnation –tatsächlich ist jedoch das Gegenteil der Fall. Die Menschen erwarten heute eine andere Form der Versorgung als noch vor 20 Jahren.
Für uns bedeutet das insbesondere, dort Angebote zu schaffen, wo die Menschen sind. Daher bauen wir die stationäre Versorgung zunehmend ab und setzen verstärkt auf wohnortnahe, aufsuchende, ambulante und tagesklinische Angebote. Diese Entwicklung bringt zahlreiche Herausforderungen mit sich. Unsere Mitarbeitenden müssen nicht nur mobil sein, sondern auch mobil arbeiten können. Die Standorte müssen vernetzt werden, ebenso wie die Mitarbeitenden selbst. Darüber hinaus müssen Informationen jederzeit online und in Echtzeit zur Verfügung stehen – insbesondere auf die Patientinnen und Patienten bezogene Daten. Die Digitalisierung gewinnt daher zunehmend an Bedeutung.
Ein zentrales Thema – insbesondere mit Blick auf den Datenschutz – ist die aktive Einbindung der Patientinnen und Patienten in digitale Systeme. Dies stellt eine große Chance dar und ist zugleich eine erhebliche Herausforderung. Der zunehmende Fachkräftemangel zwingt uns, digitale Lösungen wie Apps oder KI-basierte Anwendungen stärker in die Versorgung zu integrieren. Dabei stellt sich die Frage, welche Daten den zu versorgenden Menschen gehören und welche den Versorgungseinrichtungen – eine klare Abgrenzung ist erforderlich.
Die Rolle der digitalen Transformation und Resilienz in der medizinischen Strategie
Digitale Strukturen und digitale Resilienz sind Begriffe, mit denen wir uns vor zehn Jahren im Versorgungskontext noch kaum beschäftigt haben. Heute erleben wir durch die technischen Möglichkeiten – insbesondere durch künstliche Intelligenz (KI), Vernetzung, Informationsweitergabe und Informationsverarbeitung – eine regelrechte Revolution in der Versorgung.
Prof. Dr. Alena Buyx, ehemals Vorsitzende des Deutschen Ethikrats, stellte im Rahmen der Messe ConSozial 2024 eine beauftragte Studie zur Nutzbarmachung von KI vor. Ihr Fazit bestätigte, was
viele Studien – vor allem aus dem angloamerikanischen Raum – bereits nahelegen: Patientinnen und Patienten wissen häufig nicht, dass sie im therapeutischen Kontext mit einer KI kommunizieren. Dabei handelt es sich um hochaktive Prozesse innerhalb einer digitalisierten Therapie. Ein zentrales Thema ist daher die informierte Einwilligung: Die Patientin beziehungsweise der Patient muss wissen, dass eine KI zum Einsatz kommt, und dem auch zustimmen. Diejenigen, die die Technologie einsetzen, sind wiederum verpflichtet, umfassend darüber zu informieren.
Die Nachfrage nach psychischen Gesundheitsleistungen übersteigt heute bereits deutlich das verfügbare Angebot an qualifiziertem Personal. KI-basierte Systeme eröffnen hier neue Chancen: Sie können in Echtzeit analysieren, wie wach oder aufmerksam eine Person ist, welche Mimik sie zeigt oder ob sprachlich Anzeichen von Aggression oder Kontrollverlust auftreten. Daraus ergeben sich Chancen für frühzeitige Interventionen. Während ein regulärer Therapietermin alle zehn Tage stattfindet, kann ein mobiles Gerät mehrfach täglich Daten erheben – etwa über Kameraaufnahmen, die Veränderungen in Ausdruck, Verhalten oder Stimmung dokumentieren.
Das eröffnet einerseits neue therapeutische Möglichkeiten – vor allem für ländliche Regionen oder Menschen ohne Zugang zu persönlicher Versorgung. Andererseits entsteht ein erhebliches Risiko, insbesondere wenn passive Daten ohne Wissen oder Kontrolle der Betroffenen genutzt werden.
Die Herausforderung der Zukunft liegt daher weniger in der Nutzung aktiv erfasster Informationen, sondern in der ethisch verantwortungsvollen Verwendung passiver Daten.
Derzeit ist die Situation sehr schwierig. Wenn die Nutzerinnen und Nutzer nicht mehr erkennen können, wer eine Leistung anbietet und welche Ziele damit verfolgt werden, wird es ihnen nicht gelingen, entsprechend zu differenzieren. Es fehlt die Kompetenz, eine kritische Einordnung vorzunehmen – also jederzeit zu hinterfragen: Wer stellt mir welche Informationen oder Leistungen zur Verfügung und mit welchem Zweck?
Die ethische Frage der Digitalisierung lautet daher: Wer kontrolliert das Ganze? Es geht nicht nur darum, digitale Resilienz auf Produktebene herzustellen, sondern auch um die Resilienz der anwendenden Gesundheitseinrichtungen selbst.
Lassen Sie mich einen vielleicht nicht direkt nachvollziehbaren Vergleich ziehen: Über viele Jahre hinweg galt die Patientin bzw. der Patient gegenüber Ärztinnen und Ärzten als kommunikationsunterlegen.
Grund dafür war der immense Informationsunterschied – bedingt durch ein langjähriges Studium, die fachärztliche Ausbildung und zahlreiche Weiterqualifikationen. Wer ärztlichen Rat suchte, konnte daher im Gespräch nicht auf Augenhöhe wahrgenommen werden.
Diese Asymmetrie wurde in Teilen zwar nivelliert, doch am Ende folgen Patientinnen und Patienten in der Regel dennoch den ärztlichen Empfehlungen – die medizinische Autorität bleibt bestehen.
In der Digitalisierung zeigt sich eine ähnliche Dynamik: Diejenigen, die digitale Anwendungen entwickeln und in Umlauf bringen, sind auch verantwortlich für die Bewertung von Chancen, Risiken und ethischen Fragen. Es reicht nicht, ein Produkt nur technisch zu zertifizieren – auch eine inhaltliche und ethische Evaluation muss erfolgen. Dabei sollten insbesondere Missbrauchsmöglichkeiten systematisch geprüft werden. Die zuständigen Genehmigungsstellen müssen diese Fragen aufgreifen und entsprechende Zulassungen erteilen oder Nachbesserungen einfordern.
Gesundheitseinrichtungen, die solche Anwendungen nutzen, sind verpflichtet, sich an die bestehenden rechtlichen und ethischen Rahmenbedingungen zu halten. Gleichzeitig sind die Endnutzenden erneut in einer vergleichbaren Situation wie früher die Patientinnen und Patienten: in einer deutlichen Informationsunterlegenheit. Viele Menschen laden sich Gesundheits-Apps herunter, akzeptieren Datenschutzrichtlinien, ohne sie zu lesen, und nutzen die Anwendungen, ohne deren Funktionsweise oder Risiken zu kennen.
Daher müssen wir die Verantwortung auf mehreren Ebenen betrachten: Natürlich sollte der oder die Einzelne auf Risiken hingewiesen werden – regelmäßig und verständlich. Doch rechtliche und technische Schutzmaßnahmen müssen vor allem „von oben nach unten“ wirken, also entlang geregelter Genehmigungsund Prüfverfahren. Denn wer die App nutzt, merkt im Zweifel nur, dass bestimmte Werbung häufiger auf dem Display erscheint oder bestimmte Inhalte im Briefkasten landen – ohne den Zusammenhang mit der App zu erkennen.
Das entbindet zwar niemanden von der persönlichen Verantwortung, sich kritisch mit digitalen Angeboten auseinanderzusetzen. Doch ideal wäre ein gemein-
sames Plattformangebot von den Institutionen der Gesundheitsversorgung – vertrauenswürdig, reguliert und transparent.
27.01.2024 – You‘ve been hacked!
Ich verwende hier gerne das Bild aus dem Film Sully. Sie alle kennen die Szene der Anhörung. Darin erklärt Tom Hanks – in seiner Rolle als Pilot –, dass die Piloten im Simulator die Rückkehr zum Flughafen nur deshalb geschafft haben, weil sie im Vorfeld wussten, was auf sie zukommt. Sie konnten direkt nach einem festen Schema handeln, basierend auf bekannten Abläufen aus dem „Playbook“.
Im realen Fall hingegen hatten die Piloten zunächst eine Phase der Analyse – sie mussten erst erfassen, was überhaupt geschehen war. Als man den Simulatorversuchen später 30 Sekunden Reaktionszeit hinzufügte – die sogenannte Erkenntnisphase –, scheiterte jeder Versuch, das Flugzeug sicher zurückzuführen. Alle Simulationen endeten mit einem Absturz.
Zwei zentrale Erkenntnisse lassen sich aus dieser Szene ableiten: Erstens – bei einem groß angelegten Angriff, gleich welcher Art, wird es im Nachgang immer Menschen geben, die von den Verantwortlichen Erklärungen verlangen. Als Vorstandsmitglied müssen Sie also von der ersten Minute an wissen, wo Ihr Unternehmen steht, welche Schritte eingeleitet werden müssen und welches Playbook im Krisenfall gilt. Zweitens – in der akuten Phase wissen Sie zu Beginn meist nicht, wie groß das Ausmaß tatsächlich ist. Ein Cyberangriff verläuft nicht nach dem Muster: Rechner ausgefallen – Maßnahmenkatalog starten. Vielmehr ist es ein sukzessiver, schwer greifbarer Vorgang. So war es auch bei uns.
Am Samstagmorgen um 6:45 Uhr meldete die Pforte, dass sie sich nicht mehr im AHP-System, also der Zugangssoftware unserer Cloud anmelden konnte. Für ein kommunales Unternehmen des Bezirks Mittelfranken mag das zunächst keine außergewöhnliche Meldung sein – solche IT-Störungen kommen vor. Entsprechend verhalten fiel auch die erste Reaktion aus.
Auf einigen wenigen Rechnern erschien zudem die Meldung „You‘ve been hacked“. Dies führte zunächst nur zu einem Anruf bei der IT. Auch dort war das Ausmaß zunächst unklar. Es dauerte rund zwei Stunden, bis sich ein ernsthafter Verdacht konkretisierte. Die Krisenleitung wurde informiert, aber man ging anfangs noch von einem isolierten Office-Problem oder einem Cloud-Ausfall aus.
Gegen 11:00 Uhr wurde schließlich die Polizei hinzugezogen. Um 12:00 Uhr war die Cybercrime-Unit gemeinsam mit unserer IT vor Ort. Erst ab etwa 15:00 Uhr war klar: Es handelte sich um einen gezielten Hackerangriff – das Ausmaß war erheblich.
An dieser Stelle kommt erneut die Sully-Szene ins Spiel: Sie müssen sich frühzeitig darüber im Klaren sein, dass Sie Rechenschaft ablegen werden müssen. Deshalb gehört zur Notfallstrategie nicht nur die Aufrechterhaltung des Geschäftsbetriebs, sondern auch ein klar geregeltes Verfahren, welche Aktiven in welcher Reihenfolge informiert werden müssen – neben Polizei und Generalstaatsanwaltschaft auch weitere zuständige Ministerien und Behörden.
Wir verfolgen eine klare Haltung: Wir verhandeln nicht mit Erpressern.
Zwischen der ersten Störungsmeldung um 7:00 Uhr und der vollständigen Erkenntnis um 15:00 Uhr lag also eine kritische Latenzphase. In dieser Zeit ist es entscheidend, dass Behörden und beteiligte Parteien rasch eingebunden werden. Da wir im Auftrag des Freistaats forensische Kliniken betreiben, gelten wir als Teil der kritischen Infrastruktur. Entsprechend schnell standen das Innenministerium und die zuständigen Behörden mit uns in Kontakt.
In unserem Fall haben wir zudem unsere Wirtschaftsprüfungsgesellschaft eingebunden – mit einem spezialisierten IT-Zweig. Sie konnten belegen, dass auch bei ausgefallenen IT-Systemen finanzielle Vorgänge (zum Beispiel Rechnungen) eindeutig zugeordnet und geprüft werden können. So war sichergestellt, dass auch der Jahresabschluss trotz der Störung ordnungsgemäß erfolgen konnte.
Ihr Krisenhandbuch – Ihr Playbook – muss an das jeweilige Ausmaß der Krise angepasst sein. Es muss medizinische Abläufe ebenso abdecken wie Kommunikationsprozesse, die Beziehungen zu Geschäftspartnern und auch die Anforderungen aus § 1 des Unternehmensstabilisierungs- und -Restruktu-
rierungsgesetzes (StaRUG): die jederzeitige Transparenz über den Zustand der Geschäftsprozesse. Auch wenn das bei einem kommunalen Unternehmen teilweise noch analog erfolgt, müssen diese Prozesse vorgedacht und dokumentiert sein.
Entscheidend ist nicht allein das Agieren in der Krise, sondern das Reagieren im Vorfeld. Was sind potenzielle Krisenszenarien? Wie bereiten wir uns darauf vor?
Wir waren vorbereitet. Bereits 2016 waren wir von einem kleineren Angriff durch die Schadsoftware Locky betroffen. Seitdem haben wir unsere Prozesse stetig weiterentwickelt und Krisenszenarien als festen Bestandteil unserer Unternehmensstrategie verankert – auch wenn die konkrete Ausprägung des Angriffs in diesem Ausmaß nicht vorhersehbar war.
hohes Risiko, dass sich die Hacker sogenannte Backdoors eingerichtet haben – also verdeckte Zugangsmöglichkeiten, mit denen sie auch Monate oder Jahre später erneut ins System eindringen können. Ein Neuaufbau reduziert dieses Risiko signifikant.
Gleichzeitig bot sich die Möglichkeit, unsere IT-Infrastruktur grundlegend zu modernisieren. In großen Unternehmen ist die IT-Landschaft häufig über Jahre organisch gewachsen. Was gestern gut war, ist heute möglicherweise nicht mehr zeitgemäß. Daher haben wir beschlossen, geplante Investitionen vorzuziehen und unsere gesamte IT zukunftsfähig aufzustellen.
Erst wenn alles lahmgelegt ist, wird sichtbar, welche Prozesse bereits vollständig digitalisiert waren [...]
Unsere Haltung: Wir lassen uns nicht erpressen!
Nach einem Cyberangriff stellt sich sehr schnell eine zentrale Frage: zahlen oder nicht zahlen. Diese Entscheidung muss auf Ebene des Vorstands und der Geschäftsführung getroffen werden – wohlwissend, dass eine Zahlung, die nicht offen kommuniziert wird, juristisch problematisch ist. Denn in einem solchen Fall macht man sich unter Umständen der Mittäterschaft schuldig, da man ein kriminelles Vorgehen aktiv unterstützt. Diese Konsequenz muss man sich vor Augen führen.
Wir verfolgten eine klare Haltung: Wir lassen uns nicht erpressen und verhandeln nicht. So haben wir uns bewusst gegen eine Kommunikation mit den Angreifenden entschieden. Wir haben die Angebote auf den Tor-Webseiten der Hacker nicht einmal aufgerufen. Stattdessen haben wir uns für den vollständigen Neuaufbau unserer IT entschieden.
Warum der Neuaufbau? In jeder Krise liegt auch eine Chance. Hätten wir gezahlt und unsere Systeme einfach wieder ans Netz genommen, bestünde ein
Unsere Strategie: Wir konnten mithilfe unserer Notfallprozesse das Tagesgeschäft weitgehend aufrechterhalten. Gleichzeitig verfolgten wir ab Tag 1 konsequent den Wiederaufbau. Dazu gehörte auch die Entscheidung, welche Altdaten übernommen werden sollten. In der forensischen Analyse stellte sich heraus, dass die Hacker bereits Anfang Dezember – also rund sechs Wochen vor der eigentlichen Entdeckung des Angriffs – ins System eingedrungen waren.
Folglich haben wir Daten bis Ende November genutzt, gesichert und in das neue System übertragen. Der Neuaufbau der IT wurde bis April abgeschlossen. In der Zwischenzeit arbeiteten wir mit analogen Notfallprozessen weiter, um den laufenden Betrieb sicherzustellen.
Digitale Resilienz umfasst nicht nur Technik, sondern auch Kultur und Führung. Wie schaffen Sie es, Ihre Mitarbeitenden in dieser Phase des Umbruchs aktiv mitzunehmen?
Entscheidend in der Krisensituation: Transparenz
Mitarbeitende in einer Krise mitzunehmen, gelingt gut, wenn man Transparenz schafft. Die klare Haltung der Unternehmensleitung – gemeinsam mit der Politik –, bei Erpressung nicht zu verhandeln, stieß bei unseren Mitarbeitenden auf breite Zustimmung. Bereits am Sonntag hatten wir alle zentralen Schritte für den IT-Neuaufbau geplant und die relevanten politischen Beteiligten eingebunden. Schon am Samstagabend – noch bevor die Tragweite der Situation öffentlich bekannt wurde – überlegten wir, wie wir die Kommunikation gestalten und die Mitarbeitenden gezielt einbinden können.
Für Montagmorgen bereiteten wir gemeinsam mit unserer Leiterin Marketing und Kommunikation eine direkte Ansprache an die Belegschaft vor. In der Folge hatten wir so gut besuchte Mitarbeitendenversammlungen an allen Standorten und Außenstellen wie nie zuvor. Wir reisten im Team von Standort zu Standort und informierten transparent über unsere Pläne – einschließlich der Tatsache, dass wir keine Lösegeldzahlung vornehmen würden. Dabei haben wir ganz offen die Frage gestellt: „Wenn ihr möchtet, dass wir einen anderen Weg gehen, etwa doch zahlen, dann denken wir darüber nach – denn die Last des analogen Arbeitens tragt ihr.“
Die Rückmeldung war eindeutig: Unsere Mitarbeitenden standen geschlossen hinter der Entscheidung, nicht mit Kriminellen zu verhandeln. Diese Haltung allein genügt jedoch nicht. Man muss die Beschäftigten regelmäßig über die Fortschritte informieren und sie aktiv einbinden. Wir arbeiteten mit einer einfachen Zeitstrahlgrafik, die die Wiederherstellung der Kernsysteme bis April abbildete. Sie wurde in regelmäßigen Informationsformaten eingesetzt, um deutlich zu machen, wo wir im Prozess stehen und welche Hürden aufgetreten sind.
Eine Krise zeigt auch, was bereits da ist. Ein Einbruch in den privaten Wohnraum beispielsweise lässt einen plötzlich erkennen, welchen materiellen Wert man hatte – obwohl man vorher dachte, es sei nicht viel. Ähnlich verhält es sich bei einem Cyberangriff: Erst wenn alles lahmgelegt ist, wird sichtbar, welche Prozesse bereits vollständig digitalisiert waren und was plötzlich nicht mehr funktioniert.
Besonders kritisch war dabei die Lohnabrechnung. Der Angriff traf uns am Samstag, dem 24. Februar. Glücklicherweise war die Lohnabrechnung für Februar bereits am Freitag abgeschlossen worden. Das verschaffte uns zunächst etwas Ruhe.
In der Folge leisteten viele Mitarbeitende enorme Unterstützung, indem sie manuell erfasste Zeiten bei einem externen Anbieter nachtrugen, da die digitalen Systeme nicht mehr nutzbar waren. Dabei wurde allen bewusst, wie weitreichend die Digitalisierung bereits ist: Der Dienstplan ist digital, An- und Abmeldungen am Arbeitsplatz werden automatisch erfasst und mit Zuschlägen verrechnet, was wiederum in die Lohnabrechnung einfließt. Fällt dieses System aus, muss alles per Hand erfolgen – ein erheblicher Aufwand.
Das Gehalt pünktlich zu zahlen, war ein zentraler Hygienefaktor – und hat maßgeblich zur Akzeptanz beigetragen. Gleichzeitig wurde vielen erst in dieser Situation klar: Auch wenn das Gesundheitswesen oft als „wenig digital“ gilt – unsere Geschäftsprozesse sind es sehr wohl.
Eine unerwartete Dynamik zeigte sich im Zuge der Transformation: die Rolle der jüngeren Generation. Ältere Mitarbeitende – mich selbst eingeschlossen – sind im Gesundheitswesen sozialisiert worden mit Technologien, die vor allem als Hilfsmittel zur Textverarbeitung dienten. Digitale Anwendungen wurden eher als lästige Pflicht wahrgenommen, meist im Kontext von Dokumentation und Abrechnung. Auch viele unserer Führungskräfte gehören dieser Generation an und waren gegenüber digitalen Veränderungen zurückhaltend – nicht zuletzt, weil wir keine „Digital Natives“ sind.
Die jungen Mitarbeitenden hingegen bringen andere Erwartungen mit. Für sie ist eine papiergebundene Dokumentation oder die fehlende Echtzeitverfügbarkeit von Informationen nicht zeitgemäß. Sie erwarten moderne Lösungen – etwa die Möglichkeit, bei kurzfristigem Dienstausfall direkt über eine App mit Chatfunktion Ersatz zu organisieren. Was für uns selbstverständlich war, empfinden sie als unpraktisch oder gar absurd veraltet.
Diese Generation fordert neue Arbeitsweisen aktiv ein – und wenn man sie lässt, können sie auch ältere Beschäftigte mitnehmen. Deshalb haben wir ein eigenes Programm mit sogenannten Veränderungsbegleitern eingeführt. Diese jungen Mitarbeitenden nehmen ihre Kolleginnen und Kollegen mit ins Boot, ohne Widerstand hervorzurufen – im Gegenteil: Es entsteht Offenheit und gegenseitiger Respekt. Auch in der Führung haben wir dadurch gelernt, die Jüngeren ernster zu nehmen. Sie bringen Fähigkeiten mit, die vielen Älteren schlicht fehlen.
Hierarchie bleibt dabei bestehen – insbesondere im Gesundheitswesen –, doch die Art der Kommunikation verändert sich. Die Digitalisierung wird zum gemeinsamen Thema, über das generationsübergreifend gesprochen wird. Alte Widerstände lösen sich auf.
Fazit: Die Transformation ist nicht mehr aufzuhalten. Während vor fünf Jahren noch gefragt wurde, „Wozu brauchen wir Digitalisierung?“, herrscht heute Einigkeit: „Wir wollen die digitale Welt zurück“. Bei einem früheren Angriff im Jahr 2016 gab es noch eine gewisse Erleichterung unter den Mitarbeitenden – endlich wieder wie früher zu arbeiten. Diese Haltung ist heute verschwunden. Digitalisierung wird nicht mehr infrage gestellt – sie ist zur Grundvoraussetzung geworden.
Medizin basiert auf Vertrauen – digitalisierte Medizin auf Datensicherheit
Medizin basiert auf Vertrauen. Ich bin selbst Arzt und muss mir stets bewusst machen, was mir Patientinnen und Patienten anvertraut haben – etwa über ihren Gesundheitszustand. Dieser Teil der Kommunikation ist absolut vertraulich und darf niemals nach außen dringen. Im Bereich der psychischen Gesundheit gilt dies in besonderem Maße. Man könnte mit gezielten Datenlecks – etwa zu einer Suchterkrankung oder emotionalen Instabilität – nicht nur das Leben Einzelner ruinieren, sondern auch politische Karrieren zerstören oder Wahlausgänge beeinflussen.
Gerade deshalb hat der Schutz medizinischer Daten eine besondere Bedeutung. Gleichzeitig müssen diese Daten aber ortsunabhängig verfügbar sein. Wenn mir im Urlaub etwas zustößt, wünsche ich mir, dass der Notarzt oder die Notärztin unmittelbar über meine elektronische Patientenakte auf relevante Informationen zugreifen kann – etwa zu Vorerkrankungen oder aktueller Medikation.
Das bedeutet: Digitale Systeme müssen so gestaltet sein, dass sie einerseits die Verfügbarkeit gewährleisten, andererseits aber höchste Vertraulichkeit wahren, besonders im Bereich psychischer Erkrankungen. Deshalb müssen diese Systeme ein Höchstmaß an Sicherheit bieten.
Hierzu eine kritische Anmerkung: Ich glaube nicht, dass es uns – angesichts eines unterfinanzierten Gesundheitswesens – in jeder Klinik oder ärztlichen Praxis gelingt, diese Sicherheitsstandards flächendeckend einzuhalten. Die Dunkelziffer von Fällen, in denen Einrichtungen gehackt wurden und anschließend gezahlt haben, ohne dies öffentlich zu machen, ist vermutlich sehr hoch.
Die Vertraulichkeit der Informationen ist zentral für die medizinische Versorgung. Und genau darin liegt die große Herausforderung: Der Schutz dieser Daten ist essenziell, doch unter den aktuellen finanziellen Rahmenbedingungen wird er vielerorts nicht realisierbar sein. Dafür braucht es andere, übergeordnete Konzepte.
Wie erreichen wir Cybersicherheit im Gesundheitswesen?
Ludwig Erhard wurde einmal mit den Worten zitiert: „Qualität ist einfach das Anständige.“ Das Problem dabei: Was als „anständig“ gilt, definiert jeder für sich – und somit auch, was Qualität bedeutet. Genau hier braucht es einen klaren Rahmen.
Eine nationale Initiative – ohne den Föderalismus infrage zu stellen – müsste verbindliche Anforderungen formulieren, etwa in Form von Sicherheitsstandards, die Kliniken verpflichtend einhalten müssen. Gleichzeitig müssten diese Standards auch finanziell unterstützt werden. Aktuell sind Einrichtungen gezwungen, mit verschiedenen Betriebssystemen und individuell beschafften Softwarelösungen eigene Patch-Management-Prozesse zu organisieren. Diese müssen im Zweifel von den jeweiligen Landesdatenschutzbeauftragten genehmigt werden. Das bedeutet: Bei jeder Aktualisierung durch das herstellende Unternehmen müssen Kliniken prüfen, ob und wie diese sicherheitsrelevanten Updates in ihre Systeme integriert werden können – ein enormer Aufwand.
Viele Häuser haben heute schon Schwierigkeiten, eine IT-Verfügbarkeit rund um die Uhr sicherzustellen – allein um Supportanfragen zeitnah zu bearbeiten. In vielen Kliniken ist es noch immer üblich, dass die IT-Abteilungen freitags um 13 Uhr ins Wochenende gehen. Wenn dann etwa ein Krankenhausinformationssystem (KIS) am Freitagabend ausfällt, fehlt häufig die technische Redundanz – die Dokumentation erfolgt dann notgedrungen auf Papier bis Montagmorgen. Im Ernstfall kann dies gravierende Folgen haben. Denn: Wenn ein Hacker die Systeme am Freitag um 13:30 Uhr angreift, hat er bis Montagmorgen freie Bahn.
Deshalb braucht es klare, nationale Zielvorgaben für die IT-Sicherheit im Gesundheitswesen – nicht nur konzeptionell, sondern auch dauerhaft finanziell abgesichert. Kurzfristige Programme wie das Krankenhauszukunftsgesetz (KHZG) greifen zu kurz. Wenn wir über die elektronische Patientenakte sprechen und darüber, medizinische Daten künftig nicht nur für die Versorgung, sondern auch für anonymisierte Forschung nutzbar zu machen, dann muss die Sicherheit dieser Daten auch gemeinschaftlich gewährleistet sein – im Interesse der Bürgerinnen und Bürger, nicht nur der Krankenkassen.
Eine übergeordnete, staatlich koordinierte Sicherheitsstruktur könnte nicht nur effektiver, sondern auch wirtschaftlicher sein. Derzeit müssen Kliniken und Praxen mit ihren knappen Budgets individuell entscheiden, ob sie beispielsweise in Cybersicherheit investieren oder ein undichtes Dach in den Zimmern
der Patientinnen und Patienten sanieren. Ein solcher Zielkonflikt darf nicht entstehen. Es braucht eine eigenständige, gesicherte Finanzierungslinie für Cybersicherheit im Gesundheitswesen.
Darüber hinaus stellen sich – im Sinne eines globalen Denkens – auch die Fragen: Wo befinden sich unsere Daten eigentlich? Wo werden sie gehostet? Und könnten wir sie – unter Einhaltung strenger Datenschutzvorgaben – nicht auch international für Forschung besser nutzen?
Ein Beispiel liefert Frankreich: Dort gibt es ein landesweit einheitliches KIS, das national organisiert und finanziert ist. Die Daten sind national verfügbar, was allen Patientinnen und Patienten zugutekommt – unabhängig davon, ob sie in Paris, Montpellier oder Bordeaux leben. Deutschland könnte sich an einem solchen Modell orientieren und über ein gemeinsames System auf EU-Ebene nachdenken. Der Mehrwert für Versorgung, Sicherheit und Forschung wäre enorm.
Deshalb habe ich eingangs auf Ludwig Erhard verwiesen: „Qualität ist einfach das Anständige.“ In der Automobilbranche sehen wir, wie so etwas umgesetzt werden kann. Je nachdem, welches Dienstfahrzeug Ihnen beispielsweise von einem Unternehmen zur Verfügung gestellt wird, haben Sie verschiedene Möglichkeiten: Sie können zu einer Werkstattkette gehen, zu Ihrem „Schrauber um die Ecke“ oder zur markengebundenen Fachwerkstatt.
Letztere bieten häufig die höchsten Sicherheitsstandards – inklusive der aktuellen Updates des Herstellungsunternehmens. Diese Entscheidung trifft man meist nicht nur aus Kostengründen, sondern auch mit dem guten Gefühl, dass dort aktuelle Daten zum Fahrzeug vorliegen und man gut aufgehoben ist.
Übertragen auf das Gesundheitswesen heißt das: Warum sollte nicht auch der Staat – etwa über das Bundesministerium für Gesundheit – eine vergleichbare Verantwortung übernehmen? Wir sollten den Anspruch haben, unsere Bürgerinnen und Bürger bestmöglich zu schützen, gleichzeitig die medizinische Forschung auf eine solide Datenbasis zu stellen und gezielt in die Cybersicherheit des Gesundheitswesens zu investieren.
In den Bezirkskliniken Mittelfranken haben wir in den letzten Jahren erheblich in IT-Sicherheit investiert. Wir haben Sicherheitstechnologien im Wert von rund zwei Millionen Euro beschafft – Systeme, die gerade in der Implementierung waren, als der Angriff erfolgte. Wir haben also frühzeitig investiert – und dennoch wurde uns aufgezeigt, wie verletzlich selbst gut aufgestellte Systeme sein können.
Angesichts dieser Summen stellt sich zwangsläufig die Frage: Wie soll ein kleines Unternehmen das leisten? Diese Einrichtungen haben häufig weder das Personal noch die finanziellen Ressourcen. Die duale Krankenhausfinanzierung, wie wir sie heute kennen, funktioniert schon nicht zuverlässig. Eine triale Finanzierung – etwa für zusätzliche Anforderungen wie Nachhaltigkeitsberichterstattung, Lieferkettensorgfaltspflichten oder Cybersicherheit – existiert nicht. Es gibt schlicht keine dauerhafte, zweckgebundene Finanzierungsgrundlage für diese Themen.
Wenn wir einen Schritt zurücktreten: Die Entwicklungen rund um KI und die digitale Revolution gehören vermutlich zu den tiefgreifendsten Umwälzungen, die die Menschheit je erlebt hat – und das in einer Geschwindigkeit, die kaum noch nachvollziehbar ist.
Wenn ich das einzelne Krankenhaus mit den hochprofessionell organisierten, finanziell gut ausgestatteten Hackergruppen vergleiche – dann wird das Missverhältnis sehr deutlich. Und diese Gruppen handeln oft nicht allein: In vielen Fällen bestehen plausible Verbindungen zu staatlichen Akteuren, zumindest aber zu Staaten, die derartige Aktivitäten dulden oder gezielt instrumentalisieren.
Deshalb habe ich große Zweifel, dass einzelne Kliniken – oder auch einzelne Länder – diesen Herausforderungen langfristig gewachsen sein können. Genau aus diesem Grund plädiere ich nicht nur für eine nationale, sondern ausdrücklich auch für eine europäische Initiative zur Cybersicherheit im Gesundheitswesen.
Die Bezirkskliniken verstehen die aktuelle Krise auch als Chance, bestehende Strukturen neu zu denken. Wie sieht Ihre digitale Vision für eine vernetzte, sichere und auf die Versorgung der Patientinnen und Patienten zentrierte Versorgung in fünf Jahren aus?
Die Digitalisierung in der Medizin 2030
Die zentrale Frage lautet für mich: Haben wir in fünf Jahren eine Austauschplattform, auf der Patientinnen und Patienten ihre Gesundheitsdaten nicht nur passiv speichern, sondern aktiv und eigenverantwortlich zur Verfügung stellen können, oder nicht?
Ich bin überzeugt: Die Zukunft liegt in Systemen, in denen die Patientinnen und Patienten die volle Hoheit über ihre Daten behalten. Sie entscheiden selbst, welche Informationen sie freigeben möchten. Gleichzeitig müssen diese Daten für Kliniken orts- und zeitunabhängig in Echtzeit abrufbar sein – überall und jederzeit.
Diese Art der Vernetzung ist für mich der Schlüssel: eine Versorgung, die auf Echtzeitdaten basiert, ohne die Patientinnen und Patienten zu entmündigen. Kliniken greifen nur auf jene Informationen zu, die für Diagnostik, Therapie oder Sicherheit tatsächlich benötigt werden.
Für die Bezirkskliniken Mittelfranken bedeutet das konkret: weniger Subsysteme, weniger Schnittstellen, weniger IT-Overhead – und damit auch niedrigere Kosten für Wartung, Patching und Systempflege. Wir konsolidieren unsere IT-Struktur gezielt hin zu einem klar definierten, klinisch orientierten Datensystem.
Unser Ziel ist es, in fünf Jahren rund 80 Prozent unserer Prozesse vollständig digital abzubilden. Erste Schritte sind bereits erfolgt: Aktuell starten wir in den Testbetrieb eines vollständig digitalen Medikationsprozesses im sogenannten Closed-Loop-System. Er wird voraussichtlich im 4. Quartal offiziell eingeführt. Damit erhöhen wir nicht nur die Effizienz, sondern vor allem die Patientensicherheit – etwa durch die Vermeidung von Falschmedikationen.
Durch die Einbindung unserer internen elektronischen Patientenakte für die Echtzeitdokumentation sind wir zuversichtlich, dass wir in fünf Jahren zu über 80 Prozent digital arbeiten – sicher, vernetzt und zentriert auf unsere Patientinnen und Patienten.
Wenn sie einen Wunsch frei hätten – sowohl für Ihr Haus als auch für das deutsche Gesundheitswesen insgesamt – was müsste passieren, damit digitale Resilienz nicht die Ausnahme bleibt, sondern zur Selbstverständlichkeit wird?
Digitale Resilienz als Selbstverständlichkeit
Was es braucht, ist eine klare Digitalagenda für das Gesundheitswesen in Deutschland. Eine Agenda, die nicht nur Zielbilder formuliert, sondern auch konkrete Maßnahmen, verbindliche Anforderungen und klare Unterstützungsangebote enthält – und die sich bewusst vom bisherigen Klein-Klein verabschiedet.
Wir brauchen eine offene Kommunikation darüber, was notwendig ist, was technisch und organisatorisch möglich ist, was kommen muss – aber auch über das, was auf keinen Fall passieren darf. Wenn ich auf die aktuellen Entwicklungen im Gesundheitswesen blicke, sehe ich: Ja, Karl Lauterbach war und ist in der öffentlichen Wahrnehmung umstritten. Aber es gibt erstmals eine klare Zielvision. Expertinnen und Experten werden angehört, es gibt Stellungnahmen und strukturierte Vorschläge – auch zur Digitalisierung und zur übergreifenden Vernetzung.
Was fehlt, ist ein verbindlicher Anforderungskatalog, begleitet von zwei wesentlichen Botschaften: Erstens: „Das ist unser Anspruch.“ Zweitens: „Wir wissen, nicht jeder kann das aus eigener Kraft leisten – hier ist die notwendige finanzielle und strukturelle Unterstützung“ oder: „Hier ist Ihre Chance zur Beteiligung.“
Das wäre aus meiner Sicht der notwendige erste Schritt – und er ist längst überfällig. Es geht darum, das Silodenken zu überwinden und gemeinsam, auch trägerübergreifend, an einem Zielbild zu arbeiten. Trägervielfalt ist erwünscht und bereichernd, aber digitale Resilienz kann nur dann zur Selbstverständlichkeit werden, wenn wir im Gesundheitswesen nicht gegeneinander, sondern miteinander arbeiten. Es braucht Teamleistung – und eine klare Richtung.
Dr. Matthias Keilen
Dr. Matthias Keilen ist Mediziner und Gesundheitsökonom. Aktuell ist er als Vorstand der Bezirkskliniken Mittelfranken tätig. Die Vorstandstätigkeit übt er seit 2018 aus und ist seit 2025 Vorstand Medizin. Zuvor war Herr Dr. Keilen strategischer Vorstand, erster Stellvertreter des Vorstands sowie Leiter des zentralen Medizinmanagements. Zuvor war er Chefarzt für Anästhesie, Intensivmedizin und Schmerztherapie in der Schön Klinik Nürnberg Fürth.
Julia Kaub
Partnerin
Regulatory Advisory
Public Sector & Healthcare
KPMG AG
Wirtschaftsprüfungsgesellschaft jkaub@kpmg.com
Sebastian Hoegl* Senior Manager Rechtsanwalt KPMG Law Rechtsanwaltsgesellschaft mbH shoegl@kpmg-law.com
*Die Rechtsdienstleistungen werden durch die KPMG Law Rechtsanwaltsgesellschaft mbH erbracht.
SCHWERPUNKT
INTERVIEW
Melanie Wendling, Geschäftsführerin, Bundesverband Gesundheits-IT – bvitg e. V. und Bernhard Calmer, Geschäftsführer und bvitg-Vorstandsmitglied, im Gespräch mit Sevilay Hüsman-Koecke, Direktorin, und Peter Maximilian Conrad, Senior Manager, beide KPMG AG Wirtschaftsprüfungsgesellschaft
Ein Gespräch mit Bernhard Calmer und Melanie Wendling (bvitg e. V.) über politische Weichenstellungen, strukturelle Herausforderungen und die Zukunft digitaler Sicherheit.
Herr Calmer, Sie bringen langjährige Erfahrung aus Industrie, Management und Verbandsarbeit mit. Welche Perspektiven aus Ihrer Laufbahn prägen heute Ihre Arbeit im Vorstand des Bundesverband Gesundheits-IT – bvitg e. V. – gerade mit Blick auf digitale Resilienz im Gesundheitswesen?
Die Summe meiner Erfahrungen in Industrie, Management und Verbandsarbeit prägt meine heutige Tätigkeit im Vorstand des bvitg e.V. maßgeblich. Für mich ist wichtig, dass Resilienz kein Inselthema ist. Im Gesundheitswesen bedeutet das, dass wir nicht nur über technische Systeme sprechen. Es geht um die Fähigkeit des gesamten Ökosystems – von der kleinsten ärztlichen Praxis über die Krankenhäuser bis hin zu den übergeordneten Behörden.
Die Verbandsarbeit hat mir vor Augen geführt, wie essenziell der Austausch und die Zusammenarbeit aller beteiligten Interessengruppen sind. Die beste Strategie ist es, zu reden, sich auszutauschen und auf Arbeitsebene Kontakte zu knüpfen, um Konzepte zur Stärkung der Resilienz zu erarbeiten.
Frau Wendling, Sie sind seit 2022 Geschäftsführerin des bvitg e. V. und haben zuvor im politischen Raum sowie bei einem großen E-Health-Anbieter gearbeitet. Was reizt Sie an der Verbandsarbeit, und wie möchten Sie den Verband positionieren?
Ich kenne den Verband schon sehr lange und beschäftige mich seit über 20 Jahren mit den Themen, die der bvitg e.V. vertritt. Für mich ist Verbandsarbeit ein wichtiger Teil der demokratischen Meinungsbildung. Der bvitg ist mit seinen rund 120 Mitgliedern ein relevanter Ansprechpartner für die Digitalisierung des Gesundheitswesens und der Pflege. Die Pflege kommt meines Erachtens in der ganzen Diskussion viel zu wenig vor – außer, wenn es um die Finanzierung und das fehlende Personal geht. Das ist aber zu kurz gedacht. Warum diskutieren wir nicht auch darüber, wie Digitalisierung Entlastung bringen kann?
Diese Mindset-Frage ist in Deutschland noch in keiner politischen Agenda angekommen. Wir versuchen auch diese Aspekte als Verband zu platzieren – als verlässlicher und starker Partner. Ohne uns geht die Digitalisierung des Gesundheitswesens nicht voran.
Herr Calmer, als Branchenverband ist der bvitg e.V. eine zentrale Stimme im digitalen Gesundheitswesen. Wie versteht sich der Verband in seiner Rolle, wenn es darum geht, die Resilienz und Zukunftsfähigkeit digitaler Infrastrukturen zu stärken – etwa bei kritischen Infrastrukturen (KRITIS), Cybersicherheit oder interoperablen Lösungen?
Der bvitg e.V. fungiert als zentrale Plattform, um IT-Sicherheitsfragen und -Vorhaben detailliert zu prüfen und daraus gemeinsame Verbandspositionen zu entwickeln. Unsere Mitgliedsunternehmen setzen sich aktiv für die Stärkung von IT-Sicherheit und Resilienz ein. Wir sind überzeugt, dass wir durch einen Wechsel vom Einzelkampf- zum Kooperationsansatz größere Mehrwerte erzielen. Daher freuen wir uns darauf, diesen Weg gemeinsam mit den involvierten Beteiligten weiter auszubauen.
Frau Wendling, wie gelingt es Ihnen, die unterschiedlichen Interessen (von Start-ups bis Großunternehmen) unter dem Dach des Verbands zusammenzubringen und mit einer Stimme gegenüber Politik und Öffentlichkeit zu vertreten?
Im Endeffekt haben alle unsere Mitglieder ein Ziel: die erfolgreiche und nutzenbringende Digitalisierung des Gesundheitswesens. Und dieses Ziel verfolgen wir seit nunmehr 30 Jahren. Es ist außerordentlich positiv, dass der Verband so vielfältig aufgestellt ist, wir eine sehr gute Diskussionskultur haben und es uns gelingt, auf einen gemeinsamen Nenner zu kommen und diesen auch gegenüber der Politik und Öffentlichkeit zu vertreten.
Herr Calmer, die digitale Transformation im Gesundheitswesen ist mit strukturellen Hürden verbunden – Fachkräftemangel, heterogene ITLandschaften, regulatorische Unsicherheit. Wo sehen Sie aus Verbandssicht aktuell die größten systemischen Schwachstellen, die die digitale Resilienz gefährden?
Das führt zu einem klaren Zielkonflikt: IT-Sicherheit versus begrenzte Ressourcen.
Alle angeführten Punkte sind richtig und wichtig, aber angesichts der aktuellen geopolitischen Spannungen gewinnt die Schaffung von digitaler Resilienz stark an Bedeutung. Die Bundesregierung erkennt dies an und beobachtet den Markt systemisch, beispielsweise durch die Projekte Sicherheit von Praxisverwaltungssystemen (SiPra) und Sicherheitseigenschaften von Krankenhausinformationssystemen (SiKIS).
Wir sehen jedoch ein akutes Risiko: Die notwendigen Investitionen in IT-Sicherheit und die Sensibilisierung der Mitarbeitenden werden oft nicht ausreichend von Dritten refinanziert. Das führt zu einem klaren Zielkonflikt: IT-Sicherheit versus begrenzte Ressourcen.
Herr Calmer, viele Kliniken kämpfen mit technischen und organisatorischen Defiziten, etwa beim Thema IT-Sicherheit oder bei der Umsetzung regulatorischer Vorgaben. Was braucht es aus Sicht des bvitg e.V., um eine zukunftsfeste und belastbare digitale Basis im stationären Bereich zu schaffen?
Wir brauchen endlich ein klares politisches Bekenntnis: IT-Sicherheit darf kein Randthema mehr sein, sondern muss professionell gefördert werden!
Wie bereits angesprochen ist das SiKIS-Projekt im klinischen Umfeld ein wichtiger Schritt in die richtige Richtung. Es hilft uns, die Stärken und Schwächen des klinischen Sektors besser zu verstehen. Ein zentrales Ergebnis des Projekts war, dass IT-Sicherheit hier nicht nur das Krankenhausinformationssystem (KIS) betrifft, sondern auch die Vielzahl an genutzten Subsystemen. Diese enorme Komplexität erfordert gezielte und vor allem refinanzierte Investitionen in die IT-Sicherheit.
Frau Wendling, was sind aus Sicht des bvitg e.V. zentrale politische Hebel, damit Digital Health in Deutschland nicht nur gesetzlich verordnet, sondern auch nachhaltig umgesetzt wird?
Es braucht ein unmissverständliches Signal vonseiten der Politik, dass Digital Health eine absolute Top-Priorität ist und nicht nur ein Nice-to-have. Das beinhaltet eine langfristige, kohärente Digitalstrategie
für das Gesundheitswesen, die über Legislaturperioden hinaus Bestand hat. Digitalisierung muss als Querschnittsaufgabe verstanden und mit entsprechenden Ressourcen und Zuständigkeiten hinterlegt werden. Das erfordert eine Professionalisierung auf allen Ebenen. Die besten digitalen Lösungen nützen nichts, wenn sie von den Anwenderinnen und Anwendern nicht akzeptiert und genutzt werden. Hierfür braucht es eine breite Aufklärung über die Mehrwerte digitaler Anwendungen und einen gezielten Aufbau digitaler Kompetenzen bei allen Beteiligten.
Frau Wendling, digitale Resilienz bedeutet mehr als Cybersicherheit – sie umfasst auch Reaktionsfähigkeit, Redundanzen und Führungsverantwortung. Welche konkreten Maßnahmen empfiehlt der bvitg e.V. seinen Mitgliedern, um die Resilienz auf technischer, organisatorischer und kultureller Ebene zu stärken?
Eine pauschale Aussage zu den konkreten Maßnahmen ist für unsere vielfältigen Mitgliedsunternehmen schwer zu treffen. Doch eines ist klar: Die gesetzlich geforderten und vorgegebenen branchenspezifischen Sicherheitsstandards werden von ihnen nicht nur umgesetzt, sondern auch einem kontinuierlichen Entwicklungsprozess unterzogen. Wir bleiben am Ball!
Übrigens: Es ist äußerst positiv zu bewerten, dass nach einer längeren Sendepause der parlamentarische Prozess zur gesetzlichen Umsetzung der Network and Information Security Directive 2 (NIS-2) endlich weitergeht, also der EU-Richtlinie, die die Cybersicherheit von Netzwerken und Informationssystemen in der Europäischen Union voranbringen und stärken soll, – das begrüßen wir ausdrücklich!
Herr Calmer, wie gut ist das deutsche Gesundheitswesen aktuell auf Störungen – etwa durch Cyberangriffe oder Systemausfälle – vorbereitet?
Sehen Sie hier einen Strategiewechsel bei Trägern, Politik oder Anbietenden?
Unser Gesundheitssystem, so wie wir es kennen, ist auf Friedenszeiten zugeschnitten – und da leistet es Hervorragendes. Doch die Realität hat sich dramatisch verändert: Kaum eine Woche vergeht, ohne dass wir von IT-Sicherheitsvorfällen in Kliniken lesen. Das ist ein untragbarer Zustand! Kritische Infrastrukturen werden aktiv und systematisch angegriffen und wir sehen eine klare Zunahme an komplexen Attacken, oft von hochprofessionellen staatlichen oder halbstaatlichen Akteuren.
Stellen Sie sich vor, was passiert, wenn die Lage eskaliert: Der Präsident des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe warnt, dass wir im Konfliktfall täglich rund 1.000 zusätzliche Patientinnen und Patienten versorgen müssten. Das ist eine unkalkulierbare Variable, die unser Gesundheitssystem bisher nicht einkalkuliert hat.
In Anbetracht aktueller Konflikte müssen wir davon ausgehen, dass Gesundheitseinrichtungen direkt angegriffen werden könnten und aktive Schutzmaßnahmen – auch baulicher Natur – dringend notwendig
sind. Es ist gut, dass der Gesetzgeber die Dringlichkeit erkannt hat. Jetzt ist es aber höchste Zeit, die notwendigen Verordnungen zur Stärkung des Kritischen Sektors in den parlamentarischen Prozess einzubringen. Nur so wird die Forderung nach mehr Resilienz mehr als nur ein Lippenbekenntnis!
Frau Wendling, gibt es aus Ihrer Sicht eine schlüssige politische Cybersecurity-Strategie im Gesundheitswesen? Was müsste sich strukturell oder förderpolitisch verändern, um Einrichtungen (insbesondere kleinere) dauerhaft zu stärken?
Ich sehe leider, dass wir noch keine wirklich schlüssige und umfassende politische Cybersecurity-Strategie im Gesundheitswesen haben. Es gibt Ansätze und einzelne Projekte, die in die richtige Richtung gehen, aber es fehlt an einer stimmigen Gesamtstrategie, die alle Aktiven – von der kleinen ärztlichen Praxis bis zum Uniklinikum – mitnimmt und nachhaltig stärkt.
Eine der besten Strategien? Reden, sich austauschen und lokal zusammenarbeiten! Nur so können wir gemeinsam tragfähige Konzepte zur Stärkung der Resilienz entwickeln. Denn was nützen uns Notstromaggregate, wenn der Treibstoff fehlt? Dieses Beispiel zeigt, wie unerlässlich der Austausch auf Arbeitsebene zwischen Einrichtungen und Zivilgesellschaft ist.
Herr Calmer, der Aufbau sicherer digitaler Ökosysteme erfordert ein Zusammenspiel von anbietenden und betreibenden Unternehmen sowie politischen Instanzen. Welche Verantwortung sehen Sie dabei für den bvitg e.V. – auch im Sinne einer Vermittlerrolle zwischen Markt und Regulierung?
Der Verband steht mit seinen zahlreichen und auf den Gesundheitsmarkt spezialisierten Mitgliedsunternehmen für einen gemeinsamen kooperativen Ansatz zur Stärkung der IT-Sicherheit.
Wir sehen es als unsere zentrale Aufgabe an, diese Art der Zusammenarbeit in Zukunft noch weiter zu intensivieren! Es ist unser klares Ziel, als Katalysator und Brückenbauer zu agieren: Wir möchten sicherstellen, dass die Interessen und das Know-how unserer Mitglieder effektiv in die politische Gestaltung einfließen und gleichzeitig die regulatorischen Anforderungen praxistauglich umgesetzt werden können.
Frau Wendling, gerade kleinere Einrichtungen tun sich schwer, Sicherheitsstandards und digitale Anforderungen gleichzeitig zu stemmen. Wie können Industrie und Verband gemeinsam Strukturen schaffen, die diese Häuser nicht überfordern – und dennoch resilient machen?
Dieser entscheidende Punkt wird in aktuellen Diskussionen oft übersehen: Kleinere Einrichtungen benötigen dringend mehr Unterstützung bei der Systemhärtung und der Schaffung von IT-Sicherheitsbewusstsein. Gerade in kleinen Praxen übernehmen Inhaberinnen und Inhaber neben ihrer medizinischen Kerntätigkeit oft unzählige weitere Aufgaben.
Es ist daher aus unserer Sicht unerlässlich, eine finanzielle Entlastung durch faire Refinanzierungsmaßnahmen zu schaffen. Der bvitg e.V. kann dabei eine Vermittlungsrolle einnehmen, da für die Strukturen andere Stellen verantwortlich sind.
Wir brauchen endlich ein klares politisches Bekenntnis: IT-Sicherheit darf kein Randthema mehr sein, sondern muss professionell gefördert werden!
Herr Calmer, wenn wir zehn Jahre vorausdenken: Wie sieht ein resilientes, auf die Patientinnen und Patienten zentriertes und sicheres digitales Gesundheitswesen aus – und welche Rolle spielen Verband und Industrie in dieser Vision?
Wir können nur hoffen, dass wir aus den heutigen Herausforderungen die richtigen Schlüsse gezogen und die Weichen richtig gestellt haben. Ein resilientes und auf die behandlungssuchenden Menschen zentriertes Gesundheitssystem sollte dann nicht nur auf dem Papier existieren, sondern tief in den Köpfen der Verantwortlichen verankert sein. Nur wenn die Führungsebene das Thema Systemhärtung von oben nach unten in die Organisationen trägt, können wir wirklich etwas bewegen. Dabei steht der bvitg e.V. mit seiner 30-jährigen Kompetenz jederzeit als Gesprächspartner bereit. Wir sind darauf eingestellt, sie auf diesem Weg zu begleiten und gemeinsam die Zukunft der digitalen Gesundheit zu gestalten!
Frau Wendling, ein persönlicher Wunsch zum Schluss: Wenn Sie heute eine Maßnahme auf den Weg bringen könnten, um die digitale Resilienz im Gesundheitswesen entscheidend zu verbessern – was wäre das?
Es ist der Wunsch nach einem Paradigmenwechsel: weg von der IT-Sicherheit als lästigem Kostenfaktor oder Add-on, hin zu einer anerkannten und wertgeschätzten Investition in die Sicherheit von Patientinnen und Patienten sowie die Funktionsfähigkeit unseres gesamten Systems.
Melanie Wendling Geschäftsführerin, Bundesverband Gesundheits-IT – bvitg e. V.
Melanie Wendling ist seit dem 01. August 2022 Geschäftsführerin des Bundesverbandes Gesundheits-IT – bvitg e. V.. Zuletzt war sie als Abteilungsleiterin Gesundheit und Rehabilitation bei der Deutschen Gesetzlichen Unfallversicherung tätig.
Bernhard Calmer Vorstandsmitglied, Bundesverband Gesundheits-IT – bvitg e. V.
Bernhard Calmer ist seit Juli 2020 Geschäftsführer der CGM Clinical Europe GmbH. Er war von Februar 2008 Mitglied des Vorstands des Bundesverband Gesundheits-IT – bvitg e. V. und von September 2011 bis September 2014 dessen Vorsitzender. Im Oktober 2020 ist er erneut in den Vorstand des bvitg e.V. gewählt worden.
Sevilay Hüsman-Koecke Direktorin Healthcare KPMG AG Wirtschaftsprüfungsgesellschaft shuesmankoecke@kpmg.com
Peter Maximilian Conrad Senior Manager Public Sector Consulting, Healthcare KPMG AG Wirtschaftsprüfungsgesellschaft pconrad@kpmg.com
SCHWERPUNKT
INTERVIEW
Prof. Dr. Oliver Kohlbacher, Direktor des Interfakultären Institut für Biomedizinische Informatik (IBMI), Universität Tübingen, im Gespräch mit Sevilay Hüsman-Koecke, Direktorin, und Laura Kneip, Sektormanagerin, beide KPMG AG Wirtschaftsprüfungsgesellschaft
Prof. Dr. Oliver Kohlbacher gibt Einblicke in die Arbeit des IBMI Tübingen und erläutert, wie sich biomedizinische Informatik zwischen technologischen Chancen und regulatorischen Anforderungen positioniert.
Herr Professor Kohlbacher, Sie leiten heute das Interfakultäre Institut für Biomedizinische Informatik (IBMI) an der Universität Tübingen und sind an der Schnittstelle von Informatik, Medizin und Biowissenschaften tätig. Wie würden Sie jemandem außerhalb Ihres Fachgebiets erklären, worum es in Ihrer Arbeit geht und wie Sie persönlich zu diesem interdisziplinären Forschungsfeld gekommen sind?
Bioinformatik und Medizininformatik – die beiden Disziplinen, die durch unser Institut primär vertreten werden – beschäftigen sich mit der Anwendung von Informatikmethoden in den Lebenswissenschaften. Das ist ein sehr breites Feld – Beispiele sind der computergestützte Wirkstoffentwurf, die Genomforschung, KI-Modelle in der Medizin, aber auch die algorithmischen Grundlagen für solche Anwendungen. Ich selbst bin in dieses Gebiet gekommen, weil ich sowohl Chemie als auch Informatik studierte und hier beide Bereiche ideal kombinieren konnte.
Das IBMI ist eng vernetzt mit dem Universitätsklinikum Tübingen, den Max-Planck-Instituten, dem Cyber Valley und weiteren Partnerunternehmen. Welche Bedeutung hat diese Interdisziplinarität für Ihre Forschung?
Bioinformatik und Medizininformatik sind von der Anlage her interdisziplinäre Fächer. Im Studium lernt man von Anfang an ganz unterschiedliche Disziplinen kennen und lernt die Sprache und Denkansätze verschiedener Fächer. In der Mathematik und Informatik geht man anders an Probleme heran als in der Biologie oder Medizin. Wir sehen uns daher auch als Vermittelnde zwischen den Fächern und sind damit praktisch immer interdisziplinär unterwegs.
Sie arbeiten unter anderem an Methoden in der Proteomik und der personalisierten Onkologie. Welche konkreten Ziele verfolgen Sie mit Ihrer Forschung und wie nah ist diese an der praktischen medizinischen Anwendung?
Meine Arbeitsgruppe entwickelt Methoden, um komplexe Hochdurchsatzdaten zu analysieren. Wir haben dazu Algorithmen und quelloffene Software entwickelt, mit der zum Beispiel Massenspektrometriedaten aus Proteomik und Metabolomik besser und schneller interpretiert werden können. Neue technische Entwicklungen in der Massenspektrometrie machen es möglich, dass wir heute auch intakte Proteine mit all ihren posttranslationalen Modifikationen analysieren können. Dazu brauchen wir aber effiziente Algorithmen, um die komplexen Massen-
spektren korrekt zu interpretieren und diejenigen herauszufinden, die Proteoformen dieser Spektren entsprechen. In der personalisierten Onkologie liegt unser Augenmerk derzeit auf der standardisierten Erhebung der Daten und der statistischen Auswertung von großen Datensätzen aus molekularen Tumorboards. Wir wollen verstehen, wie sich therapeutische Erfolge aus den molekularen und klinischen Daten vorhersagen lassen, um die optimale personalisierte Therapie vorzuschlagen.
Die biomedizinische Forschung basiert auf hochsensiblen Daten, von genetischen Informationen über Massenspektrometriedaten bis zu klinischen Verlaufsdaten. Welche besonderen Herausforderungen sehen Sie hier im Hinblick auf Cybersicherheit und Datenschutz?
Die Forschung mit personenbezogenen Gesundheitsdaten birgt immer einen Konflikt in sich: das Interesse der Betroffenen an der Privatheit ihrer Daten auf der einen Seite und das Interesse der Allgemeinheit an Forschungsergebnissen, letztlich auch an einer verbesserten Versorgung, auf der anderen. Mit der Datenschutzgrundverordnung (DSGVO) haben wir in der EU sehr hohe Standards vorgegeben, die in Deutschland auch meist im Interesse der Betroffenen ausgelegt werden. Das bedeutet in der Regel für die Forschenden hohe Aufwände, um diesen Anforderungen gerecht zu werden. Gleichzeitig bedeutet es aber auch, dass wir bisher wenige Zwischenfälle in diesem Bereich hatten und damit das Vertrauen in den Umgang mit den Daten in der Bevölkerung immer noch sehr hoch ist.
Könnten Sie ein Beispiel aus Ihrer aktuellen Forschung nennen, in dem der Umgang mit Daten und ihr Schutz besonders herausfordernd waren und Sie dennoch eine Lösung gefunden haben?
Die größte Herausforderung der letzten Jahre war die Umsetzung des Modellvorhabens für die Genomsequenzierung, das sogenannte genomDE-Modellvorhaben. Hier wurden bzw. werden noch bis Ende 2029 Genomdaten und klinische Daten für bis zu 100.000 Fälle aus der Onkologie, erblichen Tumorerkrankungen und seltenen Erkrankungen erhoben, in der Versorgung genutzt für die Forschung zugänglich gemacht. Dies sind sehr sensible Daten und es gibt sehr stringente gesetzliche Vorgaben, die im Umgang damit einzuhalten sind – neben allgemeinen Vorgaben der DSGVO gehören dazu auch weitreichende Vorgaben aus dem Sozialgesetzbuch (SGB) und der Genomdatenverordnung (GenDV).
Wichtig war es in diesem Zusammenhang, dass es in der genomischen Medizin schon eine ganze Reihe von eingespielten Konsortien gab, die viele dieser Probleme angegangen sind. Das waren zum einen Versorgungsnetzwerke, die die Erhebung der klinischen Daten standardisiert haben, zum anderen auch das Deutsche Humangenom-Phänomarchiv (GHGA), das die Verwaltung von Genomdaten organisieren konnte.
Gemeinsam mit dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), das vom Bundesgesundheitsministerium zum Träger der zugehörigen Plattform bestellt wurde, konnte der Verbund aus diesen Infrastrukturen das Modellvorhaben in relativ kurzer Zeit realisieren. Wichtig war dabei, dass die nötige Infrastruktur und die Expertise zum Umgang mit Themen des Datenschutzes und der IT-Sicherheit bereits vorhanden waren. Dadurch ließ sich das Gesamtvorhaben in kurzer Zeit umsetzen.
wichtig, von Anfang an ein klares Gesamtkonzept mit stark gesicherten Komponenten und klare Zuständigkeiten für die Umsetzung zu haben.
Welche Rolle spielt das Thema sichere Infrastrukturen – etwa für Hochdurchsatzmethoden, Cloudnutzung oder KI-basierte Diagnostik – in Ihrer täglichen Forschungspraxis?
Wir nutzen diese Infrastrukturen jeden Tag – ohne solche Infrastrukturen wären viele Projekte nicht umsetzbar. Es ist daher wichtig, sichere Infrastrukturen, wie die sichere Ausführungsumgebung des Deutschen Netzwerks für Bioinformatik-Infrastruktur (de.NBI Cloud) oder abgesicherte Datenrepositorien wie das GHGA zur Verfügung zu haben. Der Aufwand für solche Infrastrukturen ist massiv und von einzelnen Forschungseinrichtungen oder Universitätskliniken kaum alleine zu stemmen.
Digitale Medizin ganzheitlich zu denken und auf oberster Ebene in den Strategieprozess zu integrieren ist leider noch nicht überall selbstverständlich.
Wie funktioniert die Zusammenarbeit zwischen den Infrastruktureinheiten an der Universität und dem Universitätsklinikum Tübingen konkret, wenn es um Fragen der digitalen Resilienz oder sicheren Datenverarbeitung geht?
Eine resiliente, verlässliche Infrastruktur braucht angemessene Sicherheitsmaßnahmen auf allen Ebenen und auch ein integriertes Gesamtkonzept – insbesondere für das Informationssicherheitsmanagement. Der damit verbundene Aufwand ist für akademische Einrichtungen nur zu leisten, wenn die Maßnahmen untereinander abgestimmt sind und Doppelungen vermieden werden. In unserem Fall haben wir Basisinfrastrukturen, die nach ISO 27001 bezüglich der Informationssicherheit zertifiziert sind. Diese Basiszertifizierung ist zwar aufwendig, kann dann aber in unterschiedlichen Projekten die Grundlage für weitere Maßnahmen bilden. Analog werden dann auf den höheren Schichten entsprechende Maßnahmen zu einem Gesamtkonzept integriert. Die Daten in einer Infrastruktur sind immer nur so sicher wie ihre schwächste Komponente – daher ist es
Der Spagat zwischen Open Science und Cybersicherheit ist für viele Forschungseinrichtungen ein Spannungsfeld. Wie gehen Sie damit um, dass Forschung gleichzeitig offen und geschützt sein soll? Wie sichern Sie diese Datenräume, ohne die Innovationsfähigkeit zu beeinträchtigen?
Dieses Spannungsfeld ist natürlich und wir als Forschende müssen die sich fundamental widersprechenden Zielvorgaben von Sicherheit und Offenheit aushalten. Es gibt hier leider keinen Königsweg: Starke Öffnung erhöht das potenzielle Risiko für Betroffene, starke Abschottung reduziert den Nutzen für die Forschenden. Das Datenschutzrecht sieht hier eine Abwägung des Nutzens und des Risikos vor, die man in der Regel für jeden Einzelfall vornehmen muss. Über die – angemessenen – Anforderungen des Datenschutzes zu klagen, ist wenig hilfreich. Für mich waren drei Maßnahmen wesentlich, um trotzdem Projekte gut umsetzen zu können:
(1) Entsprechende Datenschutz-Expertise aufbauen. Statt zu sagen, es sei alles zu kompliziert, brauchen Forschende ein Grundverständnis von Datenschutz. Wenn ich die Diskussion mit Datenschutzbeauftragten damit eröffne, dass ich die Rechtsgrundlage erläutere und eine Datenschutzfolgeabschätzung zum Projekt vorlege, sind viele dieser Diskussionen schnell für beide Seiten zufriedenstellend lösbar.
(2) Sichere Infrastrukturen zur Verfügung haben. Wenn ich belegen kann, dass in der Infrastruktur, in der die Daten verarbeitet werden, sinnvolle technische und organisatorische Maßnahmen zum Schutz imple-
mentiert und idealerweise auch zertifiziert sind, dann verkürzt auch das die Diskussionen erheblich und stellt gleichzeitig belastbare Sicherheitsstandards her.
(3) Schließlich helfen standardisierte Prozesse und Vorlagen. Originalität, die wir als Wissenschaftlerinnen und Wissenschaftler eigentlich wertschätzen, ist bei der Erfüllung der Auflagen eher hinderlich. Stattdessen ist Recycling gefragt – die Verwendung bewährter Dokumente und Vorlagen. Erfahrenes Personal zur Beratung bei Datenschutzfragen kann hier viele Arbeiten von den Forschenden übernehmen, was effizienter ist und die Qualität der Datenschutzdokumentation in der Regel deutlich steigert.
Gerade im Bereich der Gesundheits- und Forschungsdaten wird in Europa viel über digitale Souveränität gesprochen. Wie bewerten Sie die aktuelle Infrastruktur in Deutschland im Vergleich zu anderen Forschungsstandorten?
Die Forschung mit personenbezogenen Gesundheitsdaten birgt immer einen Konflikt in sich: das Interesse der Betroffenen an der Privatheit ihrer Daten auf der einen Seite und das Interesse der Allgemeinheit an Forschungsergebnissen [...].
Wir liegen nach meinem Empfinden hier im europäischen Mittelfeld. An vielen Stellen machen wir gerade die Erfahrung, dass die internationale Aufgabenteilung in der Forschung durch politische Entwicklungen infrage gestellt wird. Augenblicklich geht der Trend tatsächlich dahin, dass wir eine Stärkung nationaler Dateninfrastrukturen beobachten, in meinem Bereich zum Beispiel nationale GenomdatenHubs. Das ist in der aktuellen Situation sicherlich sinnvoll, aber erzeugt natürlich Mehraufwand, der eine internationale Integration behindern würde. Deutschland ist bei der Implementierung bisher gut aufgestellt, aber wir müssen die Integration unserer nationalen Infrastrukturen in internationale Netze mitdenken. Wie können wir die nationalen Infrastrukturen grenzüberschreitend interoperabel vernetzen? Wie stellt man sicher, dass Daten auch Forschenden im Ausland zugänglich gemacht werden? Wenn die Daten die Länder nicht mehr verlassen, wer bezahlt dann für das Rechnen auf den Daten in entsprechenden nationalen Ausführungsumgebungen? Das sind Fragen, die uns derzeit noch sehr beschäftigen.
Welche Kompetenzen oder strukturellen Voraussetzungen fehlen Ihrer Meinung nach am häufigsten in Organisationen, die digitale Transformation sicher gestalten wollen?
Viele Einrichtungen sind zu kleinteilig aufgestellt. Die Aufgabe, Daten für Forschung und Versorgung zu erschließen, ist eine kritische Aufgabe, die große Anstrengung von der Einrichtung erfordert. Die Komplexität des Themas – von technischen über rechtliche Aspekte bis hin zu einem Kulturwandel beim Verständnis, wem die Daten „gehören“ – führt leider oft dazu, dass einzelne Aspekte ausgeblendet werden. Digitale Medizin ganzheitlich zu denken und auf oberster Ebene in den Strategieprozess zu integrieren, ist leider noch nicht überall selbstverständlich.
Wenn Sie fünf Jahre in die Zukunft blicken: Wie könnte eine ideale digitale Infrastruktur in der biomedizinischen Forschung aussehen, die resilient, vernetzt und gleichzeitig sicher ist?
Ich kann mir gut vorstellen, dass eine solche Infrastruktur als verteilte cloudbasierte Infrastruktur, als Netzwerk sicherer Verarbeitungsumgebungen aufgesetzt wird. Eine vollständige Zentralisierung aller Daten an einem Standort oder in einer einzigen Infrastruktur ist aus vielerlei Gründen weder sinnvoll noch erreichbar. Dennoch brauchen wir eine hinreichende Zusammenfassung bei möglichst wenigen Zentren, die die nötige Kompetenz haben, eine ausreichend abgesicherte Infrastruktur effizient betreiben zu können. Diese Zentren müssen untereinander interoperabel sein – daher sind (inter)nationale Standards für die interoperable Bereitstellung der Gesundheitsdaten, wie sie in den letzten Jahren schrittweise ausgerollt wurden, so wichtig. Beispiele sind hier: Fast Healthcare Interoperability Resources (FHIR) und Informationstechnische Systeme in Krankenhäusern (ISiK). Eine solche Infrastruktur muss auch die nötigen Ressourcen bereitstellen, um KI-Anwendungen zu trainieren und auszuführen und dafür die nötigen Geschäftsmodelle zu entwickeln. Kritisch für den Erfolg einer solchen Infrastruktur ist dann aber auch eine klare Governance. Zu oft können Daten nicht genutzt werden, weil der Aufwand, bei Dutzenden Datennutzungskommissionen um Genehmigung zu bitten, zu groß und die Antwortzeiten zu lang sind. So sehr alle Beteiligten in diesen Governanceprozess eingebunden sein sollten, muss es hier doch eine stärkere Standardisierung und Zentralisierung der Prozesse geben, damit wir die Daten einfacher und vor allem schneller nutzen können. Wir haben nicht nur eine datenschutzrechtliche Verantwortung, sondern auch die ethische, vorhandene Daten zum Wohle aller in der medizinischen Forschung zu nutzen.
Prof. Dr. Oliver Kohlbacher Direktor des Interfakultären Institut für Biomedizinische Informatik (IBMI), Universität Tübingen
Oliver Kohlbacher studierte in Saarbrücken Chemie und Informatik. Nach seiner Promotion 2001 war er Nachwuchsgruppenleiter am Zentrum für Bioinformatik Saar in Saarbrücken und wurde nach einer PostDoc-Zeit bei Celera Genomics in den USA 2003 an die Universität Tübingen berufen. Schwerpunkte seiner Forschung liegen im Bereich der Methodenentwicklung für die Analyse von Omics-Daten und Forschungsdateninfrastrukturen.
Er ist Mitglied des Nationalen Steuerungsgremiums der Medizininformatik-Intiative, wissenschaftlicher Co-Sprecher des Deutschen Netzwerks für Bioinformatikinfrastruktur (de.NBI/ELIXIR-DE) und Co-Direktor des Deutschen Humangenom-Phänomarchivs (GHGA).
Sevilay Hüsman-Koecke
Direktorin
Healthcare
KPMG AG
Wirtschaftsprüfungsgesellschaft shuesmankoecke@kpmg.com
Laura Kneip
Sektormanagerin
Healthcare KPMG AG
Wirtschaftsprüfungsgesellschaft lkneip@kpmg.com
SCHWERPUNKT
INTERVIEW
Prof. Dr. Dr. Melanie Börries, Institutsdirektion, Institut für Medizinische Bioinformatik und Systemmedizin (IBSM) im Gespräch mit Wolfram Wildermuth, Partner, und Laura Kneip, Sektormanagerin, beide KPMG AG Wirtschaftsprüfungsgesellschaft
Frau Prof. Dr. Dr. Melanie Börries über digitale Resilienz, kritische Infrastrukturen und den Weg zu einer patientenzentrierten Krebsforschung.
Frau Professor Börries, Sie haben eine beeindruckende Laufbahn, die von der klinischen Medizin über die Systembiologie bis zur translationalen Onkologie reicht. Erzählen Sie uns: Wie hat sich Ihr Weg in die datengetriebene, personalisierte Medizin entwickelt, und was motiviert Sie bis heute?
Ich hatte das große Glück, nach meinem Medizinstudium in Basel und Bern an einem MD-PhD-Programm in der Schweiz teilnehmen zu können. Dort konnte ich für vier Jahre klinische Arbeit und wissenschaftliche Forschung eng miteinander verbinden – jedes Jahr verbrachte ich neun Monate im Labor und drei Monate in der Klinik. Damals untersuchte ich, wie ein bestimmtes Protein die Kontraktilität von Herzmuskelzellen beeinflusst. Dabei wurde mir schnell klar, dass wir deutlich mehr Daten benötigen, um biologische Zusammenhänge wirklich zu verstehen und in die medizinische Praxis zu überführen.
Nach meinem Abschluss entschied ich mich, vorerst in der Wissenschaft zu bleiben. Ein entscheidender Schritt war dann der Aufbau einer systembiologischen Arbeitsgruppe im Rahmen des Deutschen Konsortiums für Translationale Krebsforschung (DKTK) – gemeinsam mit einem Physiker. Hier kombinierten wir experimentelle Laborarbeit (Wet Lab) mit datenbasierter Analyse (Dry Lab). Auf diese Weise entwickelte sich mein Weg in die Bioinformatik ganz natürlich.
Gleichzeitig wuchs der Bedarf an datengetriebenen, medizinisch relevanten Analysen rapide. Durch meine interdisziplinäre Ausbildung in Medizin, Zellbiologie und Bioinformatik und mein Verständnis für die „Sprache“ der Klinik konnte ich viele Brücken schlagen – und wurde schnell in zahlreiche klinische Projekte eingebunden.
Ein besonders prägender Moment war für mich die Gründung des Molekularen Tumorboards (MTB) am Tumorzentrum Freiburg (Comprehensive Cancer Center Freiburg, CCCF). Dort erkannte ich die enorme Kraft interdisziplinärer Zusammenarbeit für die personalisierte Medizin. Wir begannen mit der Analyse genomischer und transkriptomischer Daten und nutzten sie in Kombination mit klinischem Wissen für konkrete Therapieempfehlungen. Ich erinnere mich noch sehr gut an den ersten Patienten, dessen Behandlung wir auf diese Weise unterstützen konnten. Zu sehen, wie Datenanalyse tatsächlich zur Verbesserung der Therapie beiträgt, war ein Schlüsselerlebnis – und motiviert mich bis heute.
Resilienz bedeutet in unserem Kontext vor allem: Systeme müssen auch unter Stress oder in Krisensituationen funktionieren – und das setzt ein Zusammenspiel aus Technologie, Prozessen und Menschen voraus.
Unsere Vision ist es, noch schneller und präziser zu werden: durch verständliche Visualisierung der Daten, Integration neuer Datenbanken und Algorithmen und durch einen engen Austausch mit allen Disziplinen im MTB. Denn nur durch echte Zusammenarbeit und eine konsequente Ausrichtung auf die Patientinnen und Patienten kann datengetriebene, personalisierte Medizin gelingen.
In Ihrer Forschung arbeiten Sie interdisziplinär an der Schnittstelle von Informatik, Medizin und Systembiologie. Was zeichnet diese Perspektive aus, insbesondere mit Blick auf eine auf die Patientinnen und Patienten zentrierte Versorgung?
Gerade in der patientenzentrierten Versorgung ist Interdisziplinarität von zentraler Bedeutung. Der gezielte Austausch und die enge Zusammenarbeit verschiedenster Fachrichtungen ermöglichen ein tieferes Verständnis komplexer Krankheitsmechanismen und eröffnen neue Wege zu individuellen Therapieentscheidungen. Besonders deutlich wird dies im Rahmen des Molekularen Tumorboards: Hier arbeiten Expertinnen und Experten aus verschiedenen Disziplinen wie Onkologie, Gynäkologie, Dermatologie, Neurochirurgie, Pathologie, Humangenetik sowie der Molekularbiologie und Bioinformatik eng zusammen. Dieses breite Spektrum an Wissen und Perspektiven erlaubt es uns, genetische und klinische Daten gemeinsam zu interpretieren und für einzelne Patientinnen oder Patienten maßgeschneiderte Therapieempfehlungen zu entwickeln.
Was mich persönlich motiviert: Ich kann mein Wissen aus der Medizin, Systembiologie und Bioinformatik/ Informatik gewinnbringend einbringen und als Brücke zwischen den Disziplinen agieren. Gerade diese Schnittstellenkompetenz ist zentral, um datengetriebene Erkenntnisse in klinisch relevante Entscheidungen zu übersetzen – immer mit dem Ziel, die Behandlung für die Patientinnen und Patienten zu verbessern.
Inwiefern sehen Sie sich auch in der Rolle, Forschungsergebnisse stärker in gesellschaftliche oder politische Diskussionen einzubringen?
Das ist mir persönlich ein großes Anliegen. Forschung darf nicht im Elfenbeinturm verbleiben – sie muss den Weg in die Öffentlichkeit und in die politischen Entscheidungsprozesse finden. Wir engagieren uns daher gezielt in Formaten, die den Dialog zwischen Wissenschaft, Patientinnen und Patienten und Gesellschaft fördern – zum Beispiel über Patiententage, die vom Nationalen Centrum für Tumorerkrankungen (NCT) organisierte Patienten-Experten-Konferenz oder öffentliche Podiumsdiskussionen. Solche Veranstaltungen sind nicht nur wichtig, um Wissen zu vermitteln, sondern auch, um unterschiedliche Perspektiven zu hören und mit der Öffentlichkeit in einen echten Dialog zu treten. Darüber hinaus ist es essenziell, dass auch politische Entscheidungsträgerinnen und -träger mit einbezogen werden. In meiner Funktion als Sprecherin des Forums Gesundheitsstandort Baden-Württemberg habe ich die Möglichkeit, wichtige Themen wie Datenzugang, Digitalisierung oder die Zusammenarbeit mit der Industrie aktiv zu platzieren und mitzugestalten. So konnten wir beispielsweise konkrete Fortschritte in der Regulierung und Organisation gemeinsamer Projekte erzielen – ein zentraler Schritt für eine innovationsfreundliche Gesundheitsforschung und -versorgung.
Als Direktorin eines bioinformatischen Instituts verarbeiten Sie hochsensible klinische und molekulare Daten. Wie schätzen Sie die aktuelle Bedrohungslage für Forschungseinrichtungen ein, die wie Ihre mit kritischen Gesundheitsdaten arbeiten? Welche besonderen Sicherheitsanforderungen gelten für Ihre Arbeit im Kontext von KRITIS?
Gerade wenn man – wie wir – mit hochsensiblen klinischen und molekularen Gesundheitsdaten arbeitet, ist es essenziell, sich der Verantwortung bewusst zu sein. Neben einem ausgeprägten Sicherheitsverständnis braucht es klare Prozesse und Strukturen, um die Datenintegrität und -sicherheit jederzeit zu gewährleisten.
Unsere bioinformatischen Infrastrukturen sind deshalb im KRITIS-konformen Rechenzentrum des Zentrums für Digitalisierung und Informationstechnologie (ZDI) untergebracht. KRITIS steht für kritische Infrastrukturen, also Einrichtungen, die für das Gemeinwohl und das Funktionieren zentraler Versorgungsbereiche – wie Gesundheit, Energie oder IT – unerlässlich sind. In unserem Fall betrifft das insbesondere den Schutz vor Cyberangriffen oder Datenverlust im Umgang mit den Daten von Patientinnen und Patienten.
Diese KRITIS-konformen Umgebungen unterliegen Zutritts-, Zugriffs- und Sicherheitsrichtlinien. Aber technische Infrastruktur allein reicht nicht aus. Ebenso wichtig ist ein sensibilisiertes und geschultes Team. Deshalb legen wir großen Wert auf regelmäßige Schulungen unserer Mitarbeitenden und enge Abstimmungen mit dem Datenschutz, dem Datenintegrationszentrum (DIZ) sowie dem ZDI.
Nur durch das Zusammenspiel aus technischer Absicherung, organisatorischer Kontrolle und einem Bewusstsein für die Bedeutung von Datenhoheit können wir verantwortungsvoll, sicher und nachhaltig mit Gesundheitsdaten arbeiten – im Interesse der Forschung und vor allem der Patientinnen und Patienten.
Im Rahmen der Initiative Personalized Medicine for Onkology, kurz PM4Onco, entwickeln Sie eine Infrastruktur für den sicheren Datenaustausch zwischen Zentren. Welche technischen und organisatorischen Prinzipien sind dabei entscheidend? Welche konkreten Use Cases sehen Sie für eine verbesserte Versorgung der Patientinnen und Patienten durch diese Art von Dateninfrastruktur?
Im Rahmen von PM4Onco verfolgen wir den Ansatz einer dezentralen Datenverarbeitung. Das bedeutet, die Daten verbleiben am jeweiligen Standort – also dort, wo sie entstehen – und die Analyse erfolgt lokal über standardisierte Pipelines, die über die Datenintegrationszentren angestoßen werden. Dadurch behalten die Standorte die Datenhoheit und gleichzeitig ermöglichen wir eine standortübergreifende Vergleichbarkeit und Qualität der Analysen.
Für den standortübergreifenden Austausch klinischer Informationen ist Interoperabilität essenziell. Deshalb arbeiten wir aktiv an der Weiterentwicklung von Erweiterungsmodulen für die Kerndatensätze der Medizininformatik-Initiative (MII). Konkret haben wir an dem Modul „Onkologie“ mitgewirkt und zusätzlich ein neues Erweiterungsmodul „Molekulares Tumorboard“ initiiert. In Kombination mit den Modulen „PathologieBefund“ und „Molekulargenetischer Befundbericht“ entsteht so eine strukturierte Grundlage, um standortübergreifend relevante klinische Daten bereitzustellen – zum Beispiel auch für das Modellvorhaben Genomsequenzierung. Ein konkreter Anwendungsfall ist die strukturierte Bereitstellung der Daten im Rahmen des MTB am Tumorzentrum Freiburg. Durch die Interoperabilität können Therapieentscheidungen schneller, evidenzbasierter und mit breiterer Datenbasis getroffen werden – was letztlich den Patientinnen und Patienten zugutekommt.
nicht nur für die eigene Behandlung, sondern auch zur Verbesserung künftiger Therapien. Viele zeigen große Bereitschaft zur Datenfreigabe, wenn sie erkennen, dass sie damit einen Beitrag für andere leisten.
Wichtig ist auch die enge Zusammenarbeit mit Patientenvertreterinnen und -vertretern, die uns helfen, neue Perspektiven zu entwickeln und verständlich zu kommunizieren. Wir legen großen Wert auf eine gemeinsame Sprache, die auch komplexe wissenschaftliche Inhalte nachvollziehbar macht. Nur so gelingt echte Teilhabe und Vertrauen in die datenbasierte Medizin der Zukunft.
Der Begriff „digitale Resilienz“ umfasst mehr als nur IT-Schutz. Was bedeutet Resilienz in Ihrem Kontext, und wie stellen Sie sicher, dass Systeme auch im Krisenfall funktionsfähig bleiben? Reicht Technik allein aus?
Die beste Infrastruktur bringt wenig, wenn Mitarbeitende nicht wissen, wie sie im Ernstfall handeln oder Daten sicher bereitstellen.
Ein zentrales Beispiel oder ein Use Case dafür ist die Entwicklung einer standardisierten Pipeline für die Analyse von Whole-Exome-Sequenzierungen (WES), die aktuell in enger Zusammenarbeit mit den Verbundpartnern von PM4Onco aufgebaut wird. Ziel ist, dass alle 24 beteiligten Standorte diese Pipeline einsetzen können – was durch den gemeinsamen Entwicklungsprozess nicht nur technisch effizient, sondern auch inhaltlich breit abgestimmt ist.
Gerade im Kontext personalisierter Medizin stellt sich auch die Frage nach dem Vertrauen von Patientinnen und Patienten: Wie schaffen Sie Akzeptanz für die Weitergabe und Analyse sensibler Gesundheitsdaten im Rahmen Ihrer Forschungsvorhaben?
Vertrauen entsteht durch Transparenz und Dialog. Wir erklären den behandelten Menschen klar und verständlich, wofür ihre Daten genutzt werden –
Technik ist ohne Frage ein zentraler Bestandteil digitaler Resilienz – etwa durch gesicherte Rechenzentren, verschlüsselte Übertragungswege und redundante Datenhaltung. Aber Technik allein reicht nicht aus. Resilienz bedeutet in unserem Kontext vor allem: Systeme müssen auch unter Stress oder in Krisensituationen funktionieren – und das setzt ein Zusammenspiel aus Technologie, Prozessen und Menschen voraus. Das hat sich besonders während der Covid-19-Pandemie gezeigt: Innerhalb kürzester
Zeit mussten neue digitale Lösungen etabliert, Daten geteilt und analysiert werden – oft dezentral, sicher und unter großem Zeitdruck. Das hat nur funktioniert, weil es eine klare Aufgabenverteilung, funktionierende Kommunikationswege und eine enge Abstimmung zwischen den Beteiligten gab. Auch die zunehmenden Cyberangriffe auf Forschungseinrichtungen und Krankenhäuser verdeutlichen, dass technische Schutzmaßnahmen allein nicht ausreichen. Die beste Infrastruktur bringt wenig, wenn Mitarbeitende nicht wissen, wie sie im Ernstfall handeln oder Daten sicher bereitstellen. Deshalb setzen wir auf regelmäßige Schulungen, realistische Szenarienübungen und eine enge Zusammenarbeit mit dem Datenintegrationszentrum, dem ZDI und dem Datenschutz – mit dem Ziel, nicht nur technisch, sondern auch organisatorisch und kommunikativ resilient zu sein.
Und zum Abschluss: Wenn Sie eine Vision für die nächsten fünf bis zehn Jahre formulieren dürfen, wie sollte eine resiliente, vernetzte und auf die Patientinnen und Patienten zentrierte Infrastruktur für Forschung und Versorgung aussehen?
Auf jeden Fall gemeinsam! Ich bin fest davon überzeugt, dass wir in den nächsten fünf bis zehn Jahren eine resiliente, vernetzte und patientenzentrierte Infrastruktur für Forschung und Versorgung schaffen – und zwar im Schulterschluss aller Beteiligten. Die Grundlage dafür haben wir bereits gelegt und leben sie an vielen Stellen schon heute. In Zukunft wird es selbstverständlich sein, dass nicht nur Universitätskliniken, sondern auch Krankenhäuser der Regelversorgung und ambulante Praxen nahtlos eingebunden sind. Damit entsteht ein durchgängiger, digital unterstützter Versorgungspfad – eine echte „Patient Journey“, die Forschung und Versorgung zusammenführt.
Ein zentrales Element wird dabei die aktive Einbindung der Patientinnen und Patienten sein: auf Augenhöhe, im Dialog, über alle Ebenen hinweg. Künstliche Intelligenz wird zunehmend zum integralen Bestandteil der Datenanalyse, Visualisierung und Entscheidungsunterstützung – jedoch immer als Ergänzung, nicht Ersatz für die ärztliche Verantwortung.
Ich bin überzeugt: In zehn Jahren profitieren alle von dieser vernetzten Infrastruktur – Patientinnen und Patienten, medizinisches und pflegerisches Personal, Forschung, Verwaltung und nicht zuletzt die gesamte Gesellschaft.
Prof. Dr. Dr. Melanie Börries
Institutsdirektion Institut für Medizinische Bioinformatik und Systemmedizin (IBSM), Universitätsklinikum Freiburg
Melanie Börries ist promovierte Humanmedizinerin und Zellbiologin. Im Rahmen der Exzellenzinitiative war sie von 2009 bis 2013 Gruppenleiterin am Freiburg Institute for Advanced Studies. Von 2013 bis 2019 leitete sie eine Nachwuchsgruppe für Systembiologie am Institut für Molekulare Medizin und Zellforschung. Seit 2019 ist sie W3-Professorin für Medizinische Bioinformatik an der Universität Freiburg und Direktorin des Instituts für Medizinische Bioinformatik und Systemmedizin am Universitätsklinikum Freiburg. Darüber hinaus leitet sie das Boerries Lab für Systembiologie und Systemmedizin. Seit 2024 ist sie Sprecherin des DKTK-Standorts Freiburg, seit 2025 zudem stellvertretende Sprecherin des DKTK. Außerdem ist sie Direktorin für den Bereich Data Driven Medicine am Tumorzentrum Freiburg und koordiniert im Rahmen der Medizininformatik-Initiative den Use Case 3 „PM4Onco – Personalized Medicine for Oncology“. Im Forum Gesundheitsstandort BadenWürttemberg ist sie Sprecherin für das Ministerium für Wissenschaft, Forschung und Kunst und engagiert sich für die Gestaltung und Umsetzung von Themen wie Datenzugang, Digitalisierung sowie Zusammenarbeit mit der Industrie. Für das Zentrum für Innovative Versorgung und im Rahmen der Digitalisierungsstrategie des Universitätsklinikums Freiburg leitet sie ein interdisziplinäres Team, das die Entwicklung und Umsetzung der „Meine Uniklinik-App“ verantwortet.
Wolfram Wildermuth Partner
Audit, Public Sector & Healthcare
KPMG AG
Wirtschaftsprüfungsgesellschaft wwildermuth@kpmg.com
Laura Kneip Sektormanagerin
Healthcare
KPMG AG
Wirtschaftsprüfungsgesellschaft lkneip@kpmg.com
SCHWERPUNKT
FACHBEITRAG
Maria Hömberg, Senior Managerin und Julius Schniedewind, beide KPMG AG Wirtschaftsprüfungsgesellschaft
Mit NIS-2 setzt die EU neue Maßstäbe für Cyber-Sicherheit im Gesundheitswesen und stellt Kliniken wie Forschungseinrichtungen vor umfassende organisatorische und technische Veränderungen
In der heutigen digitalen Welt treten Cyberangriffe immer häufiger auf und stellen eine der bedeutendsten Bedrohungen für Organisationen dar. Auch im Gesundheitssektor, wo sensible medizinische Daten verarbeitet werden, geraten kritische Systeme zunehmend ins Visier von Cyberkriminellen, so beispielsweise die Ameos-Kliniken, auf die erst im Juli 2025 ein Cyberangriff erfolgte. Dank der vorhandenen Notfallpläne und dem engagierten Einsatz des Personals konnte ein längerer Ausfall verhindert werden, sodass die Versorgung der Patientinnen und Patienten kaum beeinträchtigt wurde. Dennoch verdeutlicht dieser Vorfall eindrucksvoll die allgegenwärtige Bedrohung, der sich der Gesundheitssektor jeden Tag gegenübersieht.
Um der Bedrohung entgegenzuwirken und die Bevölkerung vor den Auswirkungen zu schützen, werden auf nationaler und internationaler Ebene Gesetze und andere Regelwerke verabschiedet. Einen besonderen Fokus auf die Versorgung der Bevölkerung hat die weil EU Kontext würde ich das Original hinschreiben „Network and Information Security Directive 2“ der EU, kurz NIS-2. Sie zielt darauf ab, ein einheitliches und hohes Cybersicherheitsniveau für kritische Sektoren in der EU zu etablieren. Bis Oktober 2024 sollte diese Richtlinie in nationales Recht umgesetzt werden.
In Deutschland wurde dafür zwar ein Regierungsentwurf verabschiedet, der aber aufgrund des Regierungswechsels noch nicht in Gesetzesform überführt wurde. Aktuell gehen wir von einer Umsetzung bis Ende 2025 aus.
Die NIS-2 definiert betroffene Sektoren wie beispielsweise Energie, Verkehr, Bankenwesen und auch das Gesundheitswesen. Zum Gesundheitswesen zählen neben Gesundheitsdienstleistenden wie Krankenhäusern und Apotheken auch EU-Referenzlaboratorien, Unternehmen, die Notlagenmedizinprodukte und Pharmaprodukte herstellen, sowie Forschungseinrichtungen für Arzneimittel. Sofern eine dieser Einrichtungen mehr als 50 Mitarbeitende beschäftigt und/ oder mehr als 10 Millionen Euro Umsatz erzielt, handelt es sich im Sinne der Richtlinie um eine betroffene Einrichtung und die Mindestanforderungen der NIS-2 sind umzusetzen. Findet keine oder eine unzureichende Umsetzung statt, so können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes verhängt werden. Zusätzlich kann die Einrichtungsleitung bei Verstößen haftbar gemacht werden.
Ein zentraler Bestandteil der NIS-2 – neben einem koordinierten Rahmen für die Cybersicherheit und die internationale Zusammenarbeit – ist das Risikomanagement. Im Folgenden werden die für die Risikobehandlung aufgeführten zehn Mindestanforderungen genannt sowie drei davon näher erläutert und in den Kontext des Gesundheitswesens gesetzt.
Diese drei betreffen die grundlegenden Aspekte zur Erhöhung des Sicherheitsniveaus: die Konzeptentwicklung beziehungsweise die Einführung eines Informationssicherheitsmanagementsystems (ISMS), die Bewältigung von Sicherheitsvorfällen mithilfe eines Security Operations Centers (SOC) sowie eines Security Information and Event Managements (SIEM) und die Aufrechterhaltung des Betriebs durch ein Business Continuity Management System (BCMS). Hierbei gehen wir auch auf die besonderen Herausforderungen ein, die bei ihrer Umsetzung aus unserer Erfahrung heraus beachtet werden sollten.
Einführung eines Informationssicherheitsmanagementsystems (ISMS)
Ein ISMS definiert Richtlinien, Verfahren und Prozesse, um die Informationssicherheit einer Organisation zu gewährleisten, zu steuern und zu verbessern.
Dafür ist eine – im Idealfall zentrale – Übersicht über alle Hardware-, Software- und Informationswerte sehr hilfreich, wenn nicht sogar zwingend notwendig. Sie wird in der Realität durch mehrere Faktoren erschwert. So ist es vor allem in Krankenhäusern als großen und komplexen Vertretern des Gesundheitssektors meist zeitaufwendig, diesen Überblick zu gewinnen. Die häufig historisch und dezentral gewachsene IT-Infrastruktur ist zusätzlich oft heterogen und durch die Integration von Medizingeräten und anderer „Operational Technology“ (OT) wie der Gebäudeautomation schwer zu durchdringen. Hinzu kommt, dass Teile dieser ohnehin schon sehr komplexen und schwer zu überblickenden Landschaften in vielen Fällen von externen Dienstleistungsunternehmen aufgebaut und betrieben werden.
In diesem Umfeld müssen sowohl personenbezogene als auch medizinische Daten verarbeitet und geschützt werden, was zusätzliche und regional unterschiedliche regulatorische Anforderungen mit sich bringt. Die am Beispiel von Krankenhäusern erläuterten Herausforderungen gelten im Prinzip genauso für andere am Gesundheitswesen Beteiligte, sind aber dort wegen der im Allgemeinen weniger komplexen Infrastruktur weniger ausgeprägt.
Um all diese Aufgaben zu meistern, bieten Standards wie die ISO/IEC 27001, die BSI IT-Grundschutz, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurde, oder der branchenspezifische Sicherheitsstandard (B3S) „Medizinische Versorgung“ Orientierung und Maßstäbe. Größere Krankenhäuser, die bereits unter die Verordnung für Kritische Infrastrukturen (BSI-KritisV) fallen, sind sich dieser Herausforderungen häufig schon bewusst.
Bewältigung von Sicherheitsvorfällen (SOC/SIEM)
Der Aufbau eines Security Operations Center (SOC) und eines Security Information and Event Management (SIEM) ist wichtig für die Protokollierung, die Detektion und die schnelle Reaktion auf Sicherheitsvorfälle wie Ransomware-Angriffe. Laut dem Threat Landscape Report der EU-Agentur für Cybersicherheit (englisch: European Network and Information Security Agency, ENISA) sind diese Vorkommnisse im Gesundheitssektor besonders gefährlich und machten in der Vergangenheit über die Hälfte der gemeldeten Sicherheitsvorfälle aus.
Die größten Herausforderungen in der Umsetzung sind dabei die großflächige Anbindung von vielen unterschiedlichen Datenquellen unter Beachtung des Datenschutzrechts und die Definition von angemessenen und schnellen (idealerweise automatisierten) Reaktionen auf Sicherheitsvorfälle, ohne dass der Betrieb eingeschränkt wird. Um diese Herausforderungen effektiv zu meistern, muss zunächst entschieden werden, ob der Aufbau eines SOC und eines SIEMSystems innerhalb der Organisation erfolgen soll/kann oder ob eine Outsourcingstrategie die bessere Option ist. Der Aufbau eigener Kompetenzen und Ressourcen in einem SOC-Team konkurriert mit der Beauftragung eines externen Dienstleistungsunternehmens, das Erfahrung mit dem Betrieb von SOCs und SIEM-Systemen hat, dessen Fachpersonal rund um die Uhr zur Verfügung steht und mit dem man Service Level Agreements (SLAs) individuell aushandeln kann. Erfahrungsgemäß lohnt sich der Einsatz eines eigenen SOC-Teams für die wenigsten Organisationen innerhalb und außerhalb des Gesundheitssektors. Häufig wird deshalb auf etablierte Dienstleistungsunternehmen zurückgegriffen. Die Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (OH SzA) des Bundesamts für Sicherheit in der Informationstechnik (BSI) kann dabei als Kriterienkatalog für die individuelle Umsetzung verwendet werden.
Aufrechterhaltung des Betriebs (BCMS)
Ein Business Continuity Management System (BCMS) sichert die Geschäftskontinuität in Krisensituationen wie beispielsweise bei Cyberangriffen, technischen Ausfällen oder Naturkatastrophen. Für die meisten Organisationen hat eine Betriebsverzögerung oder ein -ausfall katastrophale Folgen, die durch ein etabliertes BCMS verringert oder gar vermieden werden können. Während alle Einrichtungen des Gesundheitssektors von einem BCMS profitieren können, stehen Krankenhäuser vor der besonderen Aufgabe, wichtige medizinische Prozesse und die Versorgung von Patientinnen und Patienten auch in Krisen zuverlässig aufrechtzuerhalten beziehungsweise schnell wiederherzustellen, um die Gefahr für Menschenleben so gering wie möglich zu halten. Um das zu gewährleisten, ist ein Krankenhausalarm- und -einsatzplan (KAEP) in allen Bundesländern Pflicht. Er deckt aber erfahrungsgemäß nicht alle Anforderungen an ein BCMS im Sinne der NIS-2 ab, sondern konzentriert sich auf Katastrophenschutz und Zivilschutz. Es ergeben sich allerdings zwischen KAEP und BCMS viele Überschneidungen und Synergien, die genutzt werden können. Zur Umsetzung eines effektiven BCMS können Standards wie ISO 22301 oder der BSI-Standard 200-4 als Orientierung und Maßstab genutzt werden. Ein BCMS ist zudem wichtig für die Aufrechterhaltung der Versorgungssicherheit als Betreiber einer kritischen Infrastruktur.
Weitere NIS-2-Anforderungen
Neben den oben erläuterten Anforderungen werden auch die folgenden explizit erwähnt:
• Ein strukturiertes Management der Lieferketten und Dienstleistenden, um Verantwortlichkeiten klar zu definieren
• Definierte Sicherheitsanforderungen für IT-Systeme und deren Komponenten inklusive Schwachstellenmanagement
•Eine regelmäßige Bewertung der durchgeführten Maßnahmen in Form von internen und externen Audits
•Dedizierte Schulungen zu Cybersicherheit und -hygiene, um alle Mitarbeitenden in ihren Rollen zu befähigen
•Der strukturierte Einsatz von kryptografischen Maßnahmen zum Schutz der verarbeiteten Daten
•Ein Konzept für Zugriffskontrollen und physische Sicherheit
•Der Einsatz von Multi-Faktor-Authentisierung oder kontinuierlicher Authentisierung
Alle genannten Anforderungen gelten in der Richtlinie als mindestens umzusetzende Maßnahmen. Grundsätzlich ist aber zu beachten, dass alle identifizierten Risiken behandelt und auf ein akzeptables Maß reduziert werden sollten.
Fazit und Ausblick
Die Umsetzung der NIS-2-Richtlinie ist regulatorisch verpflichtend, verspricht damit aber auch einen deutlichen Anstieg des Sicherheitsniveaus und der Resilienz in unterschiedlichen Sektoren, darunter auch im Gesundheitswesen. Natürlich ist niemand völlig sicher vor einem Cyberangriff, allerdings können Wahrscheinlichkeiten und Auswirkungen verringert werden. Dabei ist die Ausgangssituation für die verschiedenen Einrichtungen sehr unterschiedlich.
Während vor allem Krankenhäuser schon mit den Anforderungen als kritische Infrastruktur vertraut sind oder sich im Kontext von bereits geltenden Gesetzen mit dem Thema Informationssicherheit auseinandersetzen mussten, sind andere Organisationen noch in der Analyse- und Aufbauphase. Vor allem für Einrichtungen, die sich in der Vergangenheit noch nicht strukturiert mit Informationssicherheit und Resilienz auseinandergesetzt haben, bedeutet die Umsetzung der NIS-2-Richtlinie, je nach Einrichtungsgröße, einen
gewissen Aufwand, damit einhergehend aber auch eine deutliche Verbesserung des Sicherheitsniveaus und der Resilienz. Da die Bedrohung aus dem Cyberraum nicht nur im Allgemeinen, sondern insbesondere im Gesundheitssektor in den letzten Jahren deutlich zugenommen hat, ist ein ganzheitlicher Schutz der digitalen Infrastruktur, wie ihn sich die NIS-2 zum Ziel setzt, für das Gesundheitswesen essenziell. Um dieses Ziel zu erreichen, ist eine einrichtungsumfassende Strategie, die sowohl technische als auch organisatorische Maßnahmen beinhaltet, genauso unumgänglich wie die Unterstützung der Einrichtungsleitung und das Mitwirken eines jeden Mitarbeiters.
Maria Hömberg Senior Managerin
Consulting,
Cyber Security & Resilience KPMG AG
Wirtschaftsprüfungsgesellschaft mhoemberg@kpmg.com
Julius Schniewind
Consulting,
Cyber Security & Resilience KPMG AG
Wirtschaftsprüfungsgesellschaft juliusschniewind@kpmg.com
SCHWERPUNKT
FACHBEITRAG
Sebastian Blass, Partner, Alexander Miller, Senior Manager und Dennis Denk, Senior Manager, KPMG AG Wirtschaftsprüfungsgesellschaft
C5-Testat jetzt Pflicht: So erfüllen Gesundheitsorganisationen ihre Nachweispflicht nach § 393 SGB V
Die Zahl gezielter Cyberangriffe auf Cloud-Infrastrukturen im Gesundheitswesen nimmt stetig zu. Im Fokus der Angriffe stehen besonders schützenswerte Sozial- und Gesundheitsdaten, die in cloudbasierten Systemen verarbeitet werden – etwa in elektronischen Patientenakten, Krankenhausinformationssystemen oder Plattformen, über die mit den kostentragenden Organisationen abgerechnet wird.
Mit der fortschreitenden Digitalisierung der Branche wächst die Abhängigkeit von Cloud-Diensten. Gleichzeitig stellt sich die Frage: Wie lässt sich die Informationssicherheit dieser Dienste zuverlässig, nachvollziehbar und dauerhaft gewährleisten?
Eine Antwort bietet der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Cloud Computing Compliance Criteria Catalogue (C5). Dieser Katalog definiert Mindestanforderungen an die Informationssicherheit von Cloud-Diensten und bildet die Grundlage für unabhängige Prüfungen durch Wirtschaftsprüfungsgesellschaften.
Seit Inkrafttreten des mit dem Digital-Gesetz (DigiG) zum 1. Juli 2024 neu eingeführten § 393 des fünften Sozialgesetzbuchs (SGB V) müssen Cloud-Dienstleistende im Gesundheitswesen ein angemessenes Sicherheitsniveau nachweisen. In der Praxis erfolgt dies regelmäßig durch ein C5-Testat – oder übergangsweise durch einen gleichwertigen, anerkannten Sicherheitsnachweis.
Hintergrund: Was ist ein C5-Testat?
Der C5-Katalog (Version 2020) umfasst derzeit 17 Themenfelder mit insgesamt 121 Prüfkriterien, die in zwei Kategorien unterteilt sind:
• Basiskriterien – bilden den Mindestumfang einer Prüfung nach diesem Kriterienkatalog ab.
• Zusatzkriterien – können zusätzlich zu den Basiskriterien in eine Prüfung aufgeneommen werden, um Kunden mit einem höheren Schutzbedarf anzusprechen.
Die Prüfung erfolgt durch unabhängige Wirtschaftsprüfungsgesellschaften auf Basis etablierter Standards wie IDW PS 951 oder ISAE 3000/ISAE 3402 und berücksichtigt sowohl technische als auch organisatorische Aspekte des Dienstes.
Es gibt zwei Testattypen:
• Typ-1: Bewertung der Angemessenheit der Maßnahmen zu einem bestimmten Stichtag
• Typ-2: Zusätzlich Bewertung der Wirksamkeit über einen Prüfzeitraum hinweg (zum Beispiel sechs bis zwölf Monate)
Typ-1-Testate sind nicht automatisch befristet, verlieren jedoch mit der Zeit an Aussagekraft. Typ-2Testate müssen kontinuierlich erneuert werden, um die fortlaufende Wirksamkeit der Maßnahmen zu belegen.
3: Typ-1 vs. Typ-2: Unterschiede und Prüfungsansätze
Testattyp Fokus Zeitraum Aussagekraft
Typ 1 Design der Kontrollen
Stichtag (z. B. 31. Oktober 2025)
Typ 2 Design und Wirksamkeit der Kontrollen Zeitraum: mindestens drei Monate, typischerweise 6-12 Monate (z. B. 1. Juli 2025 bis 30. Juni 2026)
Liefert eine erste Bestätigung über die grundsätzliche Eignung des internen Kontrollsystems
Tatsächliche Umsetzung im operative Betrieb; vollwertiger Nachweis der C5-Konformität – insbesondere für Kunden im Gesundheitswesen von zentraler Bedeutung
Bedeutung für Cloud-Anbieter
Unternehmen, die Cloud-Dienste für das Gesundheitswesen anbieten oder deren Dienste dort eingesetzt werden, sind nun gesetzlich verpflichtet, die Informationssicherheit ihrer Systeme nachweisbar abzusichern. Auch Krankenhäuser oder IT-Dienstleistende, die cloudbasierte Dienste für Dritte erbringen, können unter bestimmten Voraussetzungen als Cloud-Anbietende im Sinne des C5 gelten – mit entsprechender Nachweispflicht.
Der Weg zum C5-Testat folgt idealerweise einem klar strukturierten Vorgehen:
1. Readiness-Check
Grobe Einschätzung des vorhandenen Reifegrads – einschließlich bestehender Zertifizierungen, Prozesse und Strukturen
2. Gap-Assessment
Systematischer Abgleich der bestehenden Maßnahmen mit den Anforderungen des C5-Katalogs (Soll-Ist-Vergleich)
3. Maßnahmenplanung
Definition konkreter Schritte zur Schließung identifizierter Lücken – mit Zeitplan, Verantwortlichkeiten und Priorisierung
4. Umsetzung und Dokumentation
Implementierung der Maßnahmen und Erstellung prüffähiger Nachweisdokumente
5. Prüfungsvorbereitung und Testierung
Vorbereitung auf die externe Prüfung (Typ 1 oder Typ 2) und Prüfungsdurchführung durch eine unabhängige Prüfungsgesellschaft
Bedeutung für Organisationen im Gesundheitswesen
Leistungserbringende im Gesundheitswesen – also alle Einrichtungen im Sinne des vierten Kapitels des fünften Sozialgesetzbuchs (SGB V), wie Vertrags(zahn) ärztinnen und -ärzte, zugelassene Krankenhäuser, Psychotherapeutinnen und -therapeuten, Apotheken – sowie die gesetzlichen Kranken- und Pflegekassen, sind gemäß § 393 SGB V verpflichtet, sicherzustellen, dass eingesetzte Cloud-Dienste ein angemessenes IT-Sicherheitsniveau nachweisen.
Diese Anforderung geht über das bloße Vorliegen eines C5-Testats hinaus und erfordert klar definierte Steuerungsmaßnahmen:
1. Verantwortlichkeiten und Schnittstellen definieren Vor Beginn der Nachweisprüfung sind klare Rollen und Zuständigkeiten festzulegen – typischerweise im Zusammenspiel von IT (technische Bewertung), Compliance/Datenschutz (regulatorische Anforderungen) und Einkauf (Vertragsgrundlagen).
2. Nachweisprüfung als kontinuierlicher Prozess Es muss regelmäßig geprüft werden, ob:
- Alle eingesetzten Dienstleistenden über ein gültiges C5-Testat (Typ-2) verfügen
- Die Testate aktuell sind und den genutzten Cloud-Dienst auf allen Ebenen (von der Applikation bis zur physischen Infrastruktur) vollständig abdecken
- Etwaige Einschränkungen oder Feststellungen nachvollziehbar dokumentiert sind
3. Bewertung von Einschränkungen und Feststellungen
C5-Testate können qualifizierte Aussagen oder Prüfungsfeststellungen enthalten. Sie sind systematisch auszuwerten und hinsichtlich ihrer Auswirkungen auf die eigene Datenverarbeitung und das Sicherheitsniveau zu bewerten.
4. Integration ins Risikomanagement
Die Ergebnisse der Testatauswertung müssen im Risikomanagementprozess berücksichtigt werden. Risiken, die sich aus fehlenden oder eingeschränkt wirksamen Kontrollen beim Dienstleistenden ergeben, sind zu dokumentieren, zu bewerten und gegebenenfalls zu behandeln.
5. Monitoring und Re-Zertifizierung
Ein strukturierter Monitoringprozess stellt sicher, dass neue Testate eingeholt und ausgewertet werden, Änderungen im Prüfungsumfang (Scope) erkannt werden und die Einhaltung von Übergangsregelungen nachvollziehbar bleibt.
C5-Gleichwertigkeitsverordnung und Übergangsregelung
Die C5-Gleichwertigkeitsverordnung erlaubt übergangsweise den Einsatz alternativer Standards, zum Beispiel:
• Den international anerkannten Standard ISO/IEC 27001 für Informationssicherheits-Managementsysteme (ISMS)
• Die deutsche Methode ISO/IEC 27001 auf Basis von IT-Grundschutz, die die internationale Norm mit den Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) an den IT-Grundschutz kombiniert
• Das Rahmenwerk von der Cloud Security Alliance (CSA) für Cybersecurity-Kontrollen (Cloud Controls Matrix, CCM) v4.0
Diese Nachweise gelten nur befristet und nicht als dauerhafte Alternativen. Ziel bleibt der Nachweis vollständiger C5-Konformität.
Die Voraussetzungen für die übergangsweise Anerkennung der alternativen Verfahren sind:
• Eine dokumentierte Lückenanalyse: Welche C5-Kriterien sind nicht abgedeckt?
• Ein konkreter Maßnahmenplan zur Schließung dieser Lücken
• Die Umsetzung der Maßnahmen innerhalb von 12 Monaten
• Die Testatpflicht:
- Typ-1-Testat: binnen 18 Monaten
- Typ-2-Testat: binnen 24 Monaten
• Die Transparenzpflicht gegenüber Leistungserbringenden und Behörden 6
Die nächste Version kommt – C5:2025
Im Juli 2025 hat das BSI den Community Draft zur neuen C5-Version (C5:2025) veröffentlicht. Die finale Version wird voraussichtlich Ende 2025 erscheinen und soll spätestens ab 2027 verbindlich angewendet werden.
Geplante Änderungen:
• Strukturüberarbeitungen und inhaltliche Aktualisierungen
• Einbindung europäischer Cloud-Sicherheitsanforderungen (EUCS)
• Präzisierungen und Erweiterung der Anforderung
Der aktuelle C5:2020 bleibt bis auf Weiteres die rechtlich relevante Grundlage für Nachweise gemäß § 393 SGB V. Anbietende und Leistungserbringende sollten sich dennoch frühzeitig mit der neuen Version befassen, da sich Anforderungen und Prüfmechanismen erkennbar verschärfen und differenzieren werden.
Fazit: jetzt aktiv werden
Die gesetzliche Pflicht zur Absicherung von Gesundheits- und Sozialdaten in der Cloud ist da –und mit ihr die klare Erwartung an nachvollziehbare, prüfbare und wirksame Informationssicherheit. Das C5-Testat ist nicht nur ein Compliance-Instrument, sondern zunehmend Vergabekriterium, Vertrauenssignal und Risikosteuerungswerkzeug.
Für Cloud-Anbietende:
• Gap-Assessment starten
• Maßnahmen systematisch umsetzen
• Testierung vorbereiten und durchführen
Für Leistungserbringende:
• Anbietende Unternehmen verpflichtend prüfen
• Testate bewerten und Risiken managen
• C5-Nachweis als festen Bestandteil des Risiko- und Dienstleistermanagements verankern
Wer jetzt handelt, positioniert sich nicht nur rechtskonform, sondern auch als verlässliches, sicheres und vertrauenswürdiges Partnerunternehmen in einem zunehmend digitalisierten Gesundheitswesen.
Sebastian Blass
Partner
Regulatory Advisory, Digital Process Compliance KPMG AG
Wirtschaftsprüfungsgesellschaft sblass@kpmg.com
Alexander Miller
Senior Manager
Regulatory Advisory, Public Sector & Healthcare KPMG AG
Wirtschaftsprüfungsgesellschaft alexandermiller@kpmg.com
Dennis Denk
Senior Manager
Regulatory Advisory, Digital Process Compliance KPMG AG
Wirtschaftsprüfungsgesellschaft ddenk@kpmg.com
SCHWERPUNKT
KOLUMNE
Wilhelm Dolle, Partner, KPMG AG Wirtschaftsprüfungsgesellschaft
Warum das Gesundheitswesen sofort handeln muss
Mit der EU-Richtlinie NIS-2 ist das Thema Cybersicherheit endgültig im Zentrum der politischen und wirtschaftlichen Aufmerksamkeit angekommen. Seit ihrem Inkrafttreten zu Beginn des Jahres 2023 verpflichtet die Richtlinie auch in Deutschland eine Vielzahl von Unternehmen – darunter Krankenhäuser, Pflegeeinrichtungen und andere Beteiligte im Gesundheitswesen – zu umfassenden Sicherheitsmaßnahmen. Die Umsetzung in nationales Recht erfolgt aller Voraussicht nach mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) bis Ende 2025.
Was auf dem Papier nach einem wichtigen Schritt in Richtung digitaler Resilienz aussieht, offenbart in der praktischen Umsetzung jedoch erhebliche Herausforderungen. Denn gerade im Gesundheitswesen besteht ein eklatanter Nachholbedarf in Sachen Cybersicherheit. Viele Einrichtungen verfügen weder über ein etabliertes Informationssicherheitsmanagementsystem (ISMS), ein Business-Continuity-Managementsystem (BCMS) noch über die personellen Ressourcen, um die neuen Anforderungen umzusetzen. Die Pflicht zur Einführung technischer und organisatorischer Schutzmaßnahmen, zur 24-Stunden-Meldung von Sicherheitsvorfällen und zur Überprüfung der eigenen Lieferkette stellt insbesondere kleinere Träger vor große Probleme.
Hinzu kommt ein strukturelles Problem: der Fachkräftemangel. Schon heute fehlen in Deutschland Tausende IT-Sicherheitsexpertinnen und -experten – und das Gesundheitswesen konkurriert mit Industrie, Verwaltung und Finanzsektor um dieselben Talente. Ohne gezielte Förderprogramme, praxisnahe Schulungen und attraktive Arbeitsbedingungen droht die Umsetzung der NIS-2-Vorgaben zu scheitern – nicht aus mangelndem Willen, sondern aus Mangel an Menschen. Unternehmen und Behörden können dem Fachkräftemangel in der Cybersicherheit mit verschiedenen Maßnahmen begegnen. Dazu gehören die Attraktivitätssteigerung des Arbeitsplatzes, Investitionen in Aus- und Weiterbildung, die Nutzung von Automatisierung und KI sowie die Zusammenarbeit mit externen Dienstleistern.
Dabei ist der Handlungsdruck enorm. Cyberangriffe auf Krankenhäuser und medizinische Einrichtungen haben in den letzten Jahren stark zugenommen. Die Folgen reichen von Datenverlust über Betriebsunterbrechungen bis hin zu Gefährdungen der Sicherheit von Patientinnen und Patienten. Wer hier nicht investiert, riskiert nicht nur Bußgelder in Millionenhöhe, sondern auch das Vertrauen der Öffentlichkeit.
Die NIS-2-Richtlinie ist ein Weckruf – und eine Chance. Doch sie wird nur dann Wirkung entfalten, wenn Politik, Träger und Fachkräfte gemeinsam an einem Strang ziehen. Hierzu brauchen wir nicht nur Regeln, sondern auch Ressourcen.
Wilhelm Dolle Partner
Consulting – Cyber Security & Resilience
KPMG AG
Wirtschaftsprüfungsgesellschaft wdolle@kpmg.com
Was auf dem Papier nach einem wichtigen Schritt in Richtung digitaler Resilienz aussieht, offenbart in der praktischen Umsetzung jedoch erhebliche Herausforderungen.
KPMG AG
Wirtschaftsprüfungsgesellschaft
Heidestraße 58 10557 Berlin
Redaktion
Julia Kaub (V.i.S.d.P.)
Partnerin
Regulatory Advisory, Public Sector & Healthcare
T +49 89 9282 - 4419
jkaub@kpmg.com
Sevilay Hüsman-Koecke
Direktorin
Healthcare
T +49 721 4613 - 8127 shuesmankoecke@kpmg.com
Laura Kneip
Sektormanagerin
Healthcare
T +49 911 5973-3885
lkneip@kpmg.com
www.kpmg.de/gesundheit
www.kpmg.de/socialmedia
Anmeldungen/Abmeldungen/Anschriftenänderungen für die Printausgabe des Gesundheitsbarometers
Laura Kneip T +49 911 5973-3885 lkneip@kpmg.com
Weitere Informationen www.kpmg.de/gesundheit
ISSN (Print) 2364 - 3145
ISSN (Online) 2364 - 3153
Sie wollen regelmäßig über aktuelle Themen der Gesundheitsbranche informiert werden? Abonnieren Sie unser Gesundheitsbarometer als Print- oder Onlineexemplar. www.kpmg.de/gesundheitsbarometer
Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründ l iche Analyse der betreffenden Situation.
Die Ansichten und Meinungen in Gastbeiträgen sind die des Interviewten / S tudienteilnehmers / Verfassers* und entsprechen nicht unbedingt den Ansichten und Meinungen von KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht.
© 2025 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind Marken, die die unabhängigen Mitgliedsfirmen der globalen KPMG-Organisation unter Lizenz verwenden.