ISMS-Aufbau für eine Klinikgruppe: Informationssicherheit strukturiert, pragmatisch und auditfähig verankern

Eine Klinikgruppe mit mehreren Standorten stand vor der Aufgabe, ihre Informationssicherheit organisatorisch und technisch auf ein neues Niveau zu heben. Die Anforderungen waren vielfältig: Schutz sensibler Patientendaten, steigende regulatorische Erwartungen, zunehmende Cyberrisiken im Gesundheitswesen und der Wunsch, Informationssicherheit dauerhaft in den klinischen und administrativen Alltag zu integrieren.

Ziel des Projekts war der Aufbau eines Informationssicherheitsmanagementsystems orientiert an ISO/IEC 27001:2022 sowie am branchenspezifischen Sicherheitsstandard B3S Gesundheit. Dabei sollte kein rein theoretisches Managementsystem entstehen, sondern ein praxistauglicher Rahmen, der zu den Abläufen einer Klinikgruppe passt und von IT, Geschäftsführung, Fachbereichen und medizinischem Personal mitgetragen wird.

Ausgangssituation

Zu Projektbeginn gab es bereits einzelne Sicherheitsmaßnahmen, technische Schutzmechanismen und dokumentierte Prozesse. Diese waren jedoch historisch gewachsen und nicht durchgängig miteinander verzahnt. Verantwortlichkeiten waren teilweise unklar, Risiken wurden unterschiedlich bewertet und zentrale Dokumente wie Leitlinien, Richtlinien, Notfallkonzepte oder Nachweise lagen nicht in einer einheitlichen Struktur vor.

Hinzu kam die besondere Komplexität des Klinikbetriebs: unterschiedliche Standorte, heterogene IT-Landschaften, medizinische Geräte, externe Dienstleister, hohe Verfügbarkeitsanforderungen und sensible Datenverarbeitung rund um die Patientenversorgung.

Die Klinikgruppe suchte deshalb eine Beratung, die sowohl die regulatorischen Anforderungen versteht als auch die operative Realität im Gesundheitswesen berücksichtigt.

Unser Vorgehen

Zu Beginn führten wir eine strukturierte Bestandsaufnahme durch. Dabei analysierten wir vorhandene Dokumente, Prozesse, technische Maßnahmen und Verantwortlichkeiten. Ergänzend fanden Gespräche mit der IT-Leitung, Datenschutz, Geschäftsführung, Fachabteilungen und ausgewählten Dienstleistern statt.

Auf dieser Basis entstand ein realistisches Bild des aktuellen Reifegrads. Die Ergebnisse wurden nicht als abstrakte Mängelliste aufbereitet, sondern in konkrete Handlungsfelder übersetzt: Governance, Risikomanagement, Asset- und Lieferantenmanagement, Zugriffsschutz, Notfallmanagement, Awareness, Dokumentation und Nachweisfähigkeit.

Anschließend entwickelten wir gemeinsam mit der Klinikgruppe eine ISMS-Struktur, die sich an ISO/IEC 27001:2022 orientiert und die Anforderungen des B3S Gesundheit berücksichtigt. Ein besonderer Fokus lag darauf, die Sicherheitsprozesse mit bestehenden Strukturen zu verbinden, statt zusätzliche Bürokratie zu schaffen.

Zentrale Projektergebnisse

Im Projektverlauf wurden unter anderem folgende Elemente aufgebaut und eingeführt:

- eine übergreifende Informationssicherheitsleitlinie mit klaren Rollen und Verantwortlichkeiten
- ein praxistauglicher Risikomanagementprozess für Informationssicherheitsrisiken
- ein strukturierter Maßnahmenplan auf Basis priorisierter Risiken
- Richtlinien und Standards zu Zugriffen, mobilen Geräten, Dienstleistern, Backup, Protokollierung und sicherem Betrieb
- ein Prozess zur Bewertung und Steuerung externer IT- und Cloud-Dienstleister
- eine nachvollziehbare Dokumentations- und Nachweisstruktur
- regelmäßige Management-Reviews und Berichtslinien an die Geschäftsführung
- Awareness-Maßnahmen für Mitarbeitende mit Bezug zum Klinikalltag
- eine Roadmap zur weiteren Annäherung an ISO/IEC 27001:2022 und B3S Gesundheit

Besonders wichtig war die Übersetzung von Normanforderungen in verständliche und umsetzbare Maßnahmen. So wurden Risiken nicht nur formal dokumentiert, sondern mit konkreten Verantwortlichen, Fristen und Entscheidungen verknüpft. Dadurch entstand ein ISMS, das im Alltag steuerbar ist und nicht nur in Audits funktioniert.

Wirkung für die Klinikgruppe

Durch das Projekt erhielt die Klinikgruppe erstmals eine einheitliche Sicht auf ihre Informationssicherheitsrisiken, bestehende Schutzmaßnahmen und offene Handlungsfelder. Die Geschäftsführung konnte fundierte Entscheidungen treffen, Prioritäten setzen und Investitionen gezielter steuern.

Auch die Zusammenarbeit zwischen IT, Datenschutz, Medizintechnik, Verwaltung und Fachbereichen verbesserte sich spürbar. Informationssicherheit wurde nicht länger ausschließlich als technische Aufgabe verstanden, sondern als gemeinsame Führungs- und Organisationsaufgabe.

Für Audits, Prüfungen und interne Nachweise steht nun eine belastbare Dokumentationsstruktur zur Verfügung. Gleichzeitig wurde die Grundlage geschaffen, das ISMS schrittweise weiterzuentwickeln und dauerhaft in den Regelbetrieb zu überführen.

Warum das Projekt erfolgreich war

Der Erfolg lag vor allem im pragmatischen Vorgehen. Statt mit umfangreichen Standarddokumenten zu starten, wurde zunächst geklärt, welche Risiken für die Klinikgruppe tatsächlich relevant sind und welche Maßnahmen im laufenden Betrieb realistisch umgesetzt werden können.

Die Orientierung an ISO/IEC 27001:2022 und B3S Gesundheit gab dem Projekt einen klaren Rahmen. Gleichzeitig blieb ausreichend Flexibilität, um die Besonderheiten der Klinikgruppe zu berücksichtigen: Patientensicherheit, Verfügbarkeit kritischer Systeme, medizinische Prozesse, Dienstleisterabhängigkeiten und begrenzte Ressourcen im operativen Alltag.

So entstand ein ISMS, das Sicherheit, Nachweisfähigkeit und Praxistauglichkeit miteinander verbindet.

Ergebnis

Die Klinikgruppe verfügt heute über ein strukturiertes, nachvollziehbares und weiterentwicklungsfähiges Informationssicherheitsmanagementsystem. Risiken werden systematisch erfasst, Maßnahmen priorisiert und Verantwortlichkeiten klar gesteuert. Damit wurde eine wichtige Grundlage geschaffen, um Informationssicherheit langfristig als festen Bestandteil der Organisation zu etablieren.

Das Projekt zeigt: Ein ISMS im Gesundheitswesen muss nicht kompliziert sein, um wirksam zu sein. Entscheidend ist, regulatorische Anforderungen, technische Realität und organisatorische Umsetzung sinnvoll miteinander zu verbinden.

‍