Ein Audit nach § 8a BSIG ist kein einmaliger Kontrolltermin, sondern ein umfassender Prozess zur strukturierten Bewertung der IT-Sicherheit und Resilienz in Gesundheitseinrichtungen. Neben einer fundierten Vorbereitung sind insbesondere die Durchführung und Nachbereitung entscheidend für einen nachhaltigen Sicherheitsgewinn. Ziel ist nicht allein die Erfüllung regulatorischer Anforderungen, sondern auch die Etablierung eines kontinuierlichen Verbesserungsprozesses.
Durchführung des Audits
Dokumentenprüfung und Realitätsabgleich
Zunächst wird die eingereichte Dokumentation auf Vollständigkeit und Konformität mit den Vorgaben geprüft. Danach folgt der Abgleich mit der betrieblichen Realität vor Ort. Eine häufige Fehlerquelle ist die Diskrepanz zwischen Papierlage und Praxis. Etwa wenn Richtlinien zu Notfallübungen bestehen, diese aber seit Jahren nicht durchgeführt wurden. Solche Abweichungen werden als Mängel gewertet. Ein transparenter Umgang mit Defiziten ist wesentlich. Werden Verbesserungsmaßnahmen bereits geplant oder eingeleitet, kann dies positiv hervorgehoben werden.
Stichproben, Interviews und Verfügbarkeit von Nachweisen
Die Vor-Ort-Prüfung erfolgt anhand von Stichproben und Gesprächen mit Fachverantwortlichen. Schwierigkeiten entstehen vor allem dann, wenn angeforderte Informationen nicht zeitnah bereitgestellt werden können oder wichtige Personen nicht verfügbar sind. Empfohlen wird der Einsatz eines Audit-Koordinators, der als zentrale Ansprechperson fungiert und für die Bereitstellung aller Nachweise sowie die Steuerung der Abläufe verantwortlich ist.
Ein dedizierter Raum zur Auditabwicklung mit Zugriff auf relevante Systeme, Ausdrucke zentraler Dokumente sowie vorbereitete Ansprechpartner aus IT, Medizintechnik, Haustechnik und Management trägt zur Effizienz bei. Da Auditoren unterschiedliche Schwerpunkte setzen können, sollten Nachweise zu allen relevanten Sicherheitsaspekten (z. B. Softwareentwicklung, Cloud-Dienstleister, Vorfallmanagement) vorbereitet sein.
Bewertungsspielräume und Anforderungen
Trotz standardisierter Anforderungen bestehen in der Praxis Interpretationsspielräume. Unterschiede zeigen sich z. B. bei der Frage, wann ein Angriffserkennungssystem als ausreichend gilt. Einfache IDS-Lösungen werden von manchen Prüfern akzeptiert, andere fordern vollwertige Security Operation Center mit 24/7-Analyse. Die Einordnung solcher Themen sollte durch Abgleich mit Branchenkollegen, Austausch mit Beratern oder durch direkte Rückfragen an das BSI erfolgen. Ein aktiver Dialog mit Auditoren hilft, Erwartungshaltungen zu klären und Missverständnisse zu vermeiden.
Reifegrad- und Umsetzungsgradbewertung
Im Rahmen der Reife- und Umsetzungsgradbewertung müssen Managementsysteme (z. B. ISMS, BCMS) und einzelne Maßnahmenbereiche (z. B. technisch, organisatorisch) auf einer Skala von 1 (geplant) bis 5 (kontinuierlich verbessert) eingeordnet werden. Eine vorgelagerte Selbsteinschätzung ermöglicht eine realistische Vorbereitung. Ziel ist das Erreichen mindestens von Stufe 3. Fehlen grundlegende Prozesse kann dies zu niedrigen Einstufungen führen und erfordert Nachbesserung.
Nachbereitung: Umgang mit Mängeln und kontinuierliche Verbesserung
Systematisches Mängelmanagement
Nach Abschluss des Audits liegt der Fokus auf der Behebung der festgestellten Abweichungen. Schwere Mängel müssen innerhalb weniger Wochen, geringfügige bis zum nächsten Auditzyklus behoben werden. Ein Maßnahmenplan mit Verantwortlichkeiten, Fristen und Kontrollmechanismen bildet die Basis für eine strukturierte Umsetzung. Der Fortschritt sollte regelmäßig dokumentiert und mit der Unternehmensleitung abgestimmt werden. Kritische Risiken gehören in das zentrale Risikoregister.
Meldung an das BSI
Gemäß Vorgabe ist das Prüfergebnis mit allen Mängeln und geplanten Abhilfemaßnahmen dem BSI zu melden. Empfehlungen der Auditoren müssen nicht, können aber freiwillig einbezogen werden. Eine klare Dokumentation und die Einbindung der Prüfstelle in die Erstellung der Meldung reduzieren Nachfragen durch das BSI. Bereits umgesetzte Schritte können im Begleitschreiben aufgeführt werden.
Erkenntnisse für künftige Audits
Nach dem Audit sollte eine strukturierte Analyse erfolgen: Welche Aspekte liefen gut, welche waren problematisch? Welche Ressourcen fehlten? Welche Dokumentationen waren unzureichend? Daraus können Handlungsempfehlungen für künftige Audits und interne Schulungen abgeleitet werden. Besonders hilfreich sind Lessons-Learned-Workshops mit allen Beteiligten. Die Ergebnisse sollten dokumentiert und in das interne Audit-Programm eingebunden werden.
Typische Schwachstellen in der Auditpraxis
Netzwerksegmentierung: In vielen Einrichtungen fehlt eine strukturierte Trennung von Verwaltungsnetz, Medizinprodukten und externen Verbindungen. Segmentierung und Firewalls sollten dokumentiert und kontrolliert werden.
Monitoring und Angriffserkennung: Die Detektion von sicherheitsrelevanten Ereignissen ist oft unzureichend. SIEM-Systeme, Alarmierungsprozesse und personelle Ressourcen zur Auswertung sind vielfach noch im Aufbau.
Patch- und Schwachstellenmanagement: Unvollständige Assetlisten und nicht dokumentierte Patchprozesse führen zu Risiken. Tools zur automatisierten Erfassung und Regelprozesse zur Bewertung sind empfehlenswert.
Notfallvorsorge: Notfallpläne sind häufig veraltet oder nicht erprobt. Übungen sowie klar definierte Rollen und Kommunikationswege sind erforderlich.
Schulungen und Awareness: Einmalige Schulungen reichen nicht aus. Kontinuierliche Sensibilisierung, etwa durch E-Learnings, Sicherheitstrainings oder Phishing-Simulationen, ist notwendig.
Lieferanten- und Drittparteienkontrolle: Verträge mit externen Dienstleistern enthalten oft keine spezifischen Sicherheitsvereinbarungen. Es sollten mindestens Regelungen zur Meldepflicht bei Sicherheitsvorfällen sowie Nachweise zur Zertifizierung vorliegen.
Physische Sicherheit: Zutrittskontrollen zu Serverräumen, Klimatisierung, USV-Anlagen oder Netzverteilern sind oft unzureichend dokumentiert. Auch Facility Management muss in Sicherheitskonzepte eingebunden sein.
Fazit
§8a BSIG-Audits sind weit mehr als eine lästige Pflicht – sie sind ein wirksames Steuerungsinstrument für die Cybersicherheit in Gesundheitseinrichtungen. Entscheidend ist nicht allein, ob ein Audit bestanden wird, sondern wie man es als Lernchance und Impuls zur Weiterentwicklung nutzt. Wer Transparenz gegenüber Prüfern schafft, realistische Selbsteinschätzungen vornimmt und nach der Prüfung konsequent nacharbeitet, etabliert ein Reife- und Verbesserungsprogramm, das über die formalen Mindestanforderungen hinausgeht. CISOs sollten Audits daher als wiederkehrenden Bestandteil eines strategischen Sicherheitsprozesses verstehen – von der Vorbereitung über die Durchführung bis zur nachhaltigen Mängelbeseitigung. Nur so wird aus dem Zwei-Jahres-Termin ein kontinuierlicher Fortschrittsmotor. Die kontinuierliche Verbesserung technischer und organisatorischer Maßnahmen sorgt nicht nur für ein positives Prüfergebnis, sondern erhöht die Resilienz der Einrichtung gegenüber Cyberbedrohungen.
Audit-Stress vermeiden – jetzt Beratung sichern!
Bereiten Sie Ihre Institution gezielt auf das Audit vor. Wir begleiten Sie mit langjähriger Erfahrung, einem bewährten, schrittweisen Vorgehensmodell und praxistauglichen Lösungen.
FAQ
Der Audit-Koordinator ist der zentrale Dreh- und Angelpunkt für die Auditdurchführung. Er koordiniert Termine, stellt sicher, dass relevante Unterlagen und Systeme zugänglich sind, und organisiert die Verfügbarkeit der Ansprechpartner aus IT, Medizintechnik und Management. Wichtig ist, dass diese Person sowohl tiefes Prozessverständnis als auch kommunikative Stärke besitzt – idealerweise mit Erfahrung in regulatorischen Prüfprozessen. Die Rolle sollte nicht nebenbei erfolgen, sondern aktiv vorbereitet und mit ausreichend Ressourcen ausgestattet werden.
Gerade bei Themen wie Angriffserkennung oder Netzwerksegmentierung können die Ansichten von Auditoren auseinandergehen. Während einige einfache IDS-Systeme als ausreichend ansehen, erwarten andere ein vollwertiges SIEM mit 24/7-Überwachung. Hier hilft ein frühzeitiger Dialog mit Auditoren, ergänzende Beratung durch externe Experten oder Austausch mit anderen betroffenen Einrichtungen. Empfehlenswert ist außerdem eine schriftliche Herleitung der gewählten Lösung auf Basis von Risikoanalysen und vorhandenen Ressourcen – das schafft Transparenz und reduziert Bewertungsrisiken.
Ein Audit nach § 8a BSIG ist mehr als eine gesetzliche Pflicht – es ist eine Gelegenheit zur Reifegradsteigerung. Es zwingt dazu, Prozesse ganzheitlich zu durchleuchten, Schnittstellen zwischen IT, Medizintechnik und Management zu analysieren und Sicherheitslücken systematisch zu schließen. Die daraus resultierenden Strukturen – wie ein verbessertes ISMS, gestärkte Lieferantenkontrolle oder strukturierte Awareness-Programme – erhöhen nicht nur die Cyber-Resilienz, sondern auch die operative Stabilität und das Vertrauen von Patienten, Partnern und Aufsichtsbehörden.
