Seit der Einstufung als Betreiber Kritischer Infrastrukturen (KRITIS) stehen viele Kliniken vor der Aufgabe, technische und organisatorische Schutzmaßnahmen systematisch zu überprüfen und gemäß § 8a BSIG alle zwei Jahre in einem Audit nachzuweisen. Die Vorbereitung auf diese komplexe Prüfung erfordert strukturiertes Vorgehen, klare Verantwortlichkeiten und umfassende Dokumentation.
Anforderungen gemäß § 8a BSIG
Einrichtungen im Gesundheitswesen, die als KRITIS gelten, unterliegen besonderen IT-Sicherheitsanforderungen. Laut § 8a BSIG sind angemessene Vorkehrungen nach dem Stand der Technik umzusetzen und im Zwei-Jahres-Rhythmus gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) durch eine Prüfung nachzuweisen. Der branchenspezifische Sicherheitsstandard B3S Krankenhaus konkretisiert diese Vorgaben und dient als Grundlage für Audits.
Ziel der Prüfung nach § 8a Abs. 3 BSIG ist die Bewertung der Umsetzung. Abweichungen werden in einer Mängelliste dokumentiert – klassifiziert nach Schweregrad. Bei erheblichen Mängeln kann das BSI eine fristgerechte Beseitigung verlangen. Für KRITIS-CISOs besteht die Herausforderung also nicht nur darin, das Audit formal zu bestehen, sondern aus den Ergebnissen auch nachhaltige Verbesserungen abzuleiten.
BSI-Maßnahmenkatalog und Reifegrade
Der BSI-Maßnahmenkatalog umfasst 135 Kontrollen und orientiert sich an Standards wie ISO 27001 oder dem BSI C5. Abgedeckt werden unter anderem Informationssicherheitsmanagementsysteme (ISMS), Risikomanagement, Zugriffskontrollen, Netzwerksicherheit, Notfallvorsorge und Angriffserkennung. Die Einhaltung der dort beschriebenen Maßnahmen gilt in der Regel als „Stand der Technik“.
Neu seit 2025 ist das Modell zur Reife- und Umsetzungsgradbewertung, das zwei Perspektiven einführt:
- Reifegrad der Managementsysteme (z. B. ISMS, BCMS)
- Umsetzungsgrad einzelner Maßnahmenbereiche (organisatorisch, technisch, personell, physisch, Angriffserkennung)
Beide Bewertungsdimensionen reichen von Stufe 1 (gering) bis Stufe 5 (hoch):
| Stufe | Reifegrad (z. B. ISMS/BCMS) | Umsetzungsgrad (einzelne Maßnahmenbereiche) |
| 1 | Geplant – Erste Konzepte, keine Prozesse | Keine Umsetzung |
| 2 | Teilweise gesteuert – erste Nachweise | Teilweise realisiert |
| 3 | Etabliert – wirksam eingeführt | Umfassend umgesetzt |
| 4 | Messbar – mit KPIs überwacht | Wirksamkeit wird regelmäßig überprüft |
| 5 | Kontinuierlich verbessert – PDCA-Zyklus | Maßnahmen werden stetig optimiert |
Diese Reifegradbewertung ist seit April 2025 für alle neuen Nachweise verpflichtend anzuwenden. Konkret bedeutet das: Auditoren müssen nun in ihren Berichten angeben, welchen Reifegrad das ISMS und BCMS eines Betreibers erreicht und wie hoch der Umsetzungsgrad der einzelnen Maßnahmenbereiche (organisatorisch, personell, physisch, technisch, sowie Angriffserkennung) ist. Hierzu hat das BSI konkrete Kriterien und beispielhafte Mindestmaßnahmen je Stufe definiert. So wird z.B. ein Asset-Inventar als grundlegende organisatorische Maßnahme angesehen, die mindestens auf Umsetzungsgrad 3 vorhanden sein sollte. Erreicht ein Betreiber in einem Bereich weniger als Stufe 3, muss der Prüfbericht erläutern, welche Mängel dafür verantwortlich sind. Insgesamt schafft dieses standardisierte Modell mehr Transparenz und Vergleichbarkeit bei der Nachweiserbringung – allerdings erhöht es auch den Dokumentationsaufwand im Audit. Für CISOs ist es daher wichtig, frühzeitig die eigene Reifegrad-Einordnung vorzunehmen (z.B. via Gap-Analyse) und gezielt Verbesserungen einzuleiten, um bei der Prüfung mindestens mittlere Reifegrade nachweisen zu können.
Vorbereitung auf das Audit
Zeitplanung und Ressourcenmanagement
Oft wird der zeitliche und organisatorische Aufwand unterschätzt. Die Suche nach qualifizierten Prüfern mit Fachwissen in IT, KRITIS und Gesundheitswesen kann herausfordernd sein. Der Auswahlprozess sollte frühzeitig beginnen – idealerweise zwölf Monate vor der Auditfälligkeit.
Der Geltungsbereich der Prüfung muss klar definiert werden. Besonders in Klinikverbünden mit mehreren Standorten ist zu klären, welche Einheiten, Netzwerke und Geräte in die Prüfung einbezogen werden. Eine frühzeitige Bestandsaufnahme bietet die Möglichkeit, Defizite vor dem Audit gezielt anzugehen.
Interdisziplinäre Zusammenarbeit
Die Vorbereitung auf ein §8a-Audit betrifft weit mehr als die IT-Abteilung. Beteiligung ist auch von Medizintechnik, Gebäudemanagement, Datenschutz, Qualitätsmanagement und der Klinikleitung erforderlich. Kritische Prozesse, Notfallpläne oder Risikobewertungen können nicht ohne fachlichen Input dieser Bereiche abgebildet werden.
Ein interdisziplinärer Vorbereitungskreis mit klar definierten Zuständigkeiten fördert eine strukturierte Zusammenarbeit. Eine Koordinationsrolle, idealerweise mit Prozessmanagement-Erfahrung, kann die Schnittstellen zwischen IT und Fachabteilungen effizient verbinden.
Dokumentation und Nachweisführung
Die Dokumentation spielt eine zentrale Rolle. Häufige Schwachstellen sind veraltete oder unvollständige Unterlagen. Beispielsweise kann ohne ein aktuelles Asset-Inventar keine fundierte Risikoanalyse durchgeführt werden – was zu einem Mangel führt.
Typische Audit-relevante Unterlagen
- ISMS-Dokumentation: Sicherheitsleitlinien, Organisationshandbuch, Verfahren zu Patchmanagement, Änderungswesen, Zugriffsrechten
- Risikomanagement: Risikoanalyse mit KRITIS-Fokus, Risikoregister, Maßnahmenpläne
- Notfallvorsorge: IT-Notfallhandbuch (nach BSI 100-4 oder ISO 22301), Nachweise über Notfallübungen
- Asset- & Netz-Dokumentation: Vollständige Listen aller informationsverarbeitenden Systeme, Netzwerkpläne, Datenflussdiagramme
- Technische Maßnahmen: Netzwerksicherheitskonzepte, Firewallregeln, Konfigurationsrichtlinien, Patch-Management-Nachweise, Backup-Konzepte, Sicherheitsvorfallberichte
- Personalbezogene Maßnahmen: ISB-Organigramm, Schulungskonzepte, Unterweisungsnachweise, Phishing-Tests
- Physische Sicherheit: Gebäudesicherheitskonzepte, Zutrittsregelungen, Wartungsverträge für USV, Klimatisierung etc.
- Systeme zur Angriffserkennung (SzA): Dokumentation eingesetzter Tools (z. B. SIEM, IDS/IPS), Alarmierungs- und Reaktionspläne, Regelwerke
Für höhere Reifegrade ist zudem der Nachweis der Wirksamkeit erforderlich – beispielsweise über Management-Reviews, Key Performance Indicators (KPIs), Auditergebnisse oder kontinuierliche Verbesserungsmaßnahmen. Eine strukturierte Ablage nach Themenbereichen erleichtert dem Auditteam den Zugriff auf relevante Nachweise.
Fazit
Ein Audit nach § 8a BSIG ist mehr als eine gesetzliche Pflicht: Es ist ein Gradmesser für die gelebte Cybersicherheit im Gesundheitswesen. Der neue Reifegradansatz bringt Struktur und Vergleichbarkeit, erfordert jedoch gezielte Vorbereitung und intensive Zusammenarbeit unterschiedlicher Fachbereiche.
Eine frühzeitige Planung, klare Zuständigkeiten, umfassende Dokumentation und eine realistische Einschätzung des Reifegrads bilden die Grundlage für ein erfolgreiches Audit. Darüber hinaus bietet das Verfahren die Chance, die Widerstandsfähigkeit gegenüber IT-Risiken im Klinikalltag nachhaltig zu stärken – zum Schutz der Patientensicherheit und der Versorgungskontinuität.
Audit-Stress vermeiden – jetzt Beratung sichern!
Bereiten Sie Ihre Institution gezielt auf das Audit vor. Wir begleiten Sie mit langjähriger Erfahrung, einem bewährten, schrittweisen Vorgehensmodell und praxistauglichen Lösungen.
FAQ
MUSS-Anforderungen sind verbindliche Mindeststandards, die zwingend umzusetzen sind. Ohne deren vollständige Erfüllung (Umsetzungsgrad ≥ 3) kann ein §8a-Audit nicht bestanden werden. Dazu gehören z. B. die kontinuierliche Erfassung sicherheitsrelevanter Ereignisse, Speicher- und Analysefunktionen sowie grundlegende Alarmierungsmechanismen.
SOLLTE-Anforderungen stellen empfohlene, aber nicht verpflichtende Maßnahmen dar. Ihre Umsetzung ist für den Umsetzungsgrad 4 notwendig. Falls bestimmte SOLLTE-Anforderungen nicht umgesetzt werden, muss dies nachvollziehbar begründet sein. Als Beispiel sind tiefergehende forensische Analysen oder die Anbindung an externe Informationsdienste (z. B. CERTs) zu nennen.
KANN-Anforderungen sind optionale Maßnahmen, die zusätzlichen Schutz bieten. Sie sind für besonders fortgeschrittene Betreiber (Umsetzungsgrad 5) relevant. Dazu zählen etwa KI-gestützte Angriffserkennung oder die Integration externer Threat-Intelligence-Feeds. Ihre Umsetzung ist nicht verpflichtend, zeigt aber hohes Sicherheitsniveau und proaktive Resilienz.
