Seit 2017 gelten Krankenhäuser mit mehr als 30.000 vollstationären Fallzahlen pro Jahr gemäß der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung, BSI-KritisV)[1] als kritische Infrastrukturen im Sinne des §2 Abs. 10 BSI-Gesetz[2]. Damit verbunden sind unter anderem die Schaffung einer Kontaktstelle für das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Berichtspflichten dem BSI gegenüber hinsichtlich Sicherheitsvorfällen sowie dem Nachweis geeigneter Maßnahmen zur Aufrechterhaltung der sicherheitsrelevanten Aspekte der informationstechnischen Systeme. Diese Rolle wird üblicherweise vom Chief Information Security Officer (CISO) bzw. dem Informationssicherheitsbeauftragten (ISB) wahrgenommen. In kleineren Krankenhäusern ohne diese Position kann auch der Chief Information Officer (CIO) diese Aufgaben übernehmen. Der Einfachheit halber werden alle diese Stellen nachfolgend als CISO bezeichnet.
Eine Standortbestimmung von Prof. Dr. Thorsten Daubenfeld und Aaliyah Gusseck von der Hochschule Fresenius, Analytische und Digitale Forensik exklusiv als Erstes auf Krankenhaus-IT.de
Derzeit gibt es allerdings noch keinen uns bekannten strukturierten Überblick über die aktuellen KRITIS-Krankenhäuser sowie die CISO in diesen. Aus diesem Grund ist die Forschungsgruppe um Prof. Dr. Thorsten Daubenfeld vom Studiengang Analytische und Digitale Forensik[3] an der Hochschule Fresenius in Idstein dem Thema nachgegangen und hat folgende Fragen untersucht:
- Wie viele Krankenhäuser sind in Deutschland als KRITIS gemäß §2 Abs. 10 BSI-Gesetz klassifiziert?
- Wie sind die Stellen als CISO bei diesen Krankenhäusern besetzt und welche Voraussetzungen müssen CISO für ihre Stelle mitbringen?
- Wie beurteilen die CISO die Anforderungen an die Stelle und welchen Herausforderungen sehen sie sich gegenüber?
Verantwortlich für die Durchführung der Studie war Aaliyah Gusseck, Absolventin des Studiengangs Analytische und Digitale Forensik. Im Rahmen ihrer Abschlussarbeit erstellte sie zur Beantwortung der gestellten Fragen detaillierte Datenbanken zu KRITIS-Krankenhäusern sowie Profile der CISO in diesen Krankenhäusern. Darüber hinaus führte sie Interviews mit 19 CISO aus unterschiedlichen Krankenhäusern, um einen genauen Einblick in die Herausforderungen der Stelle zu bekommen. Unserem Wissen nach ist dies das erste Mal, dass eine solch detaillierte Studie zu CISO im KRITIS-Sektor Krankenhäuser in Deutschland durchgeführt wurde.
Eine zentrale Motivation für diese Studie war für die Autoren die wahrgenommene Diskrepanz zwischen der Zunahme an Cyberangriffen auf Krankenhäuser einerseits sowie der steigende Fachkräftemangel im IT-Bereich, der regelmäßig vom Branchenverband der deutschen Informations- und Telekommunikationsbranche bitkom untersucht wird[4]. Vor diesem Hintergrund stellten die Autoren sich die Frage, ob es überhaupt genügend qualifizierte Fachkräfte im Markt gibt, um die CISO/ISB-Stellen in Krankenhäusern nachhaltig zu besetzen.
Etwa 100 KRITIS-Krankenhäuser in Deutschland
Es existiert keine den Autoren bekannte öffentliche Datenbank, die alle KRITIS-Krankenhäuser in Deutschland auflistet. Auf Nachfrage beim BSI wurde von dort bestätigt, dass solche Listen zwar intern geführt, aber aus Sicherheitsgründen nicht öffentlich verfügbar gemacht werden. Den Zahlen des BSI ist nur zu entnehmen, dass es im Sektor Gesundheit zum Stichtag 29.04.2024 insgesamt 210 KRITIS-Betreiber mit insgesamt 330 Anlagen gab. Zu den Betreibern gehören neben Krankenhäusern auch Hersteller von Pharmazeutika, Apotheken oder Diagnostiklabore, sodass eine genaue Zahl an KRITIS-Krankenhäusern nicht ohne Weiteres zu recherchieren war.
In einzelnen Quellen im Internet finden sich Zahlen in der Größenordnung von 100-150 KRITIS-Krankenhäuser[5],[6].
Im Rahmen der Studie wurde daher eine unabhängige Datenbank mit KRITIS-Krankenhäusern erstellt.
Zur Identifizierung der KRITIS-Krankenhäuser wurden dazu die auf der Webseite des Gemeinsamen Bundesausschusses[7] aufgelisteten Datenbanken der Krankenhäuser in Deutschland überprüft. Dabei wurden die Krankenhäuser mit mehr als 30.000 stationären Fallzahlen herausgefiltert und in eine eigene Datenbank übertragen.
Insgesamt haben die Autoren 98 Krankenhäuser identifiziert, welche als KRITIS gemäß §2 Abs. 10 BSI-Gesetz klassifiziert sind. Dabei ist zu beachten, dass von vier Krankenhäusern aus dieser Liste eine Rückmeldung hinsichtlich des KRITIS-Status fehlte.
Interessant: Lediglich eines der telefonisch kontaktierten Krankenhäuser wollte während des Telefonats keine Daten hierzu herausgegeben. Die Pressestelle, mit der das Telefonat geführt wurde, begründete dies damit, dass die Anruferin (Autorin der Studie) die Daten weitergeben oder für „kriminelle Zwecke“ missbrauchen könnte.
Die Zahl von 98 KRITIS-Krankenhäusern erscheint vor dem Hintergrund der oben zitierten Zahlen von 100-150 Betreibern plausibel. Da sich die Anzahl an Krankenhäusern in Deutschland im Zeitraum 2019-2022 verringert hat[8] erscheint es nicht unplausibel, dass auch die Anzahl an KRITIS-Krankenhäusern nicht gewachsen ist.
Die KRITIS-Krankenhäuser liegen vor allem in Gebieten mit hoher Bevölkerungsdichte (siehe Abb. 1), obwohl keine eindeutige Korrelation zwischen Fallzahlen und Bevölkerungsdichte festgestellt werden konnte.
Abb. 1: KRITIS-Krankenhäuser und Bevölkerungsdichte der Landkreise (rot: KRITIS-Krankenhaus, grün: mehrere KRITIS-Krankenhäuser)
Bei telefonischen Rückfragen zur Position des CISO wurde oft von den kontaktierten Stellen des Krankenhauses (z.B. Personalwesen, Presseabteilung, IT) bereitwillig geantwortet und dabei häufig auch konkrete Namen genannt. Dabei zeigte sich, dass die Position des CISO in vielen Fällen unbekannt war. Überraschend war für die Autoren der Studie die Bereitschaft der kontaktierten Stellen, die angefragten Informationen ohne kritische Nachfragen zur Verfügung zu stellen. Obwohl manchmal auf den Datenschutz verwiesen wurde, gaben viele Krankenhäuser auch ohne weitere Rückfragen Auskunft. So wurde beispielsweise auf die Frage, ob die Stelle als CISO besetzt wäre geantwortet: „Ja, das macht der Herr Müller“ (Name geändert). Die Anrufe wurden aus organisatorischen Gründen mit dem privaten Mobiltelefon der Autorin durchgeführt. Dabei wurde die Rufnummer jeweils unterdrückt. Obwohl die Autoren der Studie damit keine wissenschaftliche Absicht verfolgten, wirft dieser Aspekt der Studie dennoch interessante Fragen auf. Denn trotz zunehmender Phishing-Angriffe[9] wurde bei den von der Autorin getätigten Anrufen nicht immer kritisch auf Glaubwürdigkeit geprüft. Nur in zwei Fällen wurde eine Information in Form einer hochschulischen E-Mailadresse verlangt. Davon musste in einem Fall der betreuende Professor schriftlich bestätigen, dass es sich tatsächlich um eine wissenschaftliche Studie handelte. Dies wirft die Frage auf, inwieweit ein solcher Umgang mit Informationen möglicherweise zu leichtfertig ist und es einem potenziellen Angreifer im Ernstfall zu leicht machen würde, an Informationen zu kommen die nicht einfach über das Internet frei verfügbar sind. Die Autoren der Studie können hierzu allerdings kein umfassendes Bild zeichnen, möchten aber diesen Sachverhalt zumindest benennen.
CISO: IT-Hintergrund sinnvoll – aber alleine nicht ausreichend
Im Rahmen der Studie wurden insgesamt 72 CISO der zuvor identifizierten KRITIS-Krankenhäuser recherchiert. Das entspricht knapp einem Drittel (73,5%) der KRITIS-Krankenhäuser.
Um die zuständigen CISO der jeweiligen Krankenhäuser zu identifizieren, wurden die Krankenhausnamen in Verbindung mit den Begriffen 'CISO/ISB' gesucht. Diese Suche führte in den meisten Fällen zu den LinkedIn- und Xing-Profilen der entsprechenden Personen. In selteneren Fällen wurden die CISO in Zeitungs- oder Onlineartikeln erwähnt. Als letzte Methode wurden die Krankenhäuser direkt kontaktiert. Diese Anfragen wurden meist an die Personal- und IT-Abteilungen oder an die Pressestellen weitergeleitet und waren zumeist erfolgreich.
Von den 72 gefundenen CISO waren 58 männlich (81%) und 14 weiblich (19%). Der Frauenanteil liegt damit in der gleichen Größenordnung wie der Frauenanteil im Informatikstudium (ca. 20%[10]), aber deutlich geringer als der Anteil an Frauen in Führungspositionen in der Gesundheitsbranche (36,7% Stand März 2023[11]). Erwähnenswert erscheint auch die Tatsache, dass es keinen signifikanten Unterschied in der Größe der Krankenhäuser (gemessen an Fallzahlen) gab, in denen Frauen und Männer tätig waren.
Bei den identifizierten CISO stellte sich heraus, dass 8 von 59 CISO eine Ausbildung absolviert hatten. Es wurde jedoch schnell klar, dass eine Ausbildung allein nicht zum CISO führte; im weiteren Werdegang waren akademische Abschlüsse zu erkennen.
Die Mehrheit der CISO (N=56) verfügt über Berufserfahrung in der IT. Drei CISO ohne IT-Erfahrung haben diese auch nicht im Studium erworben, jedoch Führungserfahrung gesammelt. Von den insgesamt 59 CISO waren 48 in einer Führungsposition beschäftigt. Es zeigt sich damit, dass CISO entweder IT- oder Führungserfahrung mitbringen.
Die Studie zeigt, dass die Berufserfahrung der CISO vor ihrem Einstieg in diese Position zwischen 5 und 39 Jahren variiert, wobei in den untersuchten Fällen mindestens 5 Jahre Berufserfahrung vor Aufnahme der CISO-Position ermittelt wurden. Die Rolle des CISO ist also keine Einstiegsposition und erfordert eine entsprechende Fachexpertise und Berufserfahrung. In der Studie wurde kein Zusammenhang zwischen der kumulierten Berufserfahrung der CISO und der Größe der Krankenhäuser (gemessen an den vollstationären Fallzahlen) festgestellt. Dies deuten die Autoren der Studie so, dass das Aufgabenspektrum eines CISO sich nicht fundamental zwischen unterschiedlich großen Krankenhäusern unterscheidet. Ein weiterer Grund könnte darin liegen, dass die Position des CISO in der Branche noch nicht stark etabliert ist, weshalb die Krankenhäuser bei der Besetzung weniger wählerisch sein mussten.
Gemäß den Vorgaben des BSI[12] sollen sich Beauftragte für Informationssicherheit regelmäßig fortbilden. Bei insgesamt 37 der 59 CISO mit bekanntem Lebenslauf wurde eine entsprechende Zertifizierung oder Weiterbildung auf öffentlich zugänglichen Quellen im Internet (Webseiten, Xing, LinkedIn) angegeben.
Die Berufsbezeichnung des Informationssicherheitsbeauftragten war oft unklar differenziert. Bei der Recherche gaben 49 von 72 Personen ihre Rolle als ISB und 12 als CISO an. Bei den verbleibenden 11 wurde kein Unterschied gemacht.
Ergebnisse der Interviews mit den CISO
Von etwa 70 für ein Interview angefragten CISO haben 19 die Möglichkeit für ein Interview wahrgenommen (27%). Das entspricht knapp einem Fünftel (19%) der CISO aller identifizierten KRITIS-Krankenhäuser. Diese Quote ist nach der Erfahrung der Autoren höher als die Rückmeldequote bei vergleichbaren Studien, die eher im Bereich von weniger als 10% liegt. Die Ergebnisse der Interviews bieten daher nach Einschätzung der Autoren ein möglichst repräsentatives Bild der Situation der CISO in KRITIS-Krankenhäusern.
Der Weg zum CISO: wie kamen die CISO in ihre Position?
Im Jahr 2019 wurde durch neue Richtlinien im IT-Sicherheitsgesetz die Position des CISO in der Gesundheitsbranche verpflichtend eingeführt. Von 19 Befragten gaben 12 (63%) an, dass sie die Stelle besetzt haben, weil diese besetzt werden musste – aber nicht, weil sie sich aktiv darauf beworben hatten. Dabei kamen die Personen vorrangig aus der unternehmenseigenen IT – gemäß der Logik, dass das Aufgabenfeld als IT-nah wahrgenommen wurde und daher der IT-Abteilung auch „aufgedrückt“ wurde. Einer der Befragten schilderte diesen Sachverhalt mit den Worten: „Die Stelle musste halt besetzt werden und ich habe nicht schnell genug nein gesagt“. Die übrigen Befragten (7 von 19, 37%) haben sich hingegen aktiv auf die Position beworben, entweder weil sie die Stelle spannend fanden oder bereits zuvor in anderen Branchen als CISO Erfahrung gesammelt haben. Zwei Befragte, die zuvor in einer anderen Branche tätig waren, berichteten, dass ihre CISO-Rolle in der bisherigen Branche eher als „Alibi“-Position angesehen wurde und ihnen die nötige Freiheit zur effektiven Ausübung ihrer Aufgaben fehlte.
Qualifikation: IT-Background vorteilhaft, aber nicht ausreichend
Die Ergebnisse der Befragung hinsichtlich der für die Stelle als CISO wichtigen Kompetenzen sind in Abb. 2 dargestellt.
Abb. 2: Wichtige Kompetenzen für die Rolle des CISO aus Sicht der Befragten (N=19).
Knapp drei Viertel der Befragten (N=14) waren sich einig darüber, dass ein IT-Background, sei es durch Studium oder frühere Berufserfahrung, für die Rolle des CISO von Vorteil ist. Ein grundlegendes IT-Verständnis („Grundkenntnisse“ in Abb. 2) ist notwendig, um sich effektiv mit IT-Teams auszutauschen. So berichtete eine der Befragten, dass es „bei der Einführung neuer Software wichtig ist auf IT-Sicherheit zu prüfen“. Und dies „könne nur jemand machen, der über das entsprechende Fachwissen verfügt“. Die übrigen Befragten (N=5) waren allerdings der Meinung, dass der Beruf auch mit Neugier, intensiver Einarbeitung und starken Führungsqualitäten erfolgreich ausgeübt werden kann. Da jedoch diese fünf Personen alle einen IT-Hintergrund hatten, kann es durchaus sein dass sie die Hürde „IT-Fachkenntnisse“ anders wahrnehmen als jemand, der sich noch nie mit der Thematik fachlich auseinandergesetzt hat.
Die Rolle des CISO erfordert neben den IT-Fachkenntnissen vor allem umfangreiche Kommunikation mit verschiedenen Personen und Abteilungen. Elf Teilnehmer betonten daher, dass Kommunikationskompetenz eine der wichtigsten Qualifikationen für den Beruf als CISO ist. Fachliche Inhalte müssen so vermittelt werden, dass sie von Personen mit unterschiedlichen Hintergründen verstanden werden können. Dabei ist es entscheidend, dem Vorstand nur die wesentlichen Themen zu präsentieren und technische Details zu vermeiden. Einer der Teilnehmer brachte dies folgendermaßen auf den Punkt: „Besonders im ärztlichen und pflegerischen Bereich ist gutes Kommunikationsgeschick essenziell. Es liegen Welten dazwischen, wenn man einem IT-Mitarbeiter oder einem Arzt einen Cyberangriff erklären muss“.
Fünf Befragte hoben darüber hinaus die Bedeutung von Führungsqualitäten hervor, insbesondere bei der Koordination gleichzeitig ablaufender Prozesse und der Auswertung der gewonnenen Ergebnisse. Sie betonen, dass Erfahrungen in früheren Managementpositionen von Vorteil sind.
Ein tieferes Verständnis der Branche wird ebenfalls als notwendig erachtet, um die Komplexität der Systeme im Gesundheitswesen zu durchdringen. Vier Teilnehmer gaben an, dass CISO oft in ihrer Branche bleiben, da sie deren spezifische Herausforderungen gut kennen. „Die IT-Sicherheit ist in jedem Unternehmen/ Branche anders und vor allem in KRITIS-Häusern“ so formulierte es einer der befragten CISO.
Schließlich sehen fünf Befragte juristische Kompetenzen als hilfreich an. Ein CISO muss in der Lage sein, sich mit Richtlinien und Vorschriften auseinanderzusetzen und dabei auf Details zu achten. Ein Jura-Studium ist zwar nicht erforderlich, aber die Bereitschaft, sich in neue Gesetze einzuarbeiten und präzise Begriffe zu verstehen, ist unerlässlich. Einer der Befragten fasste es so zusammen: „Es sollten juristische Erfahrungen vorhanden sein, man muss aber kein Jurist sein“.
Zertifizierungen und Schulungen: gern gesehen – aber Praxis ist besser!
Weiterbildungen bieten die Möglichkeit, neue Ideen und Konzepte zu erlernen, allerdings muss stets geprüft werden, wie diese in Krankenhäusern praktisch umsetzbar sind. Fünf Befragte äußerten in diesem Zusammenhang die Meinung, dass Zertifizierungen keinen großen Mehrwert bieten, da das wichtigste Wissen durch praktische Erfahrung gewonnen wird. Dennoch werden Zertifizierungen positiv bewertet, da sie in der Branche gern gesehen sind. Einer der Befragten formulierte es in diesen Worten: „Die wichtigste Erkenntnis ist, dass Zertifikate Nonsens sind. Wer das versteht, hat die wichtigste Qualifikation gelernt. In diesen Zertifikaten ist nichts, was man nicht selbst lernen kann. Der ganze Job hat mit Menschen zu tun und deren Umgang und sowas wird auch nur mit dem Umgang mit Menschen erlernt.“
Die Mehrheit der Befragten (N=12) sieht Zertifizierungen und Schulungen allerdings als nützlich an. Sie bieten einen guten Überblick und können bei spezifischen Fragestellungen oder Problemen hilfreich sein. Diese Schulungen vermitteln zudem Grundlagen im finanziellen Denken, was hilfreich ist, um neue Investitionen zu begründen. Auch werden Fachbegriffe und bewährte Praktiken erlernt, die direkt im Arbeitsalltag angewendet werden können. Der Austausch mit unterschiedlichen Organisationen wird ebenfalls als vorteilhaft betrachtet, insbesondere im Hinblick auf rechtliche Themen.
Ein Teilnehmer berichtete, dass seine vorherige Tätigkeit als Auditor ihm ein besseres Verständnis für verschiedene Themen und für die Zusammenarbeit mit Mitarbeitern verschafft hat, was ihm in seiner aktuellen Rolle als CISO zugutekommt.
Die aus der Sicht der Befragten wichtigen Zertifizierungen sind inklusive der Anzahl der Nennungen in Abb. 3 aufgeführt.
Abb. 3: Empfehlungen für Zertifizierungen nach Angaben der befragten CISO
Zahlreiche Herausforderungen und Probleme an den Schnittstellen der Tätigkeit
Eine zentrale Herausforderung in der Gesundheitsbranche sind nach Ansicht aller Befragten die begrenzten finanziellen Ressourcen. Die im Rahmen öffentlicher Ausschreibungen erhaltenen Fördergelder müssen von den Krankenhäusern z.B. in die Anschaffung neuer Geräte und Software-Lizenzen für die Informationssicherheit investiert werden, dürfen jedoch nicht für die Personalkosten oder zur Deckung wiederkehrender Lizenzgebühren verwendet werden. Neun der befragten CISO betonen, dass die finanziellen Engpässe in der IT schon lange bekannt sind und immer wieder die Frage aufkommt, wofür investiert werden soll. Hierbei müssen CISO oft intensive Überzeugungsarbeit leisten, um die für die IT-Sicherheit eines Krankenhauses notwendigen Vorkehrungen finanziert zu bekommen.
Für acht CISO stellt der Personalmangel eine besonders große Herausforderung dar. Es ist schwierig, qualifiziertes Personal zu finden, und noch schwieriger, die Genehmigung für neue Stellen zu erhalten. Der Arbeitsmarkt für IT-Fachkräfte sei ausgedünnt und die finanziellen Mittel eines Krankenhauses sind knapp. Dies erschwert die Einhaltung der alle zwei Jahre wiederkehrenden Nachweisfristen des BSI, da das Bestandspersonal der IT hauptsächlich mit dem operativen Betrieb beschäftigt ist.
Eine Mehrheit von 13 CISO (68% der Befragten) benannte Widerstände innerhalb des Krankenhauses, insbesondere von Mitarbeitern und Vorständen, als größte Herausforderung. Das Bewusstsein für die Gefahren von Cyberangriffen sei schwach ausgeprägt, und CISO sehen sich im konfliktären Spannungsfeld zwischen wirtschaftlicher Profitabilität und Sicherstellung von Cybersicherheit. „Man wird oft als Spaßbremse bezeichnet, wenn man finanzielle Geschäftsziele nicht priorisiert. Dabei ist es die Aufgabe des CISO, Risiken für das Unternehmen aufzuzeigen und damit umzugehen“, so einer der Befragten.
Vor allem mangele es an Wertschätzung für ihre Arbeit, und ihre Position wird häufig mit anderen Rollen vermischt oder in andere Abteilungen integriert.
Als konkrete Beispiele für solche Herausforderungen nannten die Befragten zum einen die weit verbreiteten Phishing-Angriffe. Hier zeigten Mitarbeiter mitunter wenig Bereitschaft, komplexe Sicherheitsmaßnahmen wie z.B. starke Passwörter umzusetzen: „Es ist ein sicheres Passwort gefordert. Die User nehmen aber lieber ein einfacheres Passwort, dass leichter zu merken, aber auch leichter zu hacken ist“. CISO müssen daher viel Überzeugungsarbeit leisten und kreative Lösungen gemeinsam mit den Mitarbeitern entwickeln, was die bereits erwähnte Bedeutung der Kommunikationskompetenz noch einmal unterstreicht. In Unikliniken kann sich darüber hinaus die Zusammenarbeit mit Professoren schwierig gestalten, da diese ihre grundgesetzlich verankerte Forschungsfreiheit durch IT-Sicherheitsmaßnahmen nicht einschränken lassen wollen.
Der Vorstand ist entscheidend für die Umsetzung von Sicherheitsmaßnahmen. Wenn der Vorstand selbst die Veränderungen unterstützt und mit gutem Beispiel vorangeht, folgen auch die Mitarbeiter diesem Vorbild. Fehlt diese Unterstützung, wird die Umsetzung erschwert. CISO betonen, dass Rückendeckung durch den Vorstand Maßnahmen deutlich erleichtert. Hier betonten die Befragten häufig, dass diese Rückendeckung noch nicht flächendeckend gegeben ist. Zwar haben die zahlreichen Cyberangriffe in den Medien die Vorstände für das Thema stärker sensibilisiert, jedoch berichten viele der Befragten, dass IT-Sicherheit noch immer nicht die notwendige Priorität im Management genießt.
Fünf Befragte betonen, dass die Gesundheitsbranche mit allgemeinen Herausforderungen kämpft. Krankenhäuser müssen zahlreiche gesetzliche Anforderungen erfüllen, die oft schwer umzusetzen sind, besonders wegen der Komplexität des Gesundheitswesens und der Verantwortung für Menschenleben. Zudem erschwert der Föderalismus die Einigung zwischen Landes- und Bundesentscheidungen, was zu widersprüchlichen rechtlichen Vorgaben und einer erschwerten Zusammenarbeit zwischen Krankenhäusern führt. „Unklare/Verschiedene rechtliche Anforderungen auf Bundes-, Landes- und kommunaler Ebene, die nicht ganz einheitlich sind. Hierbei ist es schwierig, eine Vergleichbarkeit hinzukriegen und eine Zusammenarbeit zu schaffen. Manche widersprechen sich sogar“, so beschreibt es einer der befragten CISO.
Krankenhäuser stehen zunehmend im Visier von immer ausgeklügelteren Cyberangriffen, bestätigen sieben Befragte. Diese Angriffe erhöhen zwar das Bewusstsein bei Vorständen und Mitarbeitern, stellen aber auch neue Herausforderungen dar. Besonders die Unterstützung durch KI verstärkt die Bedrohung, da sie sowohl zur Abwehr als auch von Cyberkriminellen eingesetzt werden kann.
Subjektiv wahrgenommener Druck ist vor allem von außen beeinflusst
Generell beurteilten die Befragten den subjektiv wahrgenommenen Druck auf ihre Stelle als mittel bis hoch. Acht Befragte gaben an, dass der größte Druck in ihrem Beruf vom BSI ausgeht (Abb. 4). Die gestiegenen Anforderungen des BSI in den letzten Jahren führen zu einem erheblichen Zeitaufwand und -druck, der im regulären Krankenhausbetrieb kaum zu bewältigen ist. Diese CISO empfinden die vorgegebenen Fristen von zwei Jahren als unrealistisch. Zwei Befragte nehmen den Druck hingegen gelassener und akzeptieren ihre Situation, um das Beste daraus zu machen.
Abb. 4: Faktoren, welche nach Einschätzung der Befragten wesentliche Ursachen für Druck bei der Stelle als CISO darstellen
Fünf der Befragten berichteten von temporärem Stress, insbesondere während der Zeit der BSI-Nachweisverfahren, wenn viele Dokumente geprüft und aktualisiert werden müssen. Das Stresslevel eines CISO kann zudem durch den Vorstand beeinflusst werden: In einigen Fällen wird es als entlastend empfunden, wenn der Vorstand keinen zusätzlichen Druck ausübt, während in anderen Fällen mangelnde Aufmerksamkeit für Informationssicherheit die Arbeit erschwert.
Fünf CISO äußerten auch, dass die ständige Angst vor Cyberangriffen zusätzlichen Druck erzeugt. Viele gehen davon aus, dass es nur eine Frage der Zeit ist, bis ihr Krankenhaus angegriffen wird. Jeder neue Bericht über einen Angriff auf ein Krankenhaus erhöht ihr Stresslevel. Ein gut aufgebautes Verteidigungssystem und eine effektive Organisation im Haus können das Stressniveau jedoch senken.
Zwei CISO berichteten, dass sie sich durch ihr hohes Engagement in Projekten selbst unter Druck setzen. Ein Gespräch mit einem ISB, der gleichzeitig als CIO tätig ist, zeigte, dass dieser durch seine Position auf Führungsebene weniger Stress empfindet, da er eigenständiger arbeiten kann. Ein anderer CISO wünscht sich, dass die Position des CISO auf Vorstandsebene angesiedelt wird, um ähnliche Vorteile zu genießen.
Abb. 5: Subjektiv wahrgenommener Druck der befragten CISO auf einer Skala von 1 (gering) bis 10 (sehr hoch)
Zahlreiche und konkrete Vorschläge zur Verbesserung des Arbeitsumfeldes
In den Interviews äußerten die Teilnehmer zahlreiche Wünsche und Verbesserungsvorschläge für ihren Berufsalltag (Abb. 5).
Abb. 6: Vorschläge der CISO zur Verbesserung ihres Arbeitsumfeldes
Besonders häufig wurden dabei Forderungen an die Politik und den Gesetzgeber laut. Sie wünschen sich klare und präzisere Vorgaben, um Unklarheiten und unnötige Diskussionen zu vermeiden. So wird beispielsweise der B3S als zu vage empfunden, da er Interpretationsspielraum lässt, der in der Praxis zu Problemen führt. Ein CISO drückte dies folgendermaßen aus: „Beim B3S/ ISO 2001 ist alles sehr schwammig formuliert und dies sollte mit Leben gefüllt und mehr Einzelfälle beschrieben werden. Im IT-Grundschutz ist es klar formuliert, was wie zu schützen ist, wäre dies auch beim B3S, hätten sie weniger Arbeit und weniger Diskussionen mit den Anwendern“.
Auch die Rolle des CISO/ISB wurde thematisiert. Die Teilnehmer sprachen sich dafür aus, diese Positionen klar zu definieren und festzulegen, dass der CISO in größeren Krankenhäusern eine Vollzeitstelle sein sollte, ohne zusätzliche Aufgaben wie Datenschutz oder Arbeitsschutz zu übernehmen.
Ebenso wurde der Wunsch nach verpflichtenden Zertifizierungen vor Berufsantritt wurde geäußert, was in anderen Branchen längst Standard ist, im Gesundheitswesen jedoch noch fehlt.
Einige aktuelle CISO fordern eine bessere Anpassung der Vorgaben an die spezifischen Bedürfnisse des Gesundheitswesens. Oftmals werden Anforderungen aus anderen Branchen übernommen, die nicht immer passend sind. So ist beispielsweise die Durchführung eins Schwarzfalltests im alltäglichen Betrieb eines Krankenhauses nicht möglich, da dadurch die Gesundheit oder gar das Leben von Patient:innen gefährdet werden kann. Es wird daher vorgeschlagen, branchenspezifische Vorgaben zu entwickeln, um eine effektivere Umsetzung zu gewährleisten. Zusätzlich wird eine einheitliche Methode zur Risikobewertung auf Bundes-, Landes- und Kommunalebene gewünscht, um die Zusammenarbeit und den Austausch von Informationen und Maßnahmen zwischen Krankenhäusern zu verbessern, unabhängig von deren Standort.
Ein weiterer wichtiger Punkt ist die Verbesserung der Kommunikation mit der Politik. Der Verband der Universitätsklinika Deutschlands (VUD) koordiniert bereits die Kommunikation der Universitätskliniken, doch hier gibt es noch Verbesserungsbedarf. Zudem fordern CISO strengere Richtlinien für Hersteller von IT-Systemen, Medizintechnik und Laborgeräten, damit diese von vornherein sicherere Produkte auf den Markt bringen. Dies würde die Notwendigkeit neuer Sicherheitssysteme bei der Anschaffung minimieren.
Im Bereich der Ressourcenverteilung in Krankenhäusern beklagen sechs CISO einen Mangel an finanziellen Mitteln und qualifiziertem Personal. Obwohl Fördergelder zur Verfügung stehen, stellt deren Beantragung eine erhebliche bürokratische Hürde dar. Zudem sind diese Mittel oft zweckgebunden und können nicht für langfristige Investitionen wie Personal oder erstmalige Anschaffung von Softwarelizenzen genutzt werden. Die langwierigen Antragsprozesse, die manchmal zwei bis vier Jahre dauern, verschärfen das Problem zusätzlich. Daher wird gefordert, die Verwendung von Fördergeldern flexibler zu gestalten und mehr Ressourcen für Stellen zu bekommen.
Neun der befragten CISO äußerten als wesentlichen Wunsch eine höhere Anerkennung und Wertschätzung ihrer Arbeit. Die Rolle eines CISO ist mit hoher Verantwortung verbunden, da Fehler gravierende Konsequenzen nach sich ziehen können. „Das Problem daran ist, dass an 364 Tage alles richtig gemacht werden kann, aber an einem einzigen Tag etwas falsch läuft und dann das Krankenhaus abstürzt“, betont ein CISO das Problem der mangelnden Wertschätzung.
Zusätzlich sind CISO für die Schulung der Mitarbeiter zuständig, um auf Gefahren wie Phishing aufmerksam zu machen, die Erstellung sicherer Passwörter zu fördern und das Bewusstsein für Informationssicherheit sowohl bei den Mitarbeitern als auch im Vorstand zu stärken.
Die Befragten betonten, dass die Rolle des CISO klar definiert und kommuniziert werden muss. Ein CISO ist kein „Lückenfüller“ im System, sondern ein wesentlicher Akteur, der das Krankenhaus schützt und den Klinikbetrieb aufrechterhält. Ein CISO formulierte es so: "Die IT wird derzeit oft nur als Kostenfaktor betrachtet. Zwar führt die Vermeidung und Minimierung von Angriffen nicht direkt zu einem Gewinn, spart jedoch erhebliche Kosten ein. Dieses Bewusstsein muss stärker im Top-Management verankert werden."
Es wird eine größere Offenheit für das Thema Digitalisierung gefordert, damit Anwender und Nutzer die Gefahren erkennen und eigeninitiativ zur Informationssicherheit beitragen können. Dies würde die Arbeit der CISO erleichtern und den Druck von ihren Schultern nehmen.
Darüber hinaus wünschen sich die CISO eine bessere Zusammenarbeit und gegenseitigen Respekt zwischen den Mitarbeitern und der CISO-Position. Informationssicherheit kann Krankenhäuser erheblich vor finanziellen Schäden durch Angriffe schützen, wie etwa durch Schäden an Patienten, Datenerpressung und Rufverlust. Ein gut ausgearbeiteter Notfallplan ist dabei das Rückgrat der Informationssicherheit, da er regelt, wie das Krankenhaus im Falle eines Angriffs reagieren kann.
Abschließend wurde der Wunsch nach mehr Unterstützung durch den Vorstand geäußert. Investitionen in die Informationssicherheit sind zwar nicht direkt monetär messbar, führen jedoch langfristig zu Kosteneinsparungen durch die Vermeidung von Angriffen. Der Vorstand muss daher verstärkt in die Informationssicherheit investieren, um die Sicherheit und den reibungslosen Betrieb der Krankenhäuser nachhaltig zu gewährleisten.
Wo sehen sich die CISO in Zukunft?
Die CISO wurden gefragt, ob sie sich ihre Position langfristig vorstellen können. Bis auf einen, der nur übergangsweise als ISB tätig war, bejahten alle diese Frage. Hinsichtlich der Frage, ob sie in der Gesundheitsbranche bleiben möchten, fielen die Antworten unterschiedlich aus.
Acht der Befragten fühlen sich in der Gesundheitsbranche wohl und streben keinen Wechsel an. Drei von ihnen nannten die bevorstehende Rente als Grund, während andere ihr starkes Interesse an der Komplexität des Gesundheitswesens betonten. Eine Person erklärte, sie könne sich eine Arbeit in einer Universitätsklinik vorstellen, um mehr Herausforderungen zu erleben. Andere schätzen die Unterstützung und den Freiraum, den sie von ihrem Vorstand erhalten, und bleiben deshalb bei ihrem aktuellen Arbeitgeber.
Fünf Befragte sind unentschlossen. Sie können sich in der Zukunft einen Wechsel vorstellen, sind aber derzeit zufrieden in ihrer Position. Zwei der Befragten planen sicher, die Branche zu wechseln, hauptsächlich aufgrund des hohen Stresslevels. Sie betonten, dass niemand diese Stelle 20 Jahre lang ausüben wolle; in der Regel werde der Job für 5 bis 10 Jahre gemacht, bevor die Position an Jüngere mit frischen Ideen übergeben werden sollte.
Aus den Gesprächen ging hervor, dass die CISO-Position sehr gefragt ist. Viele CISO erhalten wöchentlich Angebote aus anderen Branchen, was dazu führen kann, dass sie abgeworben werden und das Krankenhaus die Stelle neu besetzen muss.
Der CISO: ein Job mit Zukunft!
Einig waren sich alle Befragten bezüglich der Frage, dass die Bedeutung der Position des CISO künftig zunehmen wird. Mit der fortschreitenden Digitalisierung wird die Rolle des CISO in Zukunft in jeder Branche unverzichtbar sein. Drei der Befragten betonten, dass die Bedeutung dieser Position weiterhin bestehen und sogar zunehmen wird, sich die Rolle jedoch verändern dürfte. Dabei wurde auch das Thema Künstliche Intelligenz (KI) angesprochen, welches neue Herausforderungen mit sich bringen könnte, aber auch die Arbeit der CISO unterstützen kann. Dennoch bleibt die Notwendigkeit für einen Menschen mit den entsprechenden Softskills bestehen.
Fünf CISO betonten, dass ihre Position im Gesundheitswesen krisensicher sei. In kleineren Krankenhäusern mit begrenzter IT-Infrastruktur könne ein CISO jedoch wenig bewirken. Ein Befragter äußerte Mitleid für CISO in solchen Einrichtungen, da ihnen oft die Ressourcen fehlen, um effektive Maßnahmen umzusetzen. Zwei Befragte hoben die Bedeutung hervor, das Thema Informationssicherheit stärker in Ausbildung und Studium zu integrieren, um junge Menschen auf diese Karrieremöglichkeit aufmerksam zu machen und ihnen eine Alternative zum klassischen "Hacking" in der IT aufzuzeigen.
Sind Informationen über CISO zu leicht zugänglich?
Bei der anfänglichen Recherche über gewöhnliche Online-Suchen ergaben sich bereits wertvolle Ergebnisse, die frei zugänglich sind. Dabei zeigte sich, dass soziale Netzwerke umfassende Einblicke in die Lebensläufe der jeweiligen CISO bieten. Bei Telefonaten mit Krankenhausmitarbeitern fiel besonders auf, dass die Glaubwürdigkeit der Autorin kaum hinterfragt wurde. Anonyme Anrufer erhielten ohne zusätzliche Verifizierung personenbezogene Daten wie Namen und E-Mail-Adressen.
Auch auf E-Mail-Anfragen, die über den Hochschulmail-Account an die CISO gesendet wurden, reagierten die meisten ohne Bedenken. Lediglich ein Interviewpartner überprüfte die Angaben der Autorin durch Rücksprache mit dem Betreuer der Hochschule. In anderen Fällen gab es Rückfragen zum Ablauf und zu den Fragen, jedoch blieb die Glaubwürdigkeit unangetastet.
Viele CISO waren bereit, an Interviews teilzunehmen, da sie Studierenden gerne helfen und wissen, wie schwierig es sein kann, an relevante Informationen zu gelangen. Andere sahen in den Interviews eine Gelegenheit, das Thema Informationssicherheit stärker in den Fokus zu rücken und es jüngeren Menschen näherzubringen.
Vor diesem Hintergrund werfen die Autoren der Studie die Frage auf, inwieweit Daten und Informationen über CISO möglicherweise zu leicht zugänglich sind. Dies war nicht zentraler Gegenstand der Studie, soll aber in diesem Zusammenhang nicht unerwähnt bleiben.
Fazit: solide Bestandsaufnahme der CISO in Krankenhäusern gelungen – und Aspekte für die Weiterentwicklung der Stelle identifiziert
Derzeit zählen der Recherche der Autoren zufolge 98 Krankenhäuser in Deutschland zu KRITIS-Betreibern gemäß BSI und verfügen über einen CISO. Mehr als die Hälfte dieser CISO konnten über öffentliche Profile in sozialen Netzwerken gefunden werden. Bei neun Krankenhäusern bleibt unklar, ob die CISO-Position besetzt ist, obwohl dies gesetzlich vorgeschrieben wäre. Nach Wissen der Autoren ist dies die erste Studie, welche einen systematischen Überblick über alle KRITIS-Krankenhäuser sowie die CISO darin thematisieren.
Die Datenbeschaffung über die CISO erfolgte über Business-Netzwerke, wodurch ein guter Überblick über deren Werdegang gewonnen werden konnte. Auch Namen und Kontaktdaten ließen sich teils schnell durch einen Anruf ermitteln. Dabei stieß die Autorin kaum auf Rückfragen.
Viele CISO weisen sowohl eine abgeschlossene Ausbildung als auch einen akademischen Abschluss auf und die meisten haben bereits im Studium oder in ihrer beruflichen Laufbahn IT-Erfahrung gesammelt. CISO ohne IT-Erfahrung bringen in der Regel Führungserfahrung mit.
Die Kontaktaufnahme mit den CISO überraschte die Autoren positiv, da sie schnelle Rückmeldungen erhielten und eine hohe Bereitschaft zur Teilnahme an den Interviews feststellten. Es wurde deutlich, dass die CISO ein großes Bedürfnis haben, über ihre Arbeit zu sprechen und Herausforderungen offen zu kommunizieren.
Viele CISO stehen vor erheblichen Herausforderungen. Finanzielle Mittel, wie zweckgebundene Fördergelder, und der Personalmangel erschweren die Arbeit erheblich. Zudem sind Widerstände innerhalb der Krankenhäuser, wie fehlende Wertschätzung und mangelnde Kooperation, eine weitere Belastung. CISO wünschen sich daher mehr Anerkennung für ihre Arbeit.
Zusätzlich zu den internen Hürden kämpfen die CISO mit branchenspezifischen Problemen, etwa der Notwendigkeit, alternative Lösungen für Notfalltests zu finden, um die Patientensicherheit zu gewährleisten. Die ständige Angst vor Cyberangriffen erhöht den Druck zusätzlich, den viele als unausweichlich betrachten.
Ein Großteil des Drucks resultiert aus den Vorgaben des BSI, die alle zwei Jahre Bericht erfordern, was CISO zeitlich stark belastet. Ein Vorschlag zur Entlastung ist, den CISO in den Vorstand zu integrieren, wie es bereits in einigen Fällen erfolgreich praktiziert wird.
In den Interviews wurden viele Verbesserungsvorschläge geäußert, darunter die Einführung einheitlicher Standards für eine bessere Zusammenarbeit zwischen Krankenhäusern und branchenspezifisch angepasste Anforderungen, um die Umsetzbarkeit zu erleichtern.
Die Auswertung der Interviews zeigt, dass es im Beruf des CISO noch viele Optimierungsmöglichkeiten gibt, von denen einige leicht innerhalb der Krankenhäuser umgesetzt werden könnten, wenn Vorstand und Mitarbeitende gemeinsam an einem Ziel arbeiten.
Die hohe Nachfrage nach CISO und ISB deutet auf die zentrale Bedeutung dieser Rollen für die Cybersicherheit hin. Der Wettbewerb um qualifizierte Fachkräfte führt jedoch dazu, dass diese oft abgeworben werden, was die Aufrechterhaltung der Informationssicherheit in Krankenhäusern erheblich beeinträchtigen kann.
Der Beruf des CISO wird in Zukunft weiter an Bedeutung gewinnen. Allerdings muss die Gesundheitsbranche die Attraktivität dieser Position steigern und mehr Wertschätzung fördern, um dem Beruf die Anerkennung zu geben, die er verdient.
Weitere Infos zum Studiengang finden Sie hier
Die Autoren:
Prof. Dr. Thorsten Daubenfeld und Aaliyah Gusseck
Hochschule Fresenius, Analytische und Digitale Forensik
Foto: Adobe Stock / Galuh Sekar
[1] Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz, URL: https://www.gesetze-im-internet.de/bsi ... JNR095800016BJNE001601116 (Aufruf am 25.07.2024)
[2] Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG), URL: https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html (Aufruf am 25.07.2024)
[3] Analytische und Digitale Forensik an der Hochschule Fresenius, URL: https://www.hs-fresenius.de/bachelor/digitale-forensik/ (Aufruf am 25.07.2024)
[4] Branchenverband bitkom, URL: https://www.bitkom.org/Presse/Pressein ... roht-sich-zu-verschaerfen (Aufruf am 25.07.2024)
[5] Primion Technology GmbH (2021): KRITIS Krankenhaus: Sensible Systeme schützen, URL: https://www.primion.de/de/blog/kritis-krankenhaus/ (Aufruf am 25.07.2024)
[6] Stellungnahme der Deutschen Krankenhausgesellschaft zum Referentenentwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz der Betreibern kritischer Anlagen (KRITIS-Dachgesetz – KRITIS-DachG), 2019
[7] Gemeinsamer Bundesausschuss, URL: https://www.g-ba.de/themen/qualitaetss ... hebung-qualitaetsbericht/ (Aufruf am 31.07.2024)
[8] Statista: Anzahl der Krankenhäuser in Deutschland in den Jahren 2000 bis 2022: URL: https://de.statista.com/statistik/date ... in-deutschland-seit-2000/ (Aufruf am 25.07.2024)
[9] Bundesamt für Sicherheit in der Informationstechnik: Betrug durch gefälschte Telefonnummern und E-Mails, URL: https://www.bsi.bund.de/DE/Themen/Verb ... bsenderadressen_node.html (Aufruf am 31.07.2024)
[10] Statista: Anzahl der Studierenden im Fach Informatik in Deutschland nach Geschlecht in den Wintersemestern von 1998/1999 bis 2022/2023, URL: https://de.statista.com/statistik/date ... ik%20zeigt%20die%20Anzahl,eingeschrieben%2C%20davon%20waren%2028.019%20weiblich. (Aufruf am 31.07.2024)
[11] Statista: Frauenanteil in Führungspositionen in Deutschland nach Branchen im Jahr 2023, URL: https://de.statista.com/statistik/date ... eutschland-nach-branchen/ (Aufruf am 25.07.2024)
[12] Bundesamt für Sicherheit in der Informationstechnik: Online-Kurs IT-Grundschutz, Lerneinheit 2.4 (Der Informationssicherheitsbeauftragte), URL: https://www.bsi.bund.de/DE/Themen/Unte ... 04/Lektion_2_04_node.html (Aufruf am 31.07.2024)