Die Krankenhäuser und Klinikgruppen stehen heute vor einer neuen Realität. Ein Ausfall zentraler Systeme, ein Cyberangriff oder eine Störung kritischer Infrastruktur kann innerhalb kürzester Zeit die Patientenversorgung beeinträchtigen. Viele Häuser haben deshalb ihre Informationssicherheit deutlich weiterentwickelt. Die Prozesse wurden analysiert, technische Schutzmaßnahmen verbessert und Anforderungen aus gesetzlichen Vorgaben wie beispielsweise dem Krankenhauszukunftsgesetz umgesetzt. Doch das Realisieren von technischen und organisatorischen Maßnahmen zum Erhöhen der Informationssicherheit allein reicht nicht aus. Ein Krankenhaus muss auch dann handlungsfähig bleiben, wenn wesentliche Abläufe gestört sind. Genau hier setzt das Business Continuity Management, kurz BCM, an.

BCM betrachtet nicht nur die IT, sondern durchaus die gesamte Krankenhausorganisation. Es geht um die Frage, wie medizinische, pflegerische und administrative Prozesse auch in schwierigen Situationen aufrechterhalten werden können. Welche Bereiche sind besonders kritisch? Welche Ressourcen werden benötigt? Wie funktioniert die Kommunikation im Krisenfall? Und wie schnell kann das Krankenhaus wieder in einen stabilen Regelbetrieb zurückkehren?

Diese Fragen betreffen das gesamte Krankenhaus und gehen damit deutlich über den klassischen Verantwortungsbereich des Informationssicherheitsbeauftragten hinaus. Der ISB sollte jedoch den Aufbau einen ganzheitlichen BCM vorantreiben, weil er die notwendige Verbindung zwischen Informationssicherheit, Technik und der gesamten Organisation herstellen kann.

BCM ist im Krankenhaus noch nicht flächendeckend etabliert

Obwohl die Bedeutung von Business Continuity Management stark wächst, befindet sich das Thema in vielen Krankenhäusern noch am Anfang. In zahlreichen Häusern gibt es einzelne Notfallpläne, Wiederanlaufkonzepte oder IT-Notfallverfahren. Ein übergreifendes BCM, das medizinische und pflegerische Prozesse, Technik, Infrastruktur, Personal und Kommunikation zusammenführt, wurde bisher jedoch nur in wenigen Organisationen vollständig umgesetzt.

Dabei steigt der Handlungsdruck. Die Krankenhäuser müssen sich dringend auf unterschiedliche Szenarien vorbereiten. Dazu gehören Cyberangriffe, Ausfälle von Rechenzentren, Störungen bei der Energieversorgung, bei Dienstleistern oder der Kommunikation sowie personelle Engpässe in kritischen Bereichen. Entscheidend ist nicht nur die Frage, wie ein Ausfall verhindert werden kann, sondern wie die Krankenhausorganisation mit einem längeren Ausfall umgeht.

Ein professionelles BCM schafft hierfür eine belastbare Grundlage. Es sorgt dafür, dass Verantwortlichkeiten geklärt und kritische Prozesse bekannt sind und Maßnahmen nicht erst im Krisenfall entwickelt werden müssen.

Der Weg zu einem wirksamen BCM

Ein erfolgreiches BCM-Projekt startet nicht mit dem Erstellen von Dokumenten. Es beginnt mit einem gemeinsamen Verständnis innerhalb der Organisation.

Zunächst müssen die wichtigsten Geschäfts- und Versorgungsprozesse identifiziert werden. Dazu gehören beispielsweise zentrale Abläufe in der Patientenversorgung, in Diagnostik, Medizintechnik, Verwaltung und Logistik. Anschließend wird genau bewertet, welche Auswirkungen ein Ausfall dieser Prozesse hätte und welche Wiederanlaufzeiten akzeptabel sind.

Von grundlegender Bedeutung ist dabei die Zusammenarbeit nahezu aller Bereiche. Geschäftsführung, Medizin, Pflege, IT, Haustechnik, Medizintechnik, Verwaltung und Informationssicherheit müssen gemeinsam an dem Ziel arbeiten. BCM ist ein elementarer Bestandteil einer widerstandsfähigen, resilienten Krankenhausorganisation.

Für den ISB ergibt sich daraus eine besondere Chance. Er kann entscheidende Impulse setzen, die Anforderungen aus der Informationssicherheit einbringen und die Verbindung zu schon bestehenden Sicherheitsprozessen herstellen. Gleichzeitig muss BCM organisatorisch breit verankert werden, damit es nachhaltig funktioniert.

Erfahrungen aus der Begleitung von Krankenhäusern

Adiccon unterstützt Krankenhäuser seit vielen Jahren bei der Umsetzung von Projekten im Umfeld der Informationssicherheit, Digitalisierung und regulatorischer Anforderungen. Aus dieser Arbeit zeigt sich immer wieder, dass technische Maßnahmen allein keine ausreichende Sicherheit schaffen, sondern dass der Fokus auf den organisatorischen Themen liegen muss.

In der Praxis erleben wir häufig, dass der erste Schritt nicht die perfekte Lösung sein muss. Entscheidend ist, mit einer strukturierten Bestandsaufnahme zu beginnen, Prioritäten festzulegen und ein realistisches Vorgehen zu entwickeln. So entsteht ein BCM, das zur Organisation passt und im Ernstfall tatsächlich funktioniert.

Unsere umfassenden Erfahrungen aus der Übernahme der Rolle des externen ISB und aus der Begleitung von Sicherheits- und KHZG-Projekten fließen in die Entwicklung von tragfähigen BCM-Strukturen ein.

Fazit: Jetzt die Grundlage für Krisenfähigkeit schaffen

Business Continuity Management wird für Krankenhäuser künftig eine immer größere Bedeutung bekommen. Die Anforderungen an Resilienz, Verfügbarkeit und Sicherheit steigen weiter. Gleichzeitig erwarten Patienten, Mitarbeitende und Partner, dass ein Krankenhaus auch unter schwierigen Bedingungen kontinuierlich zuverlässig funktioniert.

Für den ISB bedeutet das, dass BCM ein wichtiges Thema darstellt, auch wenn es über die eigene Rolle hinausgeht. Wer heute gemeinsam mit den Verantwortlichen der Organisation die Grundlagen schafft, trägt wesentlich dazu bei, dass das Krankenhaus morgen besser auf Notsituationen vorbereitet ist.

Adiccon begleitet Krankenhäuser dabei, aus den Anforderungen konkrete Lösungen zu entwickeln und Informationssicherheit mit organisatorischer Resilienz zu verbinden.

Wenn Sie mehr zur Einführung eines BCM im Krankenhaus wissen möchten und an einer Checkliste interessiert sind, dann nehmen Sie Kontakt zu uns auf: walter.schaefer@adiccon.de oder mobil unter 0160 90997764.