Die Informationssicherheitsbeauftragten in Krankenhäusern benötigen Kennzahlen, die Sicherheitslage und erzielte Fortschritte klar sichtbar machen und zugleich für Leitungsgremien verständlich sind. Gerade in KRITIS-relevanten Einrichtungen mit hoher Versorgungsabhängigkeit kommt es darauf an, Risiken, Wirksamkeit von Maßnahmen und organisatorische Reife datenbasiert zu steuern. Der folgende Überblick nimmt die Kennzahlen für Informationssicherheit in den Blick, die uns in der Praxis beschäftigen.

Risiken und Schwachstellen transparent im Griff

Ein zentrales Steuerungsfeld ist die Entwicklung der Risikolage. Aggregierte Risikowerte für kritische Prozesse und Systeme, die Anzahl offener Hochrisiken sowie deren Bearbeitungsdauer zeigen, ob Risikomanagement greift. Ergänzend macht die Schwachstellenlage die technische Angriffsfläche sichtbar. Kritikalität und Behebungszeit identifizierter Schwachstellen in Kernsystemen und Medizingeräten liefern ein belastbares Bild der tatsächlichen Exponiertheit des Krankenhauses und ihrer Veränderung über einen definierten Zeitraum.

Sicherheitsvorfälle schneller erkennen und begrenzen

Die Leistungsfähigkeit der Sicherheitsorganisation zeigt sich in der Geschwindigkeit von Erkennung und Eindämmung von Sicherheitsvorfällen. Die Kennzahlen von der Vorfallerkennung bis zur Stabilisierung betroffener Systeme spiegeln direkt die Reife von Monitoring und Incident Response wider. Für Krankenhäuser ist zusätzlich relevant, wie häufig klinische Abläufe beeinträchtigt werden und wie lange dies anhält. Sinkende Auswirkungen bei steigender Erkennungsrate weisen auf wirksame Prozesse hin.

Kritische Systeme nachweisbar geschützt

Der Sicherheitsstatus besonders schützenswerter Systeme ist ein weiterer Kernbereich. Der Anteil aktuell gepatchter Systeme in kritischen Kategorien sowie die Abdeckung mit Schutzmaßnahmen wie Segmentierung oder Endpoint-Schutz zeigen, ob operative Sicherheitsdisziplin in den wichtigsten IT-Assets tatsächlich erreicht wird. Für den ISB entsteht daraus ein quantifizierbares Schutzgradbild der klinischen Kern-Systeme.

Zugriffe und Berechtigungen sicher gesteuert

Überprivilegierte oder veraltete Zugänge sind eine häufige Ursache schwerer Vorfälle. Kennzahlen zur Rezertifizierung privilegierter Konten, zu verwaisten Identitäten und zum Abschlussgrad von Berechtigungsreviews zeigen die Stabilität des Identitätsmanagements. In Krankenhäusern mit vielen Rollenwechseln und externer Einbindung von Belegärzten ist dieser Bereich besonders risikorelevant und steuerungswirksam.

Sicherheitsbewusstsein messbar machen

Die menschliche Dimension der Informationssicherheit lässt sich ebenfalls quantifizieren. Die Teilnahme an und die Ergebnisse von Schulungen, das Verhalten in Simulationen und die Meldebereitschaft bei Verdachtsfällen zeigen die Entwicklung der Sicherheitskultur. Eine höhere Meldedisziplin bei geringerer Fehlerquote deutet auf nachhaltige Awareness hin und reduziert klinische Betriebsrisiken.

Compliance und Auditreife jederzeit belegbar

Die regulatorischen Anforderungen des BSI verlangen nach nachweisbarer Umsetzung. Der Umsetzungsgrad definierter Maßnahmen, der Status offener Feststellungen und deren Behebungsdauer machen Auditfähigkeit messbar. Für den ISB ist dieser KPI-Bereich zentral, da er direkt mit Haftungsthemen, regelmäßigen Prüfungen und dem Managementvertrauen verbunden ist.

Fazit für die ISB-Praxis

Für Informationssicherheitsbeauftragte im Krankenhaus helfen wenige, gut gewählte KPI dabei, den Überblick zu behalten und Entwicklungen nachvollziehbar zu machen. Sie zeigen, wo Risiken steigen oder sinken, ob Schutzmaßnahmen wirken und wie stabil Prozesse laufen. Wichtig ist, die Kennzahlen regelmäßig zu betrachten, Trends zu erklären und daraus konkrete Schritte abzuleiten. Wenn KPI nah an klinischen Risiken und am IT-Betrieb ausgerichtet sind, unterstützen sie sowohl die tägliche Steuerung als auch die Gespräche mit dem Management. So wird Informationssicherheit greifbar und gezielt weiterentwickelt.

In einem weiteren Beitrag werden wir zeigen, wie die Kennzahlen ganz konkret aussehen.

Adiccon stellt Ihnen erfahrene Informationssicherheitsexperten zur Seite, die Sie bei der Einführung und Umsetzung der wichtigen KPI in Ihrem Krankenhaus unterstützen. Wenn Sie zu dem Thema „KPI“ Fragen haben, nehmen Sie einfach Kontakt zu uns auf.