Cybersecurity & Compliance im Gesundheitswesen.

bewusst branchenspezifisch. füreinander. sicher.

Zwei lachende Männer mit Brillen und Bart in einem modernen Büro, im Hintergrund eine blaue Wand mit quadratischen Ausschnitten und eine große grüne Pflanze.

Wir helfen Krankenhäusern, Herstellern und Organisationen im Gesundheitswesen, Informationssicherheit aufzubauen, Regulierung umzusetzen und Risiken realistisch zu steuern.

Leistungen ansehen
Leistungen ansehen
Erstgespräch anfragen
Erstgespräch anfragen

Sicherheit in einem Umfeld, in dem es um Menschen und ihre Gesundheit geht.

Informationssicherheit im Gesundheitswesen ist kein reines IT-Thema. Wo kritische Prozesse, Regulierung und vernetzte Medizintechnik zusammentreffen, braucht es mehr als Technik. Botenstoffe verbindet alle drei Perspektiven und übersetzt komplexe Anforderungen in operative Maßnahmen.

So unterstützen wir…

ISMS & Informationssicherheit

Informationssicherheit im Gesundheitswesen bedeutet mehr als ein generisches ISMS nach Lehrbuch. Branchenspezifische Standards wie B3S, DIN IEC 80001-1 oder ISO 27001 treffen auf regulatorische Anforderungen aus NIS2, §391 SGB V, MPBetreibV und DSGVO. Wer hier berät, muss Regulierung, Technik und den klinischen Alltag gleichermaßen verstehen. Wir bringen Struktur, Verantwortung und die richtigen Werkzeuge mit – von der ersten Risikoanalyse über das Notfallmanagement bis zum laufenden Betrieb.

Wir bringen Struktur, Verantwortung und die richtigen Werkzeuge mit – von der ersten Risikoanalyse bis zum laufenden Betrieb.

  • Von der GAP-Analyse über die Strategie bis zur fertigen Dokumentation – wir begleiten die Einführung Ihres ISMS Schritt für Schritt. Unsere Vorlagen und Prozesse sind auf das Gesundheitswesen zugeschnitten – wir kennen KIS, RIS, PACS und LIS und wissen, was Sicherheit in diesen Umgebungen bedeutet. Praxisnah, umsetzbar und gemacht für den Klinikalltag.(Hier genauere Beschreibung für ISMS Einführung einfügen)

  • Wir übernehmen die Rolle der Informationssicherheitsbeauftragten für Ihre Organisation – mit einem Team, das Tiefe und Breite vereint. Technisch auf Augenhöhe mit IT und Medizintechnik, strategisch mit dem Standing für die Geschäftsführungsebene. Managementsysteme sind für uns kein Konzept, sondern gelebte Praxis

  • Wir führen praxisnahe Risikoanalysen durch – mit branchenspezifischen Gefährdungsszenarien, zugeschnitten auf klinische Prozesse, gängige Softwaresysteme und Hersteller im Gesundheitswesen. Toolgestützt, spezialisiert und bei Bedarf ergänzt durch Penetrationstests.

  • Wenn kritische Systeme ausfallen, zählt jede Minute. Wir entwickeln Business-Continuity- und Notfallkonzepte, die auf die Versorgungsrealität im Krankenhaus zugeschnitten sind – von der Business-Impact-Analyse über Wiederanlaufpläne bis zu regelmäßigen Notfallübungen. Damit im Ernstfall nicht improvisiert werden muss, sondern Prozesse greifen.

Tooling & technische Prüfung

Gute Beratung braucht die richtigen Werkzeuge – und manchmal den gezielten Angriff, um Schwachstellen sichtbar zu machen. Wir sind herstellerunabhängig, setzen auf Open Source und arbeiten mit spezialisierten Partnern für offensive Sicherheit.

  • Wir setzen auf Open Source – für maximale Transparenz, keine Lizenzkosten und volle Datenhoheit. Mit MONARC bieten wir ein leistungsstarkes ISMS- und Risikomanagement-Tool, wahlweise als SaaS oder on-premise. Alle Daten bleiben bei Ihnen und sind jederzeit exportierbar. Das Krankenhaus haben wir bereits vollständig abgebildet – Assets, Prozesse, Gefährdungen, Schwachstellen, Normen und mehr sind sofort einsatzbereit.

  • Gemeinsam mit unserem Partner pen.sec – spezialisiert auf offensive IT-Sicherheit mit über 20 Jahren Erfahrung – führen wir Penetrationstests, Schwachstellenanalysen und Red-Teaming-Assessments durch. Wir liefern die Branchenkenntnis, pen.sec die Angriffssimulation. So erhalten Sie Ergebnisse, die auf Ihr Umfeld im Gesundheitswesen zugeschnitten sind.

  • Compliance auf einen Blick – vom Fragebogen bis zum Dashboard. Unser webbasiertes Analysetool führt sämtliche Anforderungen aus B3S, DIN IEC 80001-1, NIS2, KRITIS und weiteren Gesetzen in einem eigenen Anforderungskatalog zusammen – mit Mapping auf ISO 27001, den Digitalradar Krankenhaus und die BSI-Reife- und Umsetzungsgradbewertung (RUN). Einfach im Browser ausfüllen, standardisiert auswerten und mit Branchenwerten vergleichen. Das Ergebnis: übersichtliche Dashboards und Grafiken nach Kategorien, Gesetzen und Reifegrad – zur regelmäßigen Durchführung und als belastbare Grundlage für Ihre Sicherheitsstrategie.

Compliance & Regulierung

Das regulatorische Umfeld im Gesundheitswesen wird dichter – NIS2, KRITIS-Dachgesetz, KRITIS-Verordnung, AI-Act, CRA, C5, §391 SGB V, MPBetreibV, DSGVO und weitere Vorgaben stellen Organisationen vor wachsende Anforderungen. Wir machen es anders: Statt jede Regulierung isoliert zu betrachten, identifizieren wir Überschneidungen, nutzen Synergien und bauen eine Compliance-Struktur, die mehrere Anforderungen gleichzeitig erfüllt. Branchenspezifisch, praxisnah und mit Blick auf das, was Prüfer wirklich sehen wollen.

  • KRITIS-Betreiber, besonders wichtige oder wichtige Einrichtung? Wir schaffen Klarheit. Gemeinsam analysieren wir Ihre regulatorische Betroffenheit, priorisieren Handlungsfelder und entwickeln eine umsetzbare Compliance-Roadmap. Für die juristische Bewertung arbeiten wir mit unseren Partnern von esb Rechtsanwälte zusammen – spezialisiert auf IT-Recht und Datenschutzrecht mit Referenzen aus dem Gesundheitswesen.

  • Wo steht Ihre Organisation heute – und wo muss sie hin? Statt jede Regulierung einzeln abzuarbeiten, nutzen wir unseren eigenen Anforderungskatalog, der die Vorgaben aus NIS2, KRITIS, C5, AI-Act und weiteren Gesetzen mit dem B3S und der BSI-Reife- und Umsetzungsgradbewertung (RUN) zusammenführt. So identifizieren wir Synergien, vermeiden doppelte Arbeit und liefern standardisierte Auswertungen nach Kategorien, Gesetzen und Reifegrad – transparent, vergleichbar und nachvollziehbar

  • Von der Maßnahmenplanung bis zur fertigen Dokumentation für Prüfer und Aufsichtsbehörden – KRITIS-Nachweise nach §8a BSIG, NIS2-Umsetzungsnachweise, IT-Sicherheitsprüfungen nach §17 MPBetreibV, Datenschutzdokumentation und AI-Act-Konformität. Wir begleiten Sie bei der Vorbereitung, führen Voraudits durch oder übernehmen die vollständige Auditdurchführung.

  • Klassifizierung von KI-Systemen, Risikobewertung und Aufbau der erforderlichen Governance-Strukturen nach EU AI-Act – einschließlich Übernahme oder Begleitung der Rolle des KI-Beauftragten. KI-gestützte Medizinprodukte gelten in der Regel als Hochrisiko-KI-Systeme und erfordern besondere Sorgfalt: Wir prüfen die Einstufung und binden die Anforderungen in Ihre bestehenden Prozesse ein. Das KI-Managementsystem integrieren wir in Ihr ISMS und sorgen für eine branchenspezifische Harmonisierung.

Medical Device Security

Vernetzte Medizinprodukte sind längst fester Bestandteil der klinischen Versorgung – und gleichzeitig eines der größten Sicherheitsrisiken im Gesundheitswesen.

Wo Patientensicherheit und Behandlungs-effektivität direkt von der IT-Sicherheit eines Geräts abhängen, reichen klassische IT-Konzepte nicht aus. Legacy-Systeme, unklare Verantwortlichkeiten zwischen Hersteller, Fachhändler, Medizintechnik und IT sowie steigende regulatorische Anforderungen machen einen spezialisierten Ansatz unverzichtbar. Wir bringen die Erfahrung aus beiden Welten mit – Medizintechnik und Informationssicherheit.

  • Spezielle Risikoanalysen für vernetzte Medizinprodukte unter Berücksichtigung der Begleitpapiere der Hersteller und der Technical Reports der IEC 80001-1-Reihe. Wir bewerten Risiken dort, wo klassische IT-Risikoanalysen an ihre Grenzen stoßen – mit Fokus auf Patientensicherheit, Behandlungseffektivität und Datensicherheit.

  • Betreiber von Software als Medizinprodukt der Klassen IIb und III nach MDR sowie In-vitro-Diagnostika der Klassen C und D nach IVDR sind gesetzlich zu IT-Sicherheitsüberprüfungen verpflichtet. Wir führen diese Prüfungen durch, analysieren MDS2-Herstellerdokumente, bewerten die Betriebsumgebung und stehen im direkten Austausch mit den Herstellern. Von der Konzepterstellung über die Maßnahmenplanung bis zur prüffertigen Dokumentation begleiten wir den gesamten Prozess – und kennen dabei die gängigen CAFM-Systeme und klinischen Betriebsumgebungen aus der Praxis.

bewusst branchenspezifisch.

Ein Krankenhausgebäude mit blauer und grauer Fassade und einem blauen Kreuz über dem Eingang.

Krankenhäuser
und Klinikgruppen

Aufbau und Betrieb von Sicherheitsstrukturen.
Abgestimmt auf klinische Prozesse, vernetzte Medizinprodukte und Anforderungen aus NIS2, KRITIS, MPBetreibV, AI-Act, B3S und IEC 80001-1.

Ein medizinisches Monitorgerät mit blauer Herzfrequenzlinie auf dem Bildschirm und Steuerknöpfen auf der rechten Seite.

Hersteller von
Medizinprodukten

Beratung an der Schnittstelle von Informationssicherheit, Produktsicherheit und Regulierung – vom externen ISB über die Integration von ISO 27001 in ISO 13485 bis zu MDR, AI-Act und C5-Cloud-Sicherheit.

Illustration eines Rettungswagens, der auf einem dunklen Hintergrund fährt.

Weitere Gesundheitseinrichtungen

Sicherheitsstrategie, Governance und Compliance – für Reha-Kliniken, MVZ, Pflegeeinrichtungen und Trägergesellschaften, abgestimmt auf die jeweiligen regulatorischen Anforderungen und Strukturen.

Erfahrung aus Praxis, Regulierung und Umsetzung.

Unser Team verbindet Fachwissen aus Informationssicherheit, Gesundheitswesen und regulatorischen Anforderungen. Wir arbeiten nicht nur konzeptionell, sondern begleiten auch die Umsetzung.

Vier Personen nehmen ein Selfie vor einem Bildschirm mit dem Text 'BOTENSTOFFE Bewusst branchenspezifisch' auf.
zum Team
zum Team

Lassen Sie uns über Ihre Sicherheitsanforderungen sprechen.

Erstgespräch anfragen
Erstgespräch anfragen