Sicherheit, die man nicht sieht, aber auf die sich alle verlassen
Klinikum Lippe erhält Zertifikat nach DIN EN ISO/IEC 27001:2024 für Informationssicherheit
Wenn Informationssicherheit im Krankenhaus funktioniert, merkt niemand, wie viel Arbeit dahintersteckt: Patientendaten sind sekundenschnell verfügbar, medizinische Geräte kommunizieren zuverlässig miteinander und sensible Informationen bleiben dennoch geschützt.
Damit das so bleibt, hat das Klinikum Lippe sein Managementsystem für Informations-sicherheit jetzt nach der internationalen Norm DIN EN ISO/IEC 27001:2024 zertifizieren lassen. Laut einer repräsentativen Umfrage der Wirtschaftsprüfungsgesellschaft BDO und des Deutschen Krankenhausinstitutes waren im Jahr 2025 weniger als sechs Prozent der Häuser nach dieser Norm zertifiziert. Somit gehört das Klinikum Lippe beim Thema Informationssicherheit zur Spitzengruppe der deutschen Krankenhäuser.
„Informationssicherheit ist längst keine reine IT-Aufgabe mehr. Wir sehen sie als Teil unserer Verantwortung gegenüber unseren Patientinnen und Patienten, denn sie ist in der heutigen Zeit ebenso wichtig wie eine gute medizinische und pflegerische Versorgung nach den neuesten Leitlinien und Standards oder die menschliche Zuwendung“, sagt Dr. Niklas Cruse, Kaufmännischer Geschäftsführer des Klinikums Lippe. „Mit der Zertifizierung machen wir sichtbar, was täglich im Hintergrund in Punkto Informationssicherheit geleistet wird. Unser Krankenhaus wird durch eine solche Zertifizierung besser – in der betrieblichen Kontinuität, im Datenschutz und letztlich in der Versorgungssicherheit für die Menschen in Lippe.“
Informationssicherheit im Krankenhaus ruht auf mehreren Säulen. Das Klinikum Lippe zählt bereits seit 2017 zur Kritischen Infrastruktur (KRITIS). Damals aufgrund seiner Größe, heute sind alle Krankenhäuser als kritische Infrastruktur eingestuft. Als KRITIS-Einrichtung muss das Klinikum regelmäßig nachweisen, dass es die gesetzlichen Anforderungen an die Informationssicherheit erfüllt. Das erste dieser Audits fand 2019 statt. Geprüft werden die Vorgaben durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Anhand eines umfangreichen Kataloges wird genau erhoben, ob Krankenhäuser informationssicher arbeiten. Werden gefundene Mängel nicht abgestellt, droht ein Bußgeld.
Ansprechpartner für das BSI ist der Informationssicherheitsbeauftragte des Klinikums, Stefan Rehme, der diese Aufgabe seit 2018 wahrnimmt. Er sagt: “Wir erfüllen die gesetzlichen Vorgaben und haben nun mit der erfolgreichen Zertifizierung nach DIN EN ISO/IEC 27001:2024 auch noch die Kür bewältigt.” Die Zertifizierung ist freiwillig und nimmt gezielt das Managementsystem für Informationssicherheit in den Blick. Das bedeutet: Das Klinikum legt selbst seine Sicherheitsziele fest und verbessert sich in einem fortlaufenden Kreislauf aus Planen, Umsetzen, Überprüfen und Nachsteuern. Stefan Rehmes Grundsatz dabei ist so einfach, wie wirkungsvoll: „Schreiben Sie auf, was Sie tun und tun Sie, was Sie aufgeschrieben haben.“ Die Einhaltung der Standards wird in jährlichen Überwachungsaudits und alle drei Jahre im Rahmen einer Rezertifizierung geprüft.
Dass die Zertifizierung so schnell angestrebt wurde, hat einen ernsten Hintergrund. Ende 2022 war das Klinikum Ziel eines Cyberangriffs, der dem BSI gemeldet wurde. „Eine der Lehren aus diesem Vorfall war die Zertifizierung anzustreben, um systematisch potenzielle Sicherheitslücken zu identifizieren und zu schließen“, erinnert sich Rehme. 2023 fiel die Entscheidung der Geschäftsführung für das Zertifizierungs-verfahren. Nach einer externen Analyse begann im Sommer 2023 die intensive Vorbereitung auf die Zertifizierung.
Krankenhäuser stehen bei allen Sicherheitsthemen vor einer besonderen Herausforderung: Anders als viele Wirtschaftsunternehmen mit strengen Einlasskontrollen sind sie bewusst offen gestaltet. Jeder Patient oder Besucher kann und soll ohne Barrieren hineinkommen. Gleichzeitig müssen hochsensible Patientendaten geschützt werden. „Für die Behandlung müssen Patientendaten jederzeit verfügbar sein, aber parallel muss die Vertraulichkeit gewahrt bleiben. Der Schutz der Daten erfolgt auf mehreren Ebenen, stets nach dem Minimalprinzip. So wird der Zugriff auf Daten nur eingerichtet, wenn das für die Erfüllung der eigenen Aufgaben notwendig ist“, erläutert Dr. Jochen Dresselhaus, IT-Leiter des Klinikums Lippe.
Informationssicherheit umfasst im Krankenhaus aber weit mehr als Computer: Sie betrifft digitale, analoge und verbale Informationen – vom Patientendatensatz über das ausgedruckte Dokument bis zum Gespräch auf dem Flur. Und sie reicht über die IT hinaus in Bereiche wie Personalmanagement, Einkauf, technische Infrastruktur und Versorgungstechnik. Auch Partnerunternehmen werden einbezogen: Bei neuen Verträgen wird Informationssicherheit heute standardmäßig mit abgefragt.
Das Klinikum Lippe setzt auch auf regelmäßige Online-Schulungen zur Informationssicherheit für alle Mitarbeitenden sowie auf einen Kulturwandel, der laut Stefan Rehme bereits spürbar ist: “Wurden Maßnahmen der Informationssicherheit im Jahr 2019 noch kritisch beäugt, gehört das Thema heute selbstverständlich zu jeder Mitarbeiterbegrüßung dazu. Am Ende schützt uns kein System und keine Software so gut wie aufmerksame Kolleginnen und Kollegen. Auch in Zeiten von KI und Digitalisierung sind sensible Mitarbeitende die beste Firewall.“
PM Klinikum Lippe
Dir gefällt unser täglicher Einsatz für Lemgo? Dann unterstütze meine Arbeit hier mit einem virtuellen Kaffee für den Redakteur – oder einem Kauknochen für Redaktionshund Bolle! 🐾
🦴 Kauknochen oder Kaffee spendieren



