Bosch arbeitete mit McKinsey zusammen, um CyberCompare zu entwickeln und auf den Markt zu bringen. Im Interview mit McKinsey spricht Jannis Stemmann, CEO von CyberCompare darüber, welchen Herausforderungen die gesetzlichen Krankenkassen 2025 gegenüberstehen und wie sich effiziente Cybersicherheit trotz knapper Budgets gestalten lassen.
Herr Stemmann, worin besteht die Arbeit von CyberCompare, insbesondere mit Blick auf den Gesundheitssektor?
Wir unterstützen Unternehmen dabei, ihre Sicherheitsmaßnahmen zu priorisieren, entsprechende Ausschreibungen zu erstellen und Angebote zu vergleichen, um eine effiziente, kostengünstige und dennoch effektive Cybersicherheit zu gewährleisten. Im Gesundheitssektor arbeiten wir beispielsweise mit Klinikverbünden und Krankenkassen zusammen, um unter anderem Managed SOC, also Security Operations Centers, zu designen und auszuschreiben. Darüber hinaus unterstützen wir auch Pharmaunternehmen und Medizingerätehersteller.
Welche Besonderheiten sehen Sie bei der Sicherung von IT-Systemen im Gesundheitswesen? Wo liegen Unterschiede zu anderen Branchen?
Im Gesundheitswesen spielen Regulierungen eine zentrale Rolle. Nahezu alle Organisationen, ob privat oder öffentlich, sind durch Vorschriften wie KRITIS oder NIS2 reguliert. Im Vergleich zu anderen Sektoren wie Banken und Versicherungen unterscheiden sich die Regularien zwar, aber die Anforderungen an das Sicherheitsniveau sind ähnlich. Aufgrund der öffentlichen Regulierung sind die Vergabeverfahren, Teilnahmewettbewerbe und Bieterverfahren für Anbieter von Sicherheitslösungen besonders herausfordernd. Die wichtigsten Lösungen sind oft die Managed SOC, häufig auch mit einer Integration von Operations Technology und Medizintechnik. Andere Besonderheiten – und zugleich Herausforderungen – sind Budgetrestriktionen und der Mangel an qualifiziertem Personal. Trotz staatlicher Förderprogramme haben viele Organisationen Schwierigkeiten, das passende Budget für die Cybersicherheit zu finden. Insgesamt sind die Gemeinsamkeiten zwischen den Sektoren aber größer als die Unterschiede, wenn es um Cybersicherheit geht.
Was sind aus Ihrer Sicht die größten Schwierigkeiten, die Ihre Kunden im Gesundheitssektor haben? Warum ist effektive Cybersicherheit für Krankenhäuser und Krankenkassen eine so große Herausforderung?
In Krankenhäusern müssen Cybersicherheitsmaßnahmen gegenüber anderen Anforderungen priorisiert werden, was oft schwierig ist. Wenn z.B. Mitarbeitende die Gesundheitsversorgung sicherstellen müssen, kollidiert das manchmal mit Sicherheitsanforderungen, etwa mit der MultiFactor-Authentifizierung oder der Überwachung von Geräten. Außerdem erschweren oft veraltete IT-Landschaften und Geräte die Überwachung und damit auch die Reaktionsfähigkeit bei Vorfällen. Ein sektorweites Problem ist zudem der Mangel an qualifiziertem Personal. Es gibt jedoch auch positive Beispiele: Gemeinsam mit einer Betriebskrankenkasse führen wir gerade ein Managed SOC ein, und die Mitarbeitenden dort sind sehr hoch qualifiziert.
Gibt es typische Schwachstellen im Cybersicherheitsmanagement des Gesundheitssektors? Was sind die Gründe dafür und was können Organisationen dagegen tun?
Viele Einrichtungen haben aufgrund von Sparmaßnahmen Nachholbedarf bei der Digitalisierung und der Einführung von Sicherheitslösungen. Zudem ist es schwierig, qualifizierte Anbieter zu finden, die Erfahrung im Gesundheitswesen haben und bezahlbare Lösungen anbieten. Hier können wir mit unserer Erfahrung aus über 50 Ausschreibungen in der Branche seit unserer Gründung vor vier Jahren helfen. Ein Positivbeispiel ist der erwähnte Klinikverbund, der sich bei der Ausschreibung zusammengeschlossen und einen guten Kompromiss gefunden hat zwischen effizienter und kostengünstiger Leistungserbringung. Zugleich wurde ein sehr gut qualifizierter Dienstleister ausgewählt. Wir haben dabei geholfen, die entscheidenden Kriterien für die Ausschreibungen festzulegen und Betriebskonzepte wie Co-Managed Security Information and Event Management gemeinsam mit unseren Kunden umzusetzen.
Was sind Ihrer Meinung nach die Prioritäten für Gesundheitsorganisationen, wenn sie ihre Abwehrmechanismen gegen Cyberangriffe verbessern wollen? Wo sollten Krankenhäuser und Krankenkassen starten?
Ich würde sowohl Krankenhäusern als auch Krankenkassen empfehlen, die folgenden drei Schritte nacheinander anzugehen. Zunächst sollten sie die Compliance-Anforderungen erfüllen: Mit KRITIS und NIS2 sind die Security-Basics bereits abgedeckt. Daran sollten sich auch unregulierte Einrichtungen orientieren. Im zweiten Schritt sind die Worst-CaseSzenarien abzudecken: Die Organisationen sollten also Backups, Recovery- und Notfallpläne erstellen sowie Simulationen durchführen. Und schließlich ist ein Third-Party Risk Management sicherzustellen, was im Zuge von NIS2 noch relevanter wird. Die Priorität muss hier darauf liegen, einen höchst effizienten Ansatz für die Überprüfung von Dienstleistern zu finden, damit der Aufwand auch dem Nutzen entspricht. Cyberrisiken bei den Lieferanten stellen in den meisten Fällen aber nicht das größte Risiko für Gesundheitseinrichtungen dar, daher ist eine Risikobewertung und -priorisierung erforderlich, um effizient zu arbeiten.
Herr Stemmann, wir danken Ihnen für das Gespräch.
Quelle: https://www.mckinsey.de/publikationen/gkv-check-up-2025
