Bosch arbeitete mit McKinsey zusammen, um CyberCompare zu entwickeln und auf den Markt zu bringen. Im Interview mit McKinsey spricht Jannis Stemmann, CEO von CyberCompare dar\u00fcber, welchen Herausforderungen die gesetzlichen Krankenkassen 2025 gegen\u00fcberstehen und wie sich effiziente Cybersicherheit trotz knapper Budgets gestalten lassen. <\/p>\n\n
Wir unterst\u00fctzen Unternehmen dabei, ihre Sicherheitsma\u00dfnahmen zu priorisieren, entsprechende Ausschreibungen zu erstellen und Angebote zu vergleichen, um eine effiziente, kosteng\u00fcnstige und dennoch effektive Cybersicherheit zu gew\u00e4hrleisten. Im Gesundheitssektor arbeiten wir beispielsweise mit Klinikverb\u00fcnden und Krankenkassen zusammen, um unter anderem Managed SOC, also Security Operations Centers, zu designen und auszuschreiben. Dar\u00fcber hinaus unterst\u00fctzen wir auch Pharmaunternehmen und Medizinger\u00e4tehersteller.<\/p>\n\n
Im Gesundheitswesen spielen Regulierungen eine zentrale Rolle. Nahezu alle Organisationen, ob privat oder \u00f6ffentlich, sind durch Vorschriften wie KRITIS oder NIS2 reguliert. Im Vergleich zu anderen Sektoren wie Banken und Versicherungen unterscheiden sich die Regularien zwar, aber die Anforderungen an das Sicherheitsniveau sind \u00e4hnlich. Aufgrund der \u00f6ffentlichen Regulierung sind die Vergabeverfahren, Teilnahmewettbewerbe und Bieterverfahren f\u00fcr Anbieter von Sicherheitsl\u00f6sungen besonders herausfordernd. Die wichtigsten L\u00f6sungen sind oft die Managed SOC, h\u00e4ufig auch mit einer Integration von Operations Technology und Medizintechnik. Andere Besonderheiten \u2013 und zugleich Herausforderungen \u2013 sind Budgetrestriktionen und der Mangel an qualifiziertem Personal. Trotz staatlicher F\u00f6rderprogramme haben viele Organisationen Schwierigkeiten, das passende Budget f\u00fcr die Cybersicherheit zu finden. Insgesamt sind die Gemeinsamkeiten zwischen den Sektoren aber gr\u00f6\u00dfer als die Unterschiede, wenn es um Cybersicherheit geht.<\/p>\n\n
In Krankenh\u00e4usern m\u00fcssen Cybersicherheitsma\u00dfnahmen gegen\u00fcber anderen Anforderungen priorisiert werden, was oft schwierig ist. Wenn z.B. Mitarbeitende die Gesundheitsversorgung sicherstellen m\u00fcssen, kollidiert das manchmal mit Sicherheitsanforderungen, etwa mit der MultiFactor-Authentifizierung oder der \u00dcberwachung von Ger\u00e4ten. Au\u00dferdem erschweren oft veraltete IT-Landschaften und Ger\u00e4te die \u00dcberwachung und damit auch die Reaktionsf\u00e4higkeit bei Vorf\u00e4llen. Ein sektorweites Problem ist zudem der Mangel an qualifiziertem Personal. Es gibt jedoch auch positive Beispiele: Gemeinsam mit einer Betriebskrankenkasse f\u00fchren wir gerade ein Managed SOC ein, und die Mitarbeitenden dort sind sehr hoch qualifiziert.<\/p>\n\n
Viele Einrichtungen haben aufgrund von Sparma\u00dfnahmen Nachholbedarf bei der Digitalisierung und der Einf\u00fchrung von Sicherheitsl\u00f6sungen. Zudem ist es schwierig, qualifizierte Anbieter zu finden, die Erfahrung im Gesundheitswesen haben und bezahlbare L\u00f6sungen anbieten. Hier k\u00f6nnen wir mit unserer Erfahrung aus \u00fcber 50 Ausschreibungen in der Branche seit unserer Gr\u00fcndung vor vier Jahren helfen. Ein Positivbeispiel ist der erw\u00e4hnte Klinikverbund, der sich bei der Ausschreibung zusammengeschlossen und einen guten Kompromiss gefunden hat zwischen effizienter und kosteng\u00fcnstiger Leistungserbringung. Zugleich wurde ein sehr gut qualifizierter Dienstleister ausgew\u00e4hlt. Wir haben dabei geholfen, die entscheidenden Kriterien f\u00fcr die Ausschreibungen festzulegen und Betriebskonzepte wie Co-Managed Security Information and Event Management gemeinsam mit unseren Kunden umzusetzen.<\/p>\n\n
Ich w\u00fcrde sowohl Krankenh\u00e4usern als auch Krankenkassen empfehlen, die folgenden drei Schritte nacheinander anzugehen. Zun\u00e4chst sollten sie die Compliance-Anforderungen erf\u00fcllen: Mit KRITIS und NIS2 sind die Security-Basics bereits abgedeckt. Daran sollten sich auch unregulierte Einrichtungen orientieren. Im zweiten Schritt sind die Worst-CaseSzenarien abzudecken: Die Organisationen sollten also Backups, Recovery- und Notfallpl\u00e4ne erstellen sowie Simulationen durchf\u00fchren. Und schlie\u00dflich ist ein Third-Party Risk Management sicherzustellen, was im Zuge von NIS2 noch relevanter wird. Die Priorit\u00e4t muss hier darauf liegen, einen h\u00f6chst effizienten Ansatz f\u00fcr die \u00dcberpr\u00fcfung von Dienstleistern zu finden, damit der Aufwand auch dem Nutzen entspricht. Cyberrisiken bei den Lieferanten stellen in den meisten F\u00e4llen aber nicht das gr\u00f6\u00dfte Risiko f\u00fcr Gesundheitseinrichtungen dar, daher ist eine Risikobewertung und -priorisierung erforderlich, um effizient zu arbeiten.<\/p>\n\n