Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

IT-/OT-Sicherheit und Netzsegmentierung

Facility Management: Kliniken und Krankenhäuser » FM » Medizintechnik, FM und IT/OT-Schnittstellen » IT-/OT-Sicherheit und Netzsegmentierung

IT-OT-Sicherheit und Netzsegmentierung für vernetzte Krankenhaustechnik

IT-/OT-Sicherheit und Netzwerksegmentierung für Krankenhäuser und Kliniken

Die zunehmende Verbindung von Informationstechnologie (IT) und Operational Technology (OT) in Krankenhäusern und Kliniken verbessert die Steuerung klinischer, technischer und administrativer Prozesse, erhöht jedoch auch die Anforderungen an Cybersicherheit, Betriebsstabilität und Verantwortlichkeiten. Das Facility Management spielt dabei eine zentrale Rolle, da es gebäudetechnische Systeme, kritische Infrastruktur und technische Betriebsprozesse sicher, verfügbar und koordiniert mit IT, Medizintechnik und Klinikbetrieb betreuen muss.

Netzwerksegmentierung für sichere Kliniksysteme

Zweck und Funktionen

Die IT-Umgebung unterstützt die Verarbeitung, Speicherung, Übertragung und Bereitstellung von digitalen Informationen innerhalb der Gesundheitseinrichtung. Sie bildet die Grundlage für klinische Dokumentation, administrative Abläufe, Kommunikation, Datenanalyse und digitale Zusammenarbeit. Für das Facility Management ist die IT relevant, weil viele technische Prozesse, Meldewege und Dokumentationen über IT-Systeme gesteuert oder unterstützt werden.

Zentrale IT-Systeme

IT-Bereich

Typische Systeme

Klinische Informationssysteme

Elektronische Patientenakten, PACS, Laborinformationssysteme

Administrative Systeme

Personalwesen, Finanzwesen, Beschaffung

Kommunikationssysteme

E-Mail, VoIP, Kollaborationsplattformen

Dateninfrastruktur

Server, Datenbanken, Cloud-Dienste

Cybersicherheitssysteme

Identitätsmanagement, Endgeräteschutz, SIEM-Systeme

Diese Systeme verarbeiten häufig sensible Patienten-, Mitarbeiter- und Organisationsdaten. Daher müssen Zugriff, Verfügbarkeit, Integrität und Vertraulichkeit klar geregelt und technisch abgesichert sein.

Wesentliche Merkmale

Merkmal

Beschreibung

Datenzentrierter Betrieb

Schwerpunkt liegt auf Verarbeitung, Speicherung und Bereitstellung von Informationen

Hohe Nutzerinteraktion

Nutzung durch klinisches, administratives und technisches Personal

Regelmäßige Aktualisierungen

Software-Patches und Systemupdates erfolgen vergleichsweise häufig

Hohe Vertraulichkeitsanforderungen

Schutz von Patienten- und Unternehmensdaten ist zwingend erforderlich

Aus Facility-Management-Sicht ist wichtig, IT-Systeme nicht isoliert zu betrachten. Gebäudeleittechnik, Wartungsplanung, Störmeldungen, Zutrittskontrolle und Energieberichte können direkt oder indirekt von IT-Diensten abhängig sein.

Zweck und Funktionen

Die OT-Umgebung umfasst technische Systeme, die physische Anlagen überwachen, steuern oder regeln. In Krankenhäusern betrifft dies insbesondere Gebäudeautomation, Energieversorgung, Wassertechnik, Sicherheitsanlagen und technische Systeme, die für den kontinuierlichen Klinikbetrieb erforderlich sind. Der Schwerpunkt liegt nicht auf Datenverarbeitung, sondern auf sicherem, stabilem und verfügbarem Anlagenbetrieb.

Zentrale OT-Systeme

OT-Bereich

Typische Systeme

Gebäudeautomationssysteme

HLK-Anlagen, Beleuchtungssteuerung

Energiemanagementsysteme

Stromüberwachung, USV-Systeme

Wassersysteme

Wasseraufbereitung, Verteilungssteuerungen

Medizinische Gasversorgung

Überwachungs- und Alarmsysteme

Sicherheits- und Schutzsysteme

Brandmeldeanlage, Zutrittskontrolle, Videoüberwachung

Diese Systeme haben direkte Auswirkungen auf die Sicherheit, Funktionsfähigkeit und Nutzbarkeit von Bereichen wie Operationssälen, Intensivstationen, Laboren, Technikräumen und Patientenzonen.

Wesentliche Merkmale

Merkmal

Beschreibung

Verfügbarkeitsorientierung

Kontinuierlicher Betrieb ist für die Versorgung entscheidend

Echtzeitverarbeitung

Überwachung und Steuerung müssen unmittelbar reagieren

Lange Anlagenlebenszyklen

Systeme bleiben oft viele Jahre oder Jahrzehnte im Einsatz

Begrenzte Stillstandszeiten

Wartungsfenster sind im Klinikbetrieb stark eingeschränkt

Für das Facility Management bedeutet dies, dass OT-Sicherheit immer mit Betriebssicherheit, Wartbarkeit und klinischer Versorgungssicherheit abgestimmt werden muss. Sicherheitsmaßnahmen dürfen die Anlagenfunktion nicht unkontrolliert beeinträchtigen.

Integrationsbereiche

Integrationsbereich

Betrieblicher Zweck

Zentrale Überwachung

Einheitliche Übersicht über technische Anlagen und Betriebszustände

Alarmmanagement

Meldung, Eskalation und Nachverfolgung kritischer Ereignisse

Datenanalyse

Auswertung von Energieverbrauch, Anlagenleistung und Betriebsverhalten

Fernsupport

Zugriff durch Hersteller, Dienstleister oder Wartungspartner

Berichtssysteme

Betriebs-, Nachweis- und Compliance-Berichte

IT und OT sind in modernen Gesundheitseinrichtungen zunehmend miteinander verbunden. Beispiele sind webbasierte Bedienoberflächen für Gebäudeautomation, zentrale Leitstände, digitale Wartungstickets, Energiemonitoring und externe Fernwartungszugänge. Diese Verbindungen schaffen Effizienz, erhöhen aber auch das Risiko, dass Störungen oder Angriffe von einem Bereich in den anderen übergreifen.

Facility-Management-Aspekte

Das Facility Management muss die technischen und organisatorischen Abhängigkeiten zwischen IT und OT kennen. Dazu gehört, kritische Anlagen zu identifizieren, Schnittstellen zu dokumentieren und klare Kommunikationswege mit IT, Medizintechnik, Klinikbetrieb und externen Dienstleistern festzulegen. Wartungsarbeiten an OT-Systemen müssen mit IT-Änderungen, klinischen Betriebszeiten und Sicherheitsanforderungen abgestimmt werden. Besonders wichtig ist dies bei Systemen mit Einfluss auf Luftqualität, Temperatur, Stromversorgung, medizinische Gase, Zutritt, Brandschutz und Notstromversorgung. Cybersecurity-Auswirkungen vernetzter Gebäudetechnik müssen bereits bei Planung, Beschaffung, Inbetriebnahme und Betrieb berücksichtigt werden. Neue Systeme sollten nur eingebunden werden, wenn Netzwerkzugänge, Benutzerrechte, Updatefähigkeit und Fernzugriffskonzepte geprüft sind.

Bedrohungslage der Cybersicherheit

Krankenhäuser und Kliniken sind auf durchgängige Verfügbarkeit digitaler und technischer Systeme angewiesen. Cyberbedrohungen können daher nicht nur Daten betreffen, sondern auch den physischen Betrieb, die Patientensicherheit und die Funktionsfähigkeit kritischer Infrastruktur.

Häufige Bedrohungsquellen

Bedrohungsquelle

Beispiele

Externe Angreifer

Hackergruppen, Cyberkriminelle

Interne Bedrohungen

Unbefugte oder fehlerhafte Handlungen von Mitarbeitenden

Drittanbieter

Kompromittierte Fernzugänge oder Wartungsverbindungen

Schadsoftware-Kampagnen

Ransomware und andere schädliche Software

Lieferkettenrisiken

Schwachstellen in Software, Hardware oder Komponenten

Aus Sicht des Facility Managements sind insbesondere ungesicherte Fernwartungszugänge, veraltete Steuerungssysteme, unzureichend dokumentierte Netzwerkverbindungen und fehlende Zuständigkeiten kritisch.

Zentrale Risikobereiche

Risikokategorie

Mögliche Auswirkung

Datenverletzung

Offenlegung von Patienten- oder Organisationsdaten

Ransomware

Verlust der Systemverfügbarkeit

Unbefugter Zugriff

Kompromittierung sensibler Daten oder Funktionen

Dienstunterbrechung

Störungen klinischer und administrativer Abläufe

IT-Risiken können auch Facility-Management-Prozesse beeinträchtigen. Fallen Kommunikationssysteme, Dokumentationsplattformen oder Ticketsysteme aus, werden Störungen langsamer erkannt, priorisiert oder behoben.

Betriebliche Folgen

Eine Störung von IT-Systemen kann die klinische Effizienz reduzieren, weil Mitarbeitende auf Ersatzprozesse ausweichen müssen. Gleichzeitig können Meldeketten, Freigaben, Dokumentationen und Nachweise verzögert werden. Regulatorische Anforderungen können verletzt werden, wenn Daten nicht geschützt, Änderungen nicht dokumentiert oder Sicherheitsvorfälle nicht ordnungsgemäß eskaliert werden. Zusätzlich können Kosten durch Betriebsunterbrechungen, Wiederherstellung, externe Unterstützung und Reputationsschäden entstehen.

Zentrale Risikobereiche

Risikokategorie

Mögliche Auswirkung

Störung der Gebäudeleittechnik

Verlust von HLK- oder Umgebungssteuerungen

Beeinflussung der Stromversorgung

Unterbrechungen oder instabile elektrische Versorgung

Ausfall der medizinischen Gasüberwachung

Erhöhtes betriebliches und sicherheitstechnisches Risiko

Kompromittierung von Sicherheitssystemen

Reduzierter Schutz von Gebäude, Personen und Bereichen

OT-Risiken sind besonders kritisch, weil sie unmittelbare Auswirkungen auf physische Anlagen haben können. Eine fehlerhafte Temperaturregelung, ausgefallene Alarme, gestörte Lüftung oder eingeschränkte Zutrittskontrolle kann den Klinikbetrieb direkt beeinträchtigen.

Betriebliche Folgen

Die wichtigsten Folgen sind Risiken für die Patientensicherheit, Instabilität der technischen Infrastruktur, Unterbrechungen von Versorgungsprozessen und ein erhöhter manueller Aufwand für Kontrolle und Betrieb. Facility Manager müssen daher sicherstellen, dass kritische OT-Systeme überwacht, geschützt und im Notfall manuell oder über definierte Ersatzprozesse betrieben werden können. Notfallpläne müssen regelmäßig geprüft und mit den verantwortlichen Fachbereichen abgestimmt werden.

Bewertungskomponenten

Bewertungsbereich

Zweck

Asset-Identifikation

Ermittlung kritischer IT- und OT-Systeme

Schwachstellenbewertung

Identifikation technischer Schwächen

Bedrohungsanalyse

Bewertung realistischer Angriffsszenarien

Auswirkungsbewertung

Einschätzung betrieblicher Folgen

Risikopriorisierung

Grundlage für Maßnahmenplanung

Eine wirksame Risikobewertung beginnt mit einer vollständigen und aktuellen Übersicht über Systeme, Anlagen, Schnittstellen, Verantwortliche und Dienstleister. Für jedes kritische System sollte klar sein, welche Funktion es erfüllt, welche Bereiche davon abhängig sind und welche Auswirkungen ein Ausfall hätte. Die Bewertung muss technische und betriebliche Kriterien berücksichtigen. Dazu zählen Netzwerkverbindungen, Benutzerkonten, Fernzugriffe, Softwarestände, Wartungsverträge, Ersatzteilverfügbarkeit und Anforderungen an Verfügbarkeit oder Wiederanlauf. Risiken sollten priorisiert werden, damit Ressourcen gezielt eingesetzt werden. Vorrang haben Systeme, deren Ausfall Patientensicherheit, Brandschutz, Energieversorgung, Lüftung, medizinische Gase, Zutritt oder andere kritische Betriebsfunktionen beeinträchtigen kann.

Netzwerksegmentierung

Netzwerksegmentierung teilt die Netzwerkinfrastruktur in getrennte, kontrollierte Zonen auf. Ziel ist es, unbefugte Kommunikation zu verhindern, kritische Systeme zu schützen und die Ausbreitung von Störungen oder Angriffen zu begrenzen.

Hauptziele

Ziel

Nutzen

Isolierung kritischer Systeme

Schutz wesentlicher Krankenhaus- und Klinikdienste

Begrenzung der Angriffsausbreitung

Reduzierung lateraler Bewegungen im Netzwerk

Zugriffskontrolle

Einschränkung unbefugter Kommunikation

Verbesserte Überwachung

Höhere Transparenz über Netzwerkaktivitäten

Für das Facility Management ist Segmentierung besonders wichtig, weil OT-Systeme häufig andere Schutzanforderungen haben als klassische IT-Systeme. Eine direkte, unkontrollierte Verbindung zwischen Büro-IT und Gebäudeautomation sollte vermieden werden.

Empfohlene Netzwerkzonen

Netzwerkzone

Typische Assets

Corporate-IT-Zone

Administrative Systeme und Nutzergeräte

Klinische IT-Zone

Klinische Anwendungen und Patientendatensysteme

Medizinprodukte-Zone

Vernetzte medizinische Geräte

OT-Zone

Gebäudeautomation und Facility-Systeme

Externe Zugriffszone

Fernwartungs- und Herstellerzugänge

Jede Zone sollte nach Schutzbedarf, Funktion und Kommunikationsanforderungen definiert werden. Die OT-Zone sollte getrennt von Büro-IT, Gastnetzwerken, klinischen Informationssystemen und externen Verbindungen betrieben werden.

Segmentierungsprinzipien

IT- und OT-Umgebungen müssen grundsätzlich getrennt werden. Kommunikation zwischen den Zonen darf nur erfolgen, wenn sie betrieblich erforderlich, dokumentiert und technisch kontrolliert ist. Zugriffe sollten nach dem Least-Privilege-Prinzip eingerichtet werden. Nutzer, Systeme und Dienstleister erhalten nur die Berechtigungen, die für ihre Aufgabe notwendig sind. Kritische Systeme müssen besonders geschützt werden. Dazu zählen Gebäudeleittechnik, Energieversorgung, Brandmeldeanlagen, Zutrittskontrolle, medizinische Gasüberwachung, USV-Systeme und andere Anlagen mit direktem Einfluss auf den Klinikbetrieb.

Technische Kontrollen

Kontrolle

Zweck

Firewalls

Filterung des Datenverkehrs zwischen Zonen

VLANs

Logische Trennung von Netzwerkbereichen

Access Control Lists

Einschränkung erlaubter Kommunikationswege

Sichere Gateways

Kontrollierte Kommunikation zwischen Netzwerken

Netzwerküberwachungssysteme

Erkennung von Bedrohungen und Transparenz über Aktivitäten

Technische Kontrollen müssen klar konfiguriert, dokumentiert und regelmäßig überprüft werden. Besonders wichtig ist, dass nur erforderliche Protokolle, Ports und Zielsysteme freigegeben sind. Fernzugriffe von Herstellern oder Wartungsdienstleistern dürfen nicht dauerhaft und unkontrolliert offenstehen. Sie sollten zeitlich begrenzt, authentifiziert, protokolliert und über definierte sichere Zugangswege erfolgen.

Anforderungen an das Zugriffsmanagement

Anforderung

Zweck

Benutzerauthentifizierung

Überprüfung der Identität

Rollenbasierte Zugriffskontrolle

Steuerung von Berechtigungen

Sicherheit des Fernzugriffs

Schutz externer Verbindungen

Protokollierung und Überwachung

Sicherheitskontrolle und Nachvollziehbarkeit

Zugriffsrechte müssen nachvollziehbar vergeben und regelmäßig geprüft werden. Gemeinsame Benutzerkonten sollten vermieden werden, da sie Verantwortlichkeiten verschleiern und Sicherheitsvorfälle schwerer nachvollziehbar machen.

Betriebliche Aktivitäten

Aktivität

Ziel

Überprüfung der Netzwerkkonfiguration

Nachweis der Wirksamkeit der Segmentierung

Validierung von Firewall-Regeln

Sicherstellung angemessener Zugriffskontrolle

Änderungsmanagement

Kontrolle von Netzwerkänderungen

Regelmäßige Tests

Bestätigung der Sicherheitsleistung

Netzwerksegmentierung ist keine einmalige Maßnahme. Änderungen an Anlagen, Software, Dienstleisterzugängen oder klinischen Prozessen können neue Kommunikationswege erzeugen und bestehende Schutzmaßnahmen verändern. Das Facility Management sollte bei Änderungen an OT-Systemen frühzeitig die IT-Sicherheit einbeziehen. Jede Änderung sollte dokumentiert, bewertet, freigegeben und nach Umsetzung überprüft werden. Firewall-Regeln und Netzwerkfreigaben sollten regelmäßig auf Notwendigkeit, Aktualität und Risiko geprüft werden. Nicht mehr benötigte Verbindungen sind zu entfernen, damit die Angriffsfläche reduziert bleibt.

Sicherheitsgovernance

Sicherheitsgovernance legt Verantwortlichkeiten, Entscheidungswege, Kontrollmechanismen und Mindestanforderungen für Cybersicherheit fest. Sie stellt sicher, dass IT-, OT- und Facility-Risiken nicht isoliert behandelt werden, sondern als Teil des gesamten Risikomanagements der Gesundheitseinrichtung.

Governance-Komponenten

Komponente

Funktion

Richtlinien

Festlegung verbindlicher Sicherheitsanforderungen

Standards

Definition technischer und organisatorischer Erwartungen

Verfahren

Anleitung für betriebliche Abläufe

Kontrollmechanismen

Überwachung von Einhaltung und Leistung

Ein wirksames Governance-Modell muss für den täglichen Betrieb verständlich und anwendbar sein. Vorgaben sollten klar beschreiben, wer Entscheidungen trifft, wer Systeme betreibt, wer Änderungen genehmigt und wer im Sicherheitsvorfall informiert werden muss.

Governance-Struktur

Stakeholder

Verantwortlichkeiten

Geschäftsführung

Strategische Aufsicht und Bereitstellung von Ressourcen

Facility Management

Schutz von OT- und gebäudetechnischen Systemen

IT-Abteilung

IT-Sicherheitsbetrieb und Schutz der IT-Infrastruktur

Medizintechnik

Sicherheitskoordination für medizinische Technologie

Risiko- und Compliance-Funktionen

Governance- und Compliance-Überwachung

Facility Management ist verantwortlich für den sicheren technischen Betrieb der gebäudebezogenen Anlagen. Dazu gehören Anlagenverfügbarkeit, Wartungskoordination, Dienstleistersteuerung, technische Dokumentation und die Einhaltung definierter Sicherheitsvorgaben. Die IT-Abteilung verantwortet die technische Netzwerksicherheit, Identitätsdienste, Protokollierung, Monitoring und Schutzmaßnahmen für IT-Infrastruktur. Bei OT-Systemen ist eine enge Abstimmung erforderlich, da technische Sicherheitsmaßnahmen den Anlagenbetrieb beeinflussen können.

Koordinationsanforderungen

Cybersicherheit muss funktionsübergreifend geplant werden. Facility Management, IT, Medizintechnik, Klinikbetrieb, Einkauf, Datenschutz, Risiko- und Compliance-Funktionen müssen klare Schnittstellen haben. Gemeinsame Risikobewertungen sind erforderlich, damit technische, klinische und betriebliche Auswirkungen vollständig berücksichtigt werden. Incident-Response-Prozesse müssen so abgestimmt sein, dass bei einem Vorfall sowohl digitale Systeme als auch physische Anlagen bewertet werden. Verantwortlichkeiten für kritische Infrastruktur müssen eindeutig zugewiesen sein. Es darf keine unklaren Zuständigkeiten für Fernzugriffe, Systemupdates, Lieferantenkommunikation, Störungseskalation oder Wiederherstellung geben.

Richtlinienbereiche

Richtlinienbereich

Umfang

Zugriffskontrolle

Anforderungen an Benutzer- und Systemzugriffe

Netzwerksicherheit

Segmentierung und Kommunikationskontrollen

Fernzugriff

Hersteller- und externe Verbindungen

Asset Management

Lebenszyklusmanagement von IT- und OT-Systemen

Vorfallmeldung

Eskalationsverfahren für Cybersicherheitsereignisse

Sicherheitsrichtlinien müssen praxisnah formuliert und für alle betroffenen Bereiche verbindlich sein. Für Facility Management sind insbesondere Vorgaben zu Fernwartung, Dienstleisterzugang, Anlagenänderungen, Passwortverwaltung, Dokumentation und Notfallbetrieb relevant. Richtlinien sollten regelmäßig überprüft werden, insbesondere nach Systemänderungen, Sicherheitsvorfällen, Auditergebnissen oder organisatorischen Veränderungen. Veraltete oder unklare Vorgaben erhöhen das Risiko uneinheitlicher Entscheidungen. Bei neuen OT-Systemen sollten Sicherheitsanforderungen bereits in Ausschreibung, Beschaffung und Vertragsgestaltung berücksichtigt werden. Dazu gehören Anforderungen an Benutzerverwaltung, Protokollierung, Updatefähigkeit, Netzwerksegmentierung, Supportprozesse und sichere Fernwartung.

Aktivitäten der Sicherheitsüberwachung

Aktivität

Zweck

Überwachung von Sicherheitsereignissen

Erkennung und Reaktion auf Bedrohungen

Zugriffsprüfungen

Überprüfung autorisierter Zugriffe

Schwachstellenmanagement

Identifikation und Behebung von Schwächen

Sicherheitsaudits

Überprüfung der Einhaltung von Vorgaben

Überwachung muss sowohl IT- als auch OT-relevante Ereignisse berücksichtigen. Dazu gehören ungewöhnliche Netzwerkverbindungen, fehlgeschlagene Anmeldungen, unerwartete Konfigurationsänderungen, nicht autorisierte Geräte und Auffälligkeiten in Fernwartungszugängen. Compliance-Prüfungen sollten nicht nur dokumentenbasiert erfolgen. Sie müssen auch technische Nachweise, Konfigurationsstände, Zugriffslisten, Wartungsprotokolle und Änderungsnachweise einbeziehen.

Elemente der kontinuierlichen Verbesserung

Element

Ziel

Cybersicherheitsschulungen

Verbesserung des Sicherheitsbewusstseins

Sicherheitsbewertungen

Bewertung der Wirksamkeit von Kontrollen

Lessons-Learned-Reviews

Verbesserung der künftigen Vorbereitung

Governance-Reviews

Stärkung der Sicherheitsaufsicht

Kontinuierliche Verbesserung stellt sicher, dass Sicherheitsmaßnahmen an neue Risiken, geänderte Systeme und betriebliche Erfahrungen angepasst werden. Schulungen sollten praxisnah sein und Rollen im Facility Management, in der IT, in der Medizintechnik und bei Dienstleistern berücksichtigen. Nach Vorfällen, Tests oder Audits sollten konkrete Verbesserungsmaßnahmen festgelegt werden. Jede Maßnahme benötigt eine verantwortliche Stelle, einen Umsetzungsstatus und eine nachvollziehbare Wirksamkeitsprüfung.