Der Branchenspezifische Sicherheitsstandard, kurz B3S, beschreibt, wie Krankenhäuser ihre informationstechnischen Systeme und Prozesse absichern, um die stationäre medizinische Versorgung jederzeit sicherzustellen und die Patientensicherheit zu erhöhen. Er gilt als anerkannte Grundlage für den Stand der Technik in der Informationssicherheit im Gesundheitswesen und ist damit ein zentraler Bestandteil moderner Krankenhausorganisation.
Was ein B3S ist und worauf er basiert
Der B3S ist ein von der Deutschen Krankenhaus Gesellschaft (DKG) entwickelter Sicherheitsstandard, der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft und anerkannt wird. Seine rechtliche Grundlage ist § 8a des BSI-Gesetzes (BSIG). Dieser verpflichtet Betreiber kritischer Infrastrukturen (KRITIS), organisatorische und technische Maßnahmen zu treffen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme zu vermeiden.
Da das Gesetz offenlässt, wie diese Anforderungen konkret umzusetzen sind, können Branchen eigene Standards entwickeln. Das Ziel ist das Schaffen einer gemeinsamen Grundlage, um Risiken zu erkennen, zu bewerten und zu steuern und abstrakte IT-Sicherheitsvorgaben in praxisnahe, erfüllbare und auf die Branche zugeschnittene Anforderungskataloge zu übersetzten.
Wird ein solcher B3S vom BSI als geeignet anerkannt und wurde in einer Organisation umgesetzt, kann davon ausgegangen werden, dass die Anforderungen des BSIG erfüllt sind. Ein B3S schafft also Rechtssicherheit unter Berücksichtigung branchenspezifischer Herausforderungen.
Im Rahmen der Gesundheitsversorgung existieren derzeit drei B3S:
Der aktuelle B3S Krankenhaus für die stationäre medizinische Versorgung (Version 1.3, Stand Juli 2025) wurde von der Deutschen Krankenhausgesellschaft (DKG) erarbeitet und beim BSI eingereicht.
Er richtet sich an alle Krankenhäuser, unabhängig von ihrer Größe oder formalen KRITIS-Einstufung und besitzt freiwilligen Charakter.
Inhalte und Schwerpunkte des B3S
Die Digitalisierung hat die Strukturen im Krankenhaus grundlegend verändert. Elektronische Patientenakten, digitale Diagnostik und vernetzte Medizintechnik sind längst Teil der täglichen Versorgung. Gleichzeitig nimmt die Abhängigkeit von funktionierender IT stetig zu. Cyberangriffe, Systemausfälle oder fehlerhafte Schnittstellen können den Krankenhausbetrieb erheblich beeinträchtigen und im schlimmsten Fall Menschenleben gefährden. Informationssicherheit betrifft daher nicht nur die IT-Abteilung, sondern die gesamte Organisation – von der Medizintechnik über Verwaltung und Pflege bis hin zu externen Dienstleistern.
Der B3S Krankenhaus folgt deshalb dem sogenannten Allgefahrenansatz. Dabei werden nicht nur IT-spezifische Bedrohungen wie Schadsoftware oder unbefugte Zugriffe betrachtet, sondern auch physische, organisatorische und infrastrukturelle Risiken. Dazu zählen Stromausfälle, Brand, Naturereignisse, der Ausfall der Versorgungs- und Gebäudetechnik oder menschliches Fehlverhalten. Ein wichtiger Bestandteil ist auch die Betrachtung von Abhängigkeiten in der Lieferkette und der Dienstleistung. Der B3S fordert deshalb, diese Gefahren zu identifizieren und in das Risikomanagement einzubeziehen.
Branchenspezifische Technik und Software
Weiterhin betrachtet der B3S Krankenhaus die Gefährdung durch Betrachtung von branchenspezifischer Technik und Software. Ein besonderes Augenmerk liegt dabei auf Systemen, die kritisch für Erbringung der Versorgungsleistung sind. Zu den identifizierten zentralen Systemen zählen unter anderem das Krankenhausinformationssystem (KIS), das Laborinformationssystem (LIS), das Radiologieinformationssystem (RIS), das Bildarchiv- und Kommunikationssystem (PACS) sowie Dokumentenmanagementsysteme. Hinzu kommt eine Vielzahl vernetzter Medizintechniksysteme, etwa Infusionspumpen, Beatmungsgeräte oder bildgebende Systeme, die über branchenspezifische Interfaces wie HL7 oder DICOM kommunizieren und häufig nicht klassischen Standards der IT-Sicherheit entsprechen.
Leitfaden für die Umsetzung
Der B3S enthält außerdem einen detaillierten Gefährdungskatalog, der branchenspezifische Bedrohungen und Schwachstellen beschreibt. Dieser Katalog umfasst IT-Risiken ebenso wie organisatorische und infrastrukturelle Einflüsse. Ergänzend enthält der Standard eine Einführung in das Risikomanagement, die sich an internationalen Normen wie ISO 27001 (Informationssicherheitsmanagementsysteme), ISO 27005 (Informationssicherheits-Risikomanagement) und DIN EN 80001-1 (Risikomanagement für medizinische IT-Netzwerke) orientiert.
Das Risikomanagement sieht vor, Bedrohungen und Schwachstellen zu identifizieren, Eintrittswahrscheinlichkeiten und Schadensausmaße zu bewerten, akzeptable Restrisiken festzulegen und geeignete Maßnahmen abzuleiten. Der B3S bietet dafür praktische Umsetzungsempfehlungen in der Form von Mindestanforderungen, die Krankenhäuser bei der Überprüfung und Priorisierung ihrer Sicherheitsmaßnahmen unterstützen. Im Einklang mit der ISO 27001 wird Informationssicherheit als fortlaufender Prozess verstanden, nicht als einmalige technische Maßnahme.
Informationssicherheit als Führungsaufgabe
Ein zentrales Prinzip des B3S ist die Verankerung der Informationssicherheit in der Leitungsebene. Die Geschäftsführung trägt die Gesamtverantwortung und muss sicherstellen, dass ein wirksames Informationssicherheits-Managementsystem (ISMS) aufgebaut und betrieben wird.
Das ISMS legt Zuständigkeiten, Prozesse und Kontrollmechanismen fest. Dazu gehören die Benennung eines Informationssicherheitsbeauftragten, die Entwicklung von Sicherheitsrichtlinien, die Durchführung regelmäßiger Audits sowie ein strukturiertes Vorgehen bei Sicherheitsvorfällen. Ebenso gehören Schulungen für Mitarbeitende und die Kommunikation von Sicherheitszielen zu den Aufgaben der Krankenhausleitung.
Informationssicherheit wird so zu einer dauerhaften Managementaufgabe, die in alle Bereiche des Krankenhauses hineinwirkt. Sie erfordert klare Verantwortlichkeiten, transparente Entscheidungsprozesse und ein gemeinsames Verständnis für den Schutz kritischer Systeme.
Fazit
Der Branchenspezifische Sicherheitsstandard für die medizinische Versorgung ist weit mehr als eine regulatorische Vorgabe. Er bildet die praxisnahe Grundlage für eine strukturierte, nachvollziehbare und überprüfbare Informationssicherheit in Krankenhäusern.
Sein besonderer Wert liegt darin, dass er technische und organisatorische Sicherheit mit den Zielen der medizinischen Versorgung verbindet. Er schafft einheitliche Maßstäbe und schafft durch organisatorisch-technische Anforderungen die Voraussetzungen für Krankenhäusern, auf Störungen und Angriffe angemessen zu reagieren. Informationssicherheit wird dadurch zu einem festen Bestandteil der Patientensicherheit und zu einem Ausdruck verantwortungsvoller Gesundheitsversorgung.
Der B3S ist damit ein wichtiger Schritt, um die digitale Transformation im Gesundheitswesen sicher zu gestalten.
Quellen:
- Bundesamt für Sicherheit in der Informationstechnik (BSI): Übersicht der B3S
- Deutsche Krankenhausgesellschaft (DKG): Informationssicherheit im Krankenhaus
- Branchenspezifischer Sicherheitsstandard Medizinische Versorgung, Version 1.3 (2025), herausgegeben von der Deutschen Krankenhausgesellschaft (DKG).