NIS22026-04-175 min Lesezeit

B3S Krankenhaus: Der Branchenstandard für Informationssicherheit im Gesundheitswesen

MW
Malte Wagenbach

Founder & CEO, Matproof

Inhaltsverzeichnis

  1. 011. Was ist der B3S Krankenhaus?
  2. 022. Für welche Krankenhäuser ist der B3S Pflicht?
  3. 033. Aufbau des B3S
  4. 044. Besonderheiten für Krankenhäuser
  5. 055. Zusammenspiel mit NIS2, KRITIS und IT-Grundschutz
  6. 066. Typische Umsetzungsprobleme in Kliniken
  7. 077. Fünf-Schritte-Umsetzung
  8. 088. Was Aufsichten prüfen
  9. 09Fazit

B3S Krankenhaus: Der Branchenstandard für Informationssicherheit im Gesundheitswesen

Der B3S Krankenhaus (Branchenspezifischer Sicherheitsstandard) ist die verbindliche Referenz für Informationssicherheit in deutschen Kliniken. Mit dem Inkrafttreten des NIS2UmsuCG wird er für deutlich mehr Krankenhäuser als bisher zur Pflicht — und wer ihn heute nicht umsetzt, riskiert Bußgelder und im schlimmsten Fall Patientenausfälle.

Dieser Artikel erklärt Aufbau, Pflichten und praktische Umsetzung des B3S — plus das Zusammenspiel mit NIS2, KRITIS und IT-Grundschutz.

1. Was ist der B3S Krankenhaus?

Der Branchenspezifische Sicherheitsstandard Krankenhaus wurde 2014 durch die Deutsche Krankenhausgesellschaft (DKG) entwickelt und vom BSI anerkannt. Er übersetzt die abstrakten Anforderungen des BSI-Gesetzes (§ 8a) in konkrete Controls für Krankenhäuser: vom KIS-Betrieb über PACS, LIS, Medizingeräte bis zur Notfallversorgung.

Aktuelle Version: B3S Krankenhaus 1.2 (regelmäßige Updates durch DKG, zuletzt 2023).

2. Für welche Krankenhäuser ist der B3S Pflicht?

Unter dem alten KRITIS-Rahmen (vor NIS2UmsuCG)

Krankenhäuser mit mehr als 30.000 vollstationären Fällen pro Jahr waren als KRITIS erfasst und mussten B3S oder gleichwertig umsetzen.

Unter NIS2 / NIS2UmsuCG

Die NIS2-Schwelle ist niedriger: 50 Mitarbeitende oder 10 Mio. EUR Jahresumsatz — bei Krankenhäusern ist praktisch jedes größere Haus erfasst. Das deutsche Implementierungsgesetz (NIS2UmsuCG) behandelt den B3S explizit als geeignete Umsetzungsgrundlage für die Pflichten nach Art. 21 NIS2.

Praktisch: Nahezu jede Klinik in Deutschland, die nicht winzig ist, fällt unter NIS2 und setzt am besten mit B3S um.

3. Aufbau des B3S

Der B3S folgt einer klaren Struktur:

  1. Einleitung und Anwendungsbereich
  2. Schutzziele — Verfügbarkeit (kritisch für Patientenversorgung), Integrität (Behandlungsdaten), Vertraulichkeit (Patientengeheimnis)
  3. Risikoanalyse-Methode — mit spezifischen Gefährdungsszenarien für Krankenhäuser
  4. Controls in 14 Kapiteln — unter anderem:
    • Informationssicherheitsmanagement
    • Sicherheitsorganisation und Governance
    • Risikomanagement
    • Personal und Awareness
    • Physische Sicherheit
    • Betrieb und Kommunikation
    • Zugangskontrolle
    • Erwerb, Entwicklung, Wartung
    • Incident Management
    • BCM und Notfallmanagement
    • Compliance
    • Medizingerätesicherheit (Klinik-spezifisch)
    • Lieferantenmanagement
    • Protokollierung und Überwachung

4. Besonderheiten für Krankenhäuser

Medizingeräte

Vernetzte Medizingeräte (Infusionspumpen, MRT, Bildgebung, Laborgeräte) sind oft schlecht gesichert, herstellerseitig kaum updatebar und laufen auf alten Windows-Versionen. B3S fordert trotzdem ihre Einbindung in das Sicherheitskonzept:

  • Netzwerksegmentierung — Medizingeräte in eigenen VLANs
  • Kompensierende Controls — Monitoring statt Patching, wenn Updates nicht möglich
  • Lieferantenverträge — Sicherheitsgewährleistung schriftlich

24/7-Kritikalität

Ein KIS-Ausfall kann direkt Patientenleben kosten. BCM und Notfallmanagement sind deshalb im B3S besonders detailliert geregelt: redundante Systeme, Offline-Verfahren, manuelle Rückfall-Workflows.

Patientendatenschutz

Die DSGVO greift parallel: Patientendaten sind "besondere Kategorien" nach Art. 9 — strengere Anforderungen als normale personenbezogene Daten. Der B3S integriert DSGVO-Aspekte konsequent.

5. Zusammenspiel mit NIS2, KRITIS und IT-Grundschutz

Rahmen Zuständig Zusammenspiel mit B3S
NIS2 / NIS2UmsuCG BSI B3S gilt als geeignete Umsetzung der Art.-21-Maßnahmen
KRITIS-Verordnung BSI B3S gilt als Standard für Krankenhäuser >30.000 Fälle
BSI IT-Grundschutz BSI B3S baut auf IT-Grundschutz auf — Bausteine ergänzen sich
DSGVO Landesdatenschutzbehörden B3S integriert DSGVO-Anforderungen; parallele Meldepflicht bleibt
ISO 27001 akkreditierte Prüfstellen B3S ist gleichwertig anerkannt; Co-Zertifizierung möglich

Wichtig: Der B3S ist nicht verpflichtend — andere Standards (ISO 27001, IT-Grundschutz-Vollzertifizierung) sind möglich. Aber er ist der pragmatischste Weg für Krankenhäuser, weil er branchenspezifisch ist.

6. Typische Umsetzungsprobleme in Kliniken

  1. Heterogene IT-Landschaft — KIS aus den 90ern, Cloud-Anwendungen aus 2024, alles parallel
  2. Knappe IT-Sicherheits-Teams — oft 1-3 Personen für ein großes Haus
  3. Ärzte als "Power-User" mit Widerstand gegen Sicherheitsmaßnahmen
  4. Medizingeräte-Zoo mit hunderten Geräten unterschiedlicher Hersteller
  5. Dokumentation als Schwachstelle — oft besser gepflegt als umgesetzt

7. Fünf-Schritte-Umsetzung

  1. Scope und Strukturanalyse — welche Systeme, Prozesse, Standorte sind relevant (3-4 Wochen)
  2. Schutzbedarfsfeststellung — pro System (2 Wochen)
  3. Gap-Analyse gegen B3S-Controls — strukturiert, mit Reifegradbewertung (2-3 Wochen)
  4. Maßnahmenplan — priorisiert nach Risiko, Budget, Umsetzbarkeit (2 Wochen)
  5. Umsetzung und Audit-Vorbereitung — laufend, typisch 12-18 Monate bis zur ersten BSI-Prüfung

Eine ISMS-Software wie Matproof bildet die B3S-Controls als vorkonfigurierten Katalog ab, mappt sie automatisch auf NIS2 Art. 21, ISO 27001 und IT-Grundschutz und sammelt Nachweise aus bestehenden Klinik-Systemen automatisch.

8. Was Aufsichten prüfen

Das BSI prüft alle zwei Jahre die Einhaltung — früher als KRITIS-Prüfung, künftig im NIS2-Rahmen. Geprüft werden:

  • Dokumentation (Richtlinien, SoA, Risikoanalyse, Management-Review)
  • Technische Umsetzung der Controls (Stichprobe)
  • Incident-Management-Historie
  • Schulungsnachweise
  • Lieferantenmanagement
  • BCM-Tests

Fehlende Nachweise führen zu Nachbesserungsanordnungen. Grobe Verstöße zu Bußgeldern bis 10 Mio. EUR oder 2 % des Jahresumsatzes.

Fazit

Der B3S Krankenhaus ist das pragmatische Werkzeug für die IT-Sicherheit im deutschen Gesundheitswesen. Er ist weniger abstrakt als ISO 27001, spezifischer als IT-Grundschutz und passt genau auf Krankenhaus-Realitäten (Medizingeräte, 24/7-Kritikalität, Patientendaten).

Mit NIS2 wird der Anwendungskreis deutlich erweitert: nicht nur Riesenhäuser, sondern auch regionale Kliniken müssen nun B3S-ähnlich arbeiten. Wer jetzt strukturiert startet — idealerweise mit Software-Unterstützung für Nachweisautomatisierung — erspart sich später hektische Audit-Vorbereitung und Bußgeld-Risiken.

Weiterführend:

B3S KrankenhausB3S KrankenhäuserB3S GesundheitKrankenhaus InformationssicherheitKRITIS KrankenhausB3S BSIBranchenspezifischer Sicherheitsstandard

NIS2 Readiness Assessment

Assess your NIS2 compliance readiness

Take the free assessment

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern