Es beginnt oft unspektakulär: Systeme reagieren langsamer, Zugriffe funktionieren nicht wie gewohnt, Informationen erreichen die falsche Stelle oder kommen verspätet an. Anfang 2026 wurde dieses Szenario Realität für die Kreisklinik Roth, als ein Hackerangriff das IT‑Netzwerk beeinträchtigte. Der Vorfall zeigte eindrücklich, wie schnell der Klinikbetrieb unter Druck gerät, wenn zentrale Systeme nicht zuverlässig verfügbar sind.
Wer den Klinikbetrieb aus der Nähe kennt, weiß, wie fragil viele Abläufe geworden sind. Digitale Systeme halten medizinische, organisatorische und administrative Prozesse zusammen und genau das macht sie angreifbar. Cyberangriffe auf Krankenhäuser sind deshalb keine Ausnahme mehr, sondern Ausdruck einer strukturellen Abhängigkeit von funktionierender IT.
IT-Ausfälle, Ransomware oder Datenlecks bleiben nicht auf Serverräume beschränkt. Sie wirken unmittelbar in die Versorgung, in Entscheidungsprozesse und in die Kommunikation hinein. Behandlungsabläufe geraten ins Stocken, Informationen fehlen oder sind nicht vertrauenswürdig.
Gleichzeitig lohnt ein kurzer Perspektivwechsel. Das geschilderte Beispiel ist nur ein Szenario unter vielen. Kliniken sehen sich einer Vielzahl von Risiken gegenüber, die parallel wirken und sich gegenseitig verstärken können.
Parallel dazu steigen die regulatorischen Anforderungen an Resilienz und Informationssicherheit. Das Gesundheitswesen steht damit unter doppeltem Druck: Die medizinische Versorgung muss jederzeit gewährleistet sein, während gleichzeitig belastbare und nachvollziehbare Nachweise gegenüber Aufsicht und Prüfern erforderlich sind.
Viele Einrichtungen reagieren mit einzelnen Maßnahmen, etwa zusätzlichen Notfallplänen, technischen Schutzmechanismen oder Schulungen für Mitarbeitende. Was dabei jedoch häufig fehlt, ist ein verbindender Rahmen, der diese Aktivitäten zusammenführt und steuerbar macht.
Warum klassische Notfallplanung nicht mehr ausreicht
Alarm‑ und Einsatzpläne sind seit Jahren fester Bestandteil von Kliniken. Diese greifen jedoch zu kurz und berücksichtigen nicht, was die zeitkritischsten Prozesse sind und die dafür erforderlichen Ressourcen.
Hier setzt Business Continuity Management (BCM) an. BCM betrachtet nicht nur das einzelne Ereignis, sondern die Fortführung der Klinikprozesse unter erschwerten Rahmenbedingungen. Die Perspektive verschiebt sich: weg vom reinen Reagieren, hin zu vorbereitetem Entscheiden.
| Alarm- und Einsatzplanung | Business Continuity Management |
|---|---|
| Reaktiv | Vorausschauend |
| Ereignisbezogen | Prozessorientiert |
| Kurzfristig | Dauerhaft steuernd |
BCM beginnt bei den Prozessen
Ein wirksames BCM startet nicht mit Einzelmaßnahmen, sondern mit einer strukturierten Analyse. Im Mittelpunkt steht eine prozessuale, risikobasierte Herangehensweise, bei der die im Not- und Krisenfall erforderlichen Prozesse identifiziert und bewertet werden. Dazu zählen unter anderem:
- IT‑Ausfälle und Cybervorfälle
- Abhängigkeiten von externen Dienstleistern
- Personelle Engpässe
- Organisatorische und infrastrukturelle Schwachstellen
Auf dieser Basis werden die kritischen Kern‑ und Unterstützungsprozesse bestimmt. Erst wenn klar ist, welche Abläufe für die medizinische Versorgung unverzichtbar sind, lassen sich realistische Wiederanlaufzeiten definieren und geeignete Vorsorgemaßnahmen ableiten. Werden diese Zusammenhänge transparent gemacht, können Prozesse gezielt priorisiert und Abhängigkeiten nachvollziehbar gesteuert werden. BCM wird damit planbar und steuerbar.
Kernprozesse und Verantwortlichkeiten klar definieren
In der Praxis zeigt sich oftmals ein ähnliches Bild:
- Prozesse sind dokumentiert, ihre Kritikalität jedoch nicht eindeutig bewertet.
- IT‑Systeme sind bekannt, ihre Abhängigkeiten aber nicht vollständig beschrieben.
- Rollen existieren, doch Verantwortlichkeiten greifen im Ernstfall nicht sauber ineinander.
Business Continuity Management setzt hier konsequent an. Es zwingt dazu, die zuvor identifizierten Risiken mit konkreten Prozessen, IT‑Komponenten und Verantwortlichkeiten zu verknüpfen. Welche Abläufe müssen zwingend aufrechterhalten werden? Welche Systeme sind dafür unverzichtbar? Und welche Zeitfenster dürfen nicht überschritten werden, ohne die Versorgung zu gefährden?
Diese Fragen lassen sich nicht abstrakt beantworten. Sie erfordern eine bewusste Auseinandersetzung mit dem eigenen Betrieb und eine Abstimmung zwischen Fachbereichen, IT und Management. Hier entsteht häufig ein Moment des Innehaltens: Denn vieles, was im Normalbetrieb funktioniert, erweist sich unter Stress als fragil.
BCM und ISMS wirksam verzahnen
Je nach Größe, Trägerschaft und regulatorischer Einordnung steigen die Anforderungen durch Vorgaben wie NIS-2 oder KRITIS deutlich. Informationssicherheitsmanagementsysteme (ISMS) nach ISO 27001 oder branchenspezifischen Standards enthalten bereits zentrale Anforderungen an das BCM. Entscheidend ist jedoch deren Integration.
BCM entfaltet seine Wirkung erst dann vollständig, wenn es mit bestehenden Managementsystemen verzahnt ist. Einheitliche Risikomatrizen, abgestimmte Prozesse und ein gemeinsames Verständnis von Prioritäten sind dafür Voraussetzung. Das Ergebnis ist ein konsistentes, geplantes Vorgehen bei Störungen jeder Größenordnung.
Der Nutzen ist unmittelbar spürbar: Wiederanläufe erfolgen strukturierter, Auswirkungen auf Prozesse lassen sich begrenzen und die Ausfallsicherheit steigt.
Business Continuity Management als Führungsinstrument
BCM ist kein Projekt mit Enddatum, sondern ein kontinuierlicher Regelkreislauf. Analysen, Tests, Übungen und Weiterentwicklungen gehören dauerhaft dazu.
Für Vorstände schafft BCM vor allem Transparenz und Entscheidungsfähigkeit. Für Risikomanagerinnen und ‑manager wird es zum verbindenden Element zwischen Strategie, Organisation und IT. Für die Klinik insgesamt entsteht Resilienz.
Oder anders gesagt: Betriebsfähigkeit ist kein Zufall. Sie ist das Ergebnis bewusster Vorbereitung.
Als langjährige Expertinnen und Experten im Business Continuity Management begleiten wir Einrichtungen des Gesundheitswesens dabei, ihr BCM risikobasiert und praxisnah aufzubauen. Entscheidend ist dabei die systematische Analyse kritischer Prozesse, (IT‑)Abhängigkeiten und organisatorischer Verantwortlichkeiten sowie die enge Verzahnung mit bestehenden Governance‑ und Informationssicherheitsstrukturen. So wird BCM zu einem tragfähigen Bestandteil der klinischen Steuerung und das im Alltag wie im Krisenfall.
Ihre Ansprechpartnerin
Fanny Kohls
Managerin
Risiken und Compliance
fanny.kohls@wg-data.de
Ihre Ansprechpartner
Jörn Stenvers
Partner
Risiken und Compliance
joern.stenvers@wg-data.de
