ISO 27001

ISO/IEC 27001 ist die internationale Norm für Informationssicherheitsmanagementsysteme (ISMS). In der deutschen Gesundheits-IT ist sie Pflichtvoraussetzung für TI-Anbieter und Krankenhäuser, die KHZG-Mittel erhalten haben.

Erklärt für Einsteiger

ISO 27001 ist wie ein Qualitätszertifikat für IT-Sicherheit. Stell dir vor, du willst wissen, ob ein Rechenzentrum wirklich sicher ist. Eine unabhängige Prüferin kommt, schaut sich alles genau an und bestätigt: “Dieses Unternehmen hat ein funktionierendes System, um seine Informationen zu schützen.” Das Zertifikat gilt dann für drei Jahre, mit jährlichen Überwachungsaudits. Für viele Organisationen im Gesundheitswesen ist dieses Zertifikat heute Pflicht.

Überblick

ISO/IEC 27001 wird von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) gemeinsam veröffentlicht. Die aktuelle Version ist ISO/IEC 27001:2022 (veröffentlicht Oktober 2022). Organisationen mit älteren Zertifikaten nach der Version 2013 mussten ihre Zertifikate bis zum 31. Oktober 2025 auf die Version 2022 umstellen.

Die Norm definiert Anforderungen an den Aufbau, die Implementierung, den Betrieb, die Überwachung und die kontinuierliche Verbesserung eines ISMS. Sie legt nicht fest, welche konkreten technischen Maßnahmen umgesetzt werden müssen, sondern verlangt einen risikobasierten Ansatz: Organisationen identifizieren ihre Informationswerte, bewerten die Risiken und implementieren angemessene Kontrollen.

Relevanz in der deutschen Gesundheits-IT

ISO 27001 ist in mehreren gesetzlichen Kontexten der deutschen Gesundheits-IT verankert:

• KHZG: Krankenhäuser, die Fördermittel aus dem Krankenhauszukunftsfonds erhielten, sind ab dem 1. Januar 2025 verpflichtet, ein ISMS nach ISO 27001 oder BSI-IT-Grundschutz zu betreiben.
• KRITIS: Betreiber kritischer Infrastrukturen im Gesundheitswesen (Krankenhäuser ab 30.000 vollstationären Behandlungsfällen/Jahr) müssen ein ISMS nach anerkanntem Standard betreiben. ISO 27001 gilt als anerkannter Nachweis.
• KRITIS-Dachgesetz: Seit dem KRITIS-Dachgesetz (Bundestag: 29. Januar 2026, Bundesrat: 6. März 2026) sind Gesundheitseinrichtungen als kritische Infrastrukturen explizit erfasst. Registrierungspflicht ab 17. Juli 2026. ISO 27001 ist ein anerkanntes Mittel zum Nachweis der geforderten Resilienz.
• TI-Anbieter: Die gematik verlangt für zugelassene TI-Produkte und Dienste regelmäßig Nachweise über Informationssicherheit, die ISO 27001 oder äquivalente Standards erfüllen.
• BSI-C5: Das BSI Cloud Computing Compliance Criteria Catalogue (C5) baut auf ISO 27001 auf. Ein C5-Testat setzt in der Regel eine bestehende ISO-27001-Zertifizierung voraus.

Frist-Warnung: KRITIS-Dachgesetz Registrierungspflicht ab 17. Juli 2026

Rechtsgrundlage: KRITIS-Dachgesetz (KRITISDachG, BGBl. I 2026), §§ 33-35 i.V.m. § 8b BSI-Gesetz (BSIG); Sektor Gesundheit gemäß Anlage KRITISDachG; Schwellenwert: Einrichtungen, die 500.000 oder mehr Personen versorgen

Fristen:

• 17. Juli 2026: Registrierungspflicht beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) für alle Betreiber kritischer Anlagen im Gesundheitssektor. Betroffene Einrichtungen müssen zunächst ihre Betroffenheit anhand der Schwellenwerte prüfen.
• Innerhalb von 9 Monaten nach Registrierung (ca. April 2027): Risikoanalyse für technische, personelle und organisatorische Bedrohungen muss abgeschlossen sein.
• Innerhalb von 10 Monaten nach Registrierung (ca. Mai 2027): Resilienzplan mit angemessenen und verhältnismäßigen Maßnahmen muss vorliegen und gegenüber der zuständigen Behörde nachgewiesen werden können.

Handlungsbedarf: Betroffene Gesundheitseinrichtungen (insbesondere Krankenhäuser, Labore, Pharmaunternehmen) prüfen unverzüglich ihre Betroffenheit nach den Schwellenwerten des KRITISDachG. ISO 27001 deckt den informationssicherheitsbezogenen Teil des Resilienzplans ab; zusätzlich sind physische Sicherheitsmaßnahmen nach den Vorgaben des KRITISDachG erforderlich, die über den ISO-27001-Scope hinausgehen.

Bei Nichtbeachtung: Verstöße gegen die Registrierungspflicht und die Resilienzanforderungen des KRITISDachG können ab 2027 mit Bußgeldern geahndet werden.

Klinik-Integration: ISMS-Scope im Krankenhaus richtig definieren

Pflicht seit 1. Januar 2025: KHZG-Empfänger müssen ein ISMS nach ISO 27001 oder BSI-IT-Grundschutz betreiben. Der kritische erste Schritt ist die Scope-Definition: Was gehört in den ISMS-Geltungsbereich?

Typischer Krankenhaus-Scope: KIS (Dedalus/Orbis, Nexus, iMedOne, SAP IS-H-Nachfolger), RIS/PACS, TI-Infrastruktur (Konnektoren, Kartenterminals), Rechenzentrum, Netzwerkinfrastruktur, klinische Arbeitsplatzsysteme. Externe Dienstleister (Hosting, Cloud-KIS) müssen über Lieferantenvereinbarungen (ISO 27001 Anhang A 5.19-5.22) eingebunden werden.

B3S-KH als Ergänzung: Die Deutsche Krankenhausgesellschaft (DKG) hat den Branchenspezifischen Sicherheitsstandard für Krankenhäuser (B3S-KH) veröffentlicht, der auf ISO 27001 und ISO 27799 aufbaut. KRITIS-Krankenhäuser (ab 30.000 vollstationäre Fälle/Jahr) nutzen B3S-KH als anerkannten Nachweis gegenüber dem BSI. Die Kombination ISO 27001 + B3S-KH deckt sowohl den KHZG- als auch den KRITIS-Nachweis ab.

Ressourcenabschätzung: Krankenhäuser berichten von 12 bis 24 Monaten bis zur erstmaligen Zertifizierung, abhängig vom Reifegrad der bestehenden IT-Sicherheitsmaßnahmen.

Praxis-Tipp: Was ISO 27001 für Ihre Praxis bedeutet

Eine eigene ISO-27001-Zertifizierung ist für die meisten Arztpraxen nicht Pflicht und auch nicht verhältnismäßig. Relevant für Sie ist stattdessen die KBV-IT-Sicherheitsrichtlinie, die seit 1. April 2025 in überarbeiteter Fassung gilt und bis 1. Oktober 2025 umgesetzt sein muss.

ISO 27001 spielt für Ihre Praxis an zwei Stellen eine Rolle:

1. Dienstleister prüfen: Ihr PVS-Hersteller, Ihr Cloud-Anbieter oder Ihr IT-Dienstleister sollte ISO 27001 zertifiziert sein. Fragen Sie aktiv nach dem Zertifikat. Ein ISO-27001-Zertifikat gibt Ihnen Sicherheit, dass Ihre Patientendaten beim Dienstleister sicher verwaltet werden.
2. Ausschreibungen und MVZ: Wenn Sie ein MVZ betreiben oder planen, können Auftraggeber oder Kooperationspartner eine ISO-27001-Zertifizierung verlangen.

Typischer Fehler: IT-Dienstleister beauftragen, ohne nach Sicherheitszertifikaten zu fragen. Fragen Sie schriftlich nach und lassen Sie sich das Zertifikat vorlegen.

ISO 27001 als gesetzliche Pflicht

Krankenhäuser, die KHZG-Mittel erhalten haben, müssen seit 1. Januar 2025 ein ISMS nach ISO 27001 oder BSI-IT-Grundschutz betreiben. Dies ist keine Empfehlung, sondern rechtliche Voraussetzung. TI-Anbieter, ePA-Aktensystembetreiber und DiGA-Hersteller mit Infrastrukturverantwortung sollten ISO 27001 als Basis-Compliance-Rahmen einplanen. Zertifikate nach ISO/IEC 27001:2013 verlieren seit 31. Oktober 2025 ihre Gültigkeit. Alle Zertifikate müssen auf ISO/IEC 27001:2022 umgestellt sein.

Technische Details

Aufbau der Norm

ISO 27001 ist nach dem Annex-SL-Format aufgebaut (gemeinsame Struktur für alle ISO-Managementsystemstandards). Die Norm gliedert sich in:

• Kapitel 4: Kontext der Organisation (interne und externe Anforderungen, Stakeholder)
• Kapitel 5: Führung (Verpflichtung des Managements, Sicherheitsverantwortliche)
• Kapitel 6: Planung (Risikobeurteilung, Risikobehandlung, Sicherheitsziele)
• Kapitel 7: Unterstützung (Ressourcen, Kompetenzen, Dokumentation)
• Kapitel 8: Betrieb (Implementierung der Risikobehandlung, Sicherheitsmaßnahmen)
• Kapitel 9: Bewertung der Leistung (interne Audits, Managementbewertung)
• Kapitel 10: Verbesserung (Nichtkonformitäten, Korrektivmaßnahmen)
• Anhang A: 93 Sicherheitskontrollen in 4 Kategorien (organisational, personenbezogen, physisch, technologisch)

ISO 27001:2022 vs. 2013

Die Version 2022 führte wesentliche Änderungen ein:

• Neue Struktur: 14 Kategorien wurden zu 4 Themen zusammengefasst.
• 11 neue Kontrollen in Anhang A, u.a. Threat Intelligence, physische Sicherheitsüberwachung, Data Masking, Web-Filtering, Secure Coding.
• Stärkerer Fokus auf digitale Risiken: Cloud-Sicherheit, Identitätsmanagement und Lieferkettenmanagement.

Zertifizierungsverfahren

Die ISO-27001-Zertifizierung erfolgt durch akkreditierte Zertifizierungsstellen (in Deutschland durch DAkkS-akkreditierte Prüfer). Der Prozess:

1. Gap-Analyse: Vergleich des bestehenden ISMS mit den Norm-Anforderungen.
2. Stage-1-Audit (Dokumentenprüfung): Die Zertifizierungsstelle prüft die ISMS-Dokumentation.
3. Stage-2-Audit (Vor-Ort-Audit): Nachweis der tatsächlichen Implementierung.
4. Zertifikat: Gilt 3 Jahre, mit jährlichen Überwachungsaudits.
5. Re-Zertifizierung: Nach 3 Jahren vollständiges Re-Audit.

Frist-Warnung: KHZG-ISMS-Pflicht und jährliche Überwachungsaudits

Rechtsgrundlage: § 75c SGB V (IT-Sicherheit in Krankenhäusern) i.V.m. Krankenhausstrukturfonds-Verordnung (KHSFV); Krankenhauszukunftsgesetz (KHZG, BGBl. I 2020 S. 2208)

Pflicht seit 1. Januar 2025: Krankenhäuser, die Fördermittel aus dem Krankenhauszukunftsfonds erhalten haben, müssen ein ISMS nach ISO 27001 oder BSI-IT-Grundschutz nachweislich betreiben. Die Pflicht gilt laufend, nicht nur bei der erstmaligen Zertifizierung.

Laufende Pflichten aus dem Zertifizierungsverfahren:

• Jährlich: Überwachungsaudit durch die akkreditierte Zertifizierungsstelle. Das Audit muss geplant und terminiert sein. Einrichtungen ohne gültiges Zertifikat oder ohne terminiertes Überwachungsaudit verstoßen gegen die KHZG-Auflage.
• Alle 3 Jahre: Re-Zertifizierungsaudit. Krankenhäuser, deren Erstzertifizierung auf ISO 27001:2013 basierte und die bis 31. Oktober 2025 nicht auf ISO 27001:2022 umgestellt haben, verfügen über kein gültiges Zertifikat mehr.

Handlungsbedarf: Die verantwortliche Stelle (Krankenhausleitung, IT-Sicherheitsbeauftragter) stellt sicher, dass das ISMS aktiv betrieben wird (interne Audits, Management-Review, Risikobewertung) und das Überwachungsaudit fristgerecht durchgeführt wird. Zertifizierungsstellen sind frühzeitig zu beauftragen, da Kapazitätsengpässe zu Terminverzögerungen führen können.

Bei Nichtbeachtung: Ein fehlendes oder abgelaufenes ISO-27001-Zertifikat kann zu einem Widerruf von KHZG-Fördermitteln führen. KRITIS-Krankenhäuser riskieren zusätzlich Beanstandungen durch das BSI nach § 8a BSIG.

Variante: ISO 27001 auf Basis IT-Grundschutz

Das BSI bietet eine spezifische Zertifizierungsvariante an: ISO 27001-Zertifizierung auf Basis von IT-Grundschutz. Dabei wird die Konformität mit ISO 27001 durch die Umsetzung des BSI-IT-Grundschutz-Kompendiums nachgewiesen. Die Zertifizierung wird durch BSI-zertifizierte IT-Grundschutz-Auditoren durchgeführt und durch das BSI ausgestellt. Für Bundesbehörden und öffentliche Einrichtungen ist diese Variante häufig vorzugswürdig, da sie direkt auf deutschen Regulierungsanforderungen aufbaut.

Technischer Einstieg: ISMS aufbauen

Kernschritte für eine ISO-27001-Implementierung: (1) Scope des ISMS festlegen (welche Prozesse, Systeme, Standorte), (2) Informationswerte inventarisieren und Risikobewertung durchführen, (3) Sicherheitskontrollen aus Anhang A auswählen und im Statement of Applicability (SoA) dokumentieren, (4) Maßnahmenpläne implementieren und dokumentieren, (5) internes Audit-Programm und Management-Review einrichten. Im TI-Kontext relevante Normen aus der ISO-27000-Familie: ISO 27002 (Umsetzungshinweise zu Anhang A), ISO 27017 (Cloud-Sicherheit), ISO 27018 (Datenschutz in der Cloud). BSI-IT-Grundschutz-Kompendium ist unter bsi.bund.de kostenlos verfügbar.

Dev Quickstart: ISMS-Toolchain für TI-Anbieter

Zwei praxiserprobte Open-Source-Optionen für ISO-27001-konforme ISMS-Implementierung in TI-/Gesundheits-IT-Projekten:

Option A: CISO Assistant (Django/REST, selbst gehostet)

• Repo: github.com/intuitem/ciso-assistant-community
• Unterstützt ISO 27001:2022, NIS2, BSI IT-Grundschutz, DORA und 100+ weitere Frameworks mit automatischem Control-Mapping

# Quickstart via Docker
git clone https://github.com/intuitem/ciso-assistant-community
cd ciso-assistant-community
docker compose up -d
# Web-UI: http://localhost:8080
# REST API Swagger (Dev-Modus):
# DJANGO_DEBUG=True -> <backend>/api/schema/swagger/

API-Authentifizierung:

curl -X POST http://localhost:8000/api/iam/login/ \
  -H "Content-Type: application/json" \
  -d '{"username": "admin@example.com", "password": "changeme"}' \
  # Response: {"token": "<TOKEN>"}
 
# Alle Kontrollen eines ISO-27001-Projekts abrufen:
curl -H "Authorization: Token <TOKEN>" \
  http://localhost:8000/api/compliance/applied-controls/

Option B: Lynis (Shell, agentless Host-Audit)

• Repo: github.com/CISOfy/lynis
• Prüft Linux-/Unix-Systeme gegen ISO-27001-relevante Kontrollen (Anhang A 8.x: Zugriffssteuerung, Logging, Kryptographie)

git clone https://github.com/CISOfy/lynis
cd lynis && ./lynis audit system --no-colors --quiet \
  --log-file /tmp/lynis.log --report-file /tmp/lynis-report.dat
# Kontrollergebnis filtern:
grep "^suggestion\|^warning" /tmp/lynis-report.dat

Lynis-Ergebnisse lassen sich direkt den Anhang-A-Kontrollen 8.2 (privilegierte Zugangsrechte), 8.15 (Logging) und 8.24 (Kryptographieeinsatz) zuordnen.

Verhältnis zu anderen Standards

Verknüpfungen

• ISMS (Informationssicherheitsmanagementsystem: das durch ISO 27001 geregelte System)
• BSI (führt ISO-27001-Zertifizierungen auf IT-Grundschutz-Basis durch)
• BSI-C5 (Cloud-Erweiterung, baut auf ISO 27001 auf)
• KRITIS (Betreiber kritischer Infrastrukturen benötigen ISO-27001-konformes ISMS)
• KRITIS-Dachgesetz (erweitert KRITIS-Pflichten auf Gesundheitseinrichtungen)
• KHZG (KHZG-Empfänger müssen ISO 27001 oder IT-Grundschutz betreiben)
• KHSFV (Nachfolgeprogramm des KHZG mit IT-Sicherheitsanforderungen)
• gematik (verlangt Informationssicherheitsnachweise von TI-Anbietern)
• DiGA (DiGA-Hersteller benötigen Datensicherheitsnachweise nach Stand der Technik)
• ePA (Aktensystembetreiber unterliegen Sicherheitsanforderungen gemäß §§ 307 ff. SGB V)
• Konnektoren (TI-Konnektor-Hersteller müssen Informationssicherheitsstandards erfüllen)

Quellen

• BSI: ISO 27001-Zertifizierung auf Basis von IT-Grundschutz
• ISO: ISO/IEC 27001:2022 Norm
• Wikipedia: ISO/IEC 27001
• OpenKRITIS: ISO 27001 für kritische Infrastrukturen