Die Kommunikationslücke im IT-Notfall: Was in Ihrem Notfallplan fehlt

Die meisten IT-Notfallpläne in Krankenhäusern beschreiben detailliert, wie Server wiederhergestellt, Backups eingespielt und Systeme neu gestartet werden. Was sie nicht beschreiben: Wie kommuniziert das Personal in der Zwischenzeit? Wer informiert die Notaufnahme? Wie erreicht der Krisenstab alle Stationsleitungen gleichzeitig? Wie meldet die IT-Leitung den Vorfall innerhalb von 24 Stunden ans BSI, wenn die E-Mail ausgefallen ist?

‍

Diese Lücke ist kein Randproblem. Sie ist der Unterschied zwischen einem beherrschbaren Vorfall und einem organisatorischen Zusammenbruch. Und sie betrifft nahezu jedes deutsche Krankenhaus: Laut der BDO/DKI-Studie 2025 hat erst jedes zehnte Krankenhaus eine realitätsnahe Cyber-Notfallübung durchgeführt. Ein vollständig etabliertes Business Continuity Management existiert nur bei 16 % der Häuser.

‍

Was bei einem IT-Totalausfall wirklich ausfällt

Ein Ransomware-Angriff oder technischer Totalausfall trifft selten nur ein System. In der Praxis fallen typischerweise gleichzeitig aus:

• Das Krankenhausinformationssystem (KIS): keine Patientenakten, keine Laborwerte, keine OP-Planung
• Das E-Mail-System: interne und externe Kommunikation unterbrochen
• VoIP-Telefonie: wenn die Telefonanlage IP-basiert ist, bricht auch die Telefonie zusammen
• Intranet und Mitarbeiterportale: keine Dienstpläne, keine Rundschreiben, kein IT-Notfallplan abrufbar
• PACS, Laborinformationssysteme, PDMS: medizinische Entscheidungsunterstützung nicht mehr verfügbar

Der letzte Punkt wird regelmäßig unterschätzt: Die VoIP-Falle. Viele Krankenhäuser haben ihre Telefonie in den letzten Jahren auf IP-basierte Systeme umgestellt. Das spart Kosten und vereinfacht die Administration. Im Ernstfall bedeutet es aber: Wenn das Netzwerk ausfällt, fällt auch das Telefon aus. Der vermeintliche analoge Fallback existiert nicht mehr.

‍

Was bleibt? Private Smartphones der Mitarbeiter. Und damit die Frage, über welchen Kanal diese sicher, DSGVO-konform und strukturiert kommunizieren sollen.

‍

Aktuelle Vorfälle zeigen das Muster

Die Häufung der Angriffe auf deutsche Krankenhäuser in den Jahren 2025 und 2026 ist kein Zufall. Das Gesundheitswesen ist der am stärksten betroffene KRITIS-Sektor. Laut DKI war jedes fünfte deutsche Krankenhaus in den letzten drei Jahren von einem meldepflichtigen Cyber-Vorfall betroffen. Drei Fälle aus jüngster Zeit illustrieren, was das in der Praxis bedeutet:

‍

LUP-Kliniken Mecklenburg-Vorpommern (Februar 2025): Beide Standorte des Klinikums Helene von Bülow wurden vom Kommunikationsnetz getrennt. Die Notaufnahme war zweieinhalb Tage abgemeldet. Der Betrieb wurde auf analoge Arbeitsweise umgestellt, Operationen wurden verschoben.

‍

AMEOS-Kliniken (Juli 2025): Ein Cyberangriff legte die IT-Systeme von über 100 Einrichtungen gleichzeitig lahm. Einer der größten Angriffe auf das deutsche Gesundheitswesen, der zeigt, wie Verbundstrukturen die Angriffsfläche vervielfachen.

‍

Kreisklinik Roth (Januar 2026): Die Klinik trennte nach einem Angriff vorsorglich die Internetverbindung. Keine E-Mail, kein KIS, keine VoIP-Telefonie.

‍

Was diese Fälle verbinden: In keinem von ihnen war ein ausfallsicherer, unabhängiger Kommunikationskanal vorbereitet. Die Teams improvisierten mit Mobiltelefonen, Zetteln und Zuruf.

‍

Was NIS-2 konkret von Ihnen fordert

Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft, ohne Übergangsfrist. Es betrifft nahezu alle Krankenhäuser: Sie gelten mindestens als „wichtige Einrichtungen" im Sinne des Gesetzes. Größere Häuser und KRITIS-Einrichtungen fallen in die Kategorie „besonders wichtige Einrichtungen".

‍

Die Konsequenzen für die Krisenkommunikation sind konkret:

• Meldepflicht in drei Stufen: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden (Erstmeldung), 72 Stunden (Zwischenbericht) und einem Monat (Abschlussbericht) ans BSI gemeldet werden. Wer diese Fristen nicht einhält, riskiert Bußgelder bis zu 7 Mio. € für wichtige Einrichtungen und bis zu 10 Mio. € für besonders wichtige Einrichtungen.
• Persönliche Haftung der Geschäftsleitung: § 38 BSIG macht Klinikvorstände und Geschäftsführer persönlich haftbar, wenn sie ihre Pflichten zur Cybersicherheit verletzen. Abwarten ist damit keine Option mehr.
• Nachweispflicht für Risikomanagement: Betreiber müssen alle drei Jahre nachweisen, dass sie die vorgeschriebenen Maßnahmen umgesetzt haben.

Die praktische Frage, die kaum jemand stellt: Wie melden Sie einen Vorfall innerhalb von 24 Stunden ans BSI, wenn Ihre E-Mail und Ihr Telefon nicht funktionieren? Die Meldepflicht ist kein abstraktes Compliance-Thema. Sie ist ein konkretes Kommunikationsproblem, das eine funktionierende Out-of-Band-Lösung voraussetzt.

‍

Ergänzend gilt § 391 SGB V für alle Krankenhäuser unabhängig von ihrer KRITIS-Einstufung: Die Norm verpflichtet zur Umsetzung angemessener technischer und organisatorischer Maßnahmen nach dem Stand der Technik. Wer weiterhin auf WhatsApp, unverschlüsselte E-Mails oder Fax setzt, verstößt damit nicht nur gegen die DSGVO, sondern auch gegen diese gesetzliche Grundpflicht.

‍

Out-of-Band-Kommunikation: Das Konzept, das in Ihrem BCM fehlt

Out-of-Band-Kommunikation bezeichnet einen Kommunikationskanal, der bewusst unabhängig von der primären IT-Infrastruktur betrieben wird. Er läuft nicht über das interne Kliniknetzwerk, sondern über einen externen Pfad, typischerweise über Cloud-Hosting und das Mobilfunknetz. Wenn das interne Netzwerk kompromittiert oder getrennt wird, bleibt dieser Kanal funktionsfähig.

‍

Das ist kein theoretisches Konzept. Es ist die einzige realistische Antwort auf die Frage, wie eine Klinik in den ersten Stunden nach einem Cyberangriff handlungsfähig bleibt.

‍

Die folgende Tabelle zeigt, wie verschiedene Kommunikationskanäle im Krisenfall abschneiden:

‍

‍

Ein gematik-zertifizierter TI-Messenger ist die einzige Lösung in dieser Übersicht, die alle fünf Anforderungen gleichzeitig erfüllt. Er läuft unabhängig von der internen Klinikinfrastruktur, funktioniert auf privaten Endgeräten ohne Adressbuchzugriff und verbindet über den gematik-Verzeichnisdienst alle Leistungserbringer im Gesundheitswesen. Das bedeutet: Auch Rettungsdienste, Zuweiser, Pflegeeinrichtungen und Apotheken bleiben im Krisenfall erreichbar.

‍

5 Schritte zur resilienten Krisenkommunikation

Schritt 1: Bestandsaufnahme der Kommunikationsinfrastruktur

Analysieren Sie, welche Ihrer Kommunikationskanäle bei einem Netzwerkausfall tatsächlich noch funktionieren. Fragen Sie Ihre IT-Leitung konkret: Ist unsere Telefonie VoIP-basiert? Läuft unser Fax über IP? Wo liegt unser IT-Notfallplan, und ist er offline verfügbar? Die Antworten sind häufig ernüchternd.

‍

Schritt 2: Out-of-Band-Kanal definieren und einrichten

Wählen Sie einen Kommunikationskanal, der explizit außerhalb Ihrer internen IT-Infrastruktur betrieben wird. Entscheidend sind: Cloud-Hosting in einem deutschen Rechenzentrum, Funktionsfähigkeit über das Mobilfunknetz, DSGVO-Konformität und die Möglichkeit zur strukturierten Gruppenkommunikation. Ein TI-Messenger erfüllt diese Anforderungen und bringt den zusätzlichen Vorteil der gematik-Zertifizierung mit sich, die bei NIS-2-Audits als Nachweis anerkannter Sicherheitsstandards relevant ist.

‍

Schritt 3: Krisenstab-Kommunikation vorab einrichten

Richten Sie im Normalbetrieb dedizierte Gruppenräume für den Krisenfall ein: einen für den Krisenstab (Geschäftsführung, IT-Leitung, Datenschutz, ärztliche Direktion, Pflegedienstleitung), einen für die IT-Notfallgruppe und einen für alle Stationsleitungen. Diese Räume müssen im Ernstfall sofort einsatzbereit sein, nicht erst eingerichtet werden. An der MHH wurden beispielsweise solche Strukturen im Rahmen des Famedly-Rollouts von Beginn an mit aufgebaut, was die Reaktionsfähigkeit im Alltag wie im Ausnahmefall erheblich verbessert.

‍

Schritt 4: BYOD-Strategie für den Notfall vorbereiten

Wenn Klinik-PCs und -Telefone ausfallen, sind private Smartphones der Mitarbeiter der einzige verbleibende Kommunikationskanal. Das ist keine Schwäche, wenn es vorbereitet ist. Ein TI-Messenger wie Famedly funktioniert auf privaten Endgeräten ohne Adressbuchzugriff, trennt berufliche und private Kommunikation sauber und erfüllt damit die DSGVO-Anforderungen auch im BYOD-Betrieb. Klären Sie vorab: Welche Mitarbeiter haben ein Smartphone? Ist der Messenger bereits installiert? Sind die Zugangsdaten bekannt?

‍

Schritt 5: Kommunikations-Notfallübung durchführen

Laut BDO/DKI-Studie hat erst jedes zehnte Krankenhaus eine realitätsnahe Cyber-Notfallübung durchgeführt. Eine Kommunikations-Notfallübung muss keine ganztägige Großübung sein. Eine zweistündige Tischübung mit dem Krisenstab, in der simuliert wird, dass E-Mail und Telefon ausgefallen sind, deckt die wesentlichen Lücken auf: Wer hat den Messenger installiert? Wer kennt die Gruppenräume? Wer informiert welche externe Stelle über welchen Kanal?

‍

Was die 24-Stunden-Meldepflicht in der Praxis bedeutet

Die NIS-2-Meldepflicht ist nicht nur ein bürokratisches Erfordernis. Sie ist ein Kommunikationsproblem mit harten Fristen:

• Innerhalb von 24 Stunden: Erstmeldung an das BSI mit Beschreibung des Vorfalls, der betroffenen Systeme und der ersten Einschätzung der Auswirkungen
• Innerhalb von 72 Stunden: Detaillierter Zwischenbericht mit Analyse und ergriffenen Gegenmaßnahmen
• Innerhalb von 30 Tagen: Abschlussbericht
• Parallel: DSGVO-Meldung an die zuständige Datenschutzbehörde innerhalb von 72 Stunden, wenn personenbezogene Daten betroffen sind

Die BSI-Meldung erfolgt über das Meldeportal des BSI. Das setzt voraus, dass mindestens eine Person im Krisenstab Zugang zu diesem Portal hat und über einen funktionierenden Internetzugang verfügt, der nicht über das kompromittierte Klinik-Netzwerk läuft. Auch hier ist die Out-of-Band-Lösung keine Kür, sondern Voraussetzung für die Erfüllung gesetzlicher Pflichten.

‍

Checkliste: Ist Ihre Klinikkommunikation krisenfest?

• Ist bekannt, ob die Telefonie VoIP-basiert ist und bei einem Netzwerkausfall ausfällt?
• Gibt es einen Kommunikationskanal, der unabhängig von der internen IT-Infrastruktur funktioniert?
• Ist der IT-Notfallplan offline verfügbar (ausgedruckt oder auf einem nicht vernetzten Gerät)?
• Sind Krisenstab-Gruppenräume im Messenger bereits im Normalbetrieb eingerichtet?
• Ist der Out-of-Band-Messenger auf den Smartphones aller Krisenstabmitglieder installiert und eingerichtet?
• Ist bekannt, wie die BSI-Meldung innerhalb von 24 Stunden erfolgt, wenn E-Mail und Telefon ausgefallen sind?
• Gibt es eine BYOD-Regelung für den Notfall, die DSGVO-konform ist?
• Wurden Rettungsdienste, Zuweiser und nachversorgende Einrichtungen in die Notfallkommunikation eingebunden?
• Hat die Einrichtung eine Kommunikations-Notfallübung durchgeführt?
• Ist die Registrierung beim BSI gemäß NIS-2 abgeschlossen?

Wenn Sie mehr als drei dieser Fragen nicht mit „Ja" beantworten können, hat Ihr Notfallplan eine Kommunikationslücke. In einem kostenfreien TI-Check analysieren wir gemeinsam, wo die größten Risiken liegen und wie resiliente Kommunikation in Ihrer Einrichtung konkret aussehen kann.

‍

Sektorenübergreifende Kommunikation im Krisenfall

Ein Aspekt, der in den meisten Notfallplänen fehlt: Was passiert mit der Kommunikation nach außen? Wenn ein Krankenhaus sein Netzwerk trennt, müssen gleichzeitig informiert werden:

• Rettungsdienste und Leitstellen (Aufnahmestopp, Umleitung von Notfallpatienten)
• Zuweiser und niedergelassene Ärzte (keine Einweisungen, keine Rückmeldungen zu laufenden Fällen)
• Nachversorgende Pflegeeinrichtungen (Entlassungen verzögert oder gestoppt)
• Apotheken (keine Rezeptübermittlung, kein Medikamentennachschub)

Ein TI-Messenger läuft über die Telematikinfrastruktur, nicht über das interne Kliniknetzwerk. Das bedeutet: Er bleibt auch dann erreichbar, wenn das Krankenhaus sein eigenes Netz vollständig getrennt hat. Und weil alle Leistungserbringer im Gesundheitswesen über den gematik-Verzeichnisdienst auffindbar sind, entfällt die Suche nach Telefonnummern und Kontaktdaten im Chaos des Krisenmoments.

‍

Einrichtungen wie das Universitätsklinikum Hamburg-Eppendorf (UKE) und die Charité Berlin setzen Famedly bereits ein und haben damit eine Kommunikationsstruktur etabliert, die intern wie sektorenübergreifend funktioniert. Die Erfahrungen aus diesen Häusern zeigen, dass die Einführung eines TI-Messengers nicht nur den Normalbetrieb verbessert, sondern auch die Krisenresilienz strukturell stärkt.

‍

Häufig gestellte Fragen

Funktioniert ein TI-Messenger auch, wenn das Klinik-WLAN ausgefallen ist?

Ja. Ein cloud-gehosteter TI-Messenger läuft über das Mobilfunknetz und ist nicht auf das interne Klinik-WLAN oder -LAN angewiesen. Mitarbeiter können über ihre privaten Smartphones oder über jedes andere Gerät mit Mobilfunkverbindung kommunizieren. Das ist der zentrale Vorteil gegenüber internen Kommunikationslösungen, die auf der Klinikinfrastruktur aufsetzen.

‍

Dürfen Mitarbeiter im Notfall WhatsApp nutzen, wenn keine andere Lösung verfügbar ist?

Rechtlich ist das keine sichere Option. WhatsApp greift auf das Adressbuch des Geräts zu, überträgt Metadaten auf Server außerhalb der EU und erfüllt weder die DSGVO-Anforderungen noch die NIS-2-Vorgaben für sichere Kommunikation. Im Ernstfall kann die Nutzung als Verstoß gegen § 391 SGB V und DSGVO Art. 32 gewertet werden. Die richtige Antwort ist nicht ein Notfallausnahme-Regelung für WhatsApp, sondern eine vorbereitete DSGVO-konforme Alternative.

‍

Wie schnell kann ein TI-Messenger in einer Klinik eingeführt werden?

Die technische Einrichtung ist in der Regel innerhalb weniger Tage abgeschlossen. An der MHH war die Cloud-Anbindung inklusive Entra-ID-Integration in 30 Minuten eingerichtet, sobald alle Voraussetzungen geschaffen waren. Der eigentliche Zeitaufwand liegt in der organisatorischen Vorbereitung: Abstimmung mit Datenschutz, Betriebsrat und IT sowie die Klärung der BYOD-Regelung. Empfehlenswert ist ein Pilotstart mit dem Krisenstab und einer Pilotstation, bevor der Rollout auf die gesamte Einrichtung ausgedehnt wird.

‍

Was passiert, wenn auch das Mobilfunknetz ausfällt?

Ein vollständiger Mobilfunkausfall ist ein Extremszenario, das in der Praxis sehr selten eintritt und meist nur lokal begrenzt ist. Für diesen Fall empfiehlt das BSI ergänzend analoge Fallback-Lösungen wie Satellitentelefone oder Funkgeräte. Diese ersetzen jedoch keine strukturierte digitale Kommunikationslösung für den weitaus häufigeren Fall eines IT-Ausfalls bei funktionierendem Mobilfunknetz.

‍

Erfüllt ein TI-Messenger die NIS-2-Anforderungen an Krisenkommunikation?

Ein gematik-zertifizierter TI-Messenger erfüllt die technischen Anforderungen, die NIS-2 an sichere Kommunikation stellt: Ende-zu-Ende-Verschlüsselung, Hosting in Deutschland, nachweisbare Zugangskontrolle und Protokollierung. Er allein reicht jedoch nicht aus, um NIS-2-Konformität herzustellen. Ergänzend sind ein ISMS, dokumentierte Risikomanagementmaßnahmen und die BSI-Registrierung erforderlich. Der TI-Messenger ist ein zentraler Baustein im BCM, kein Ersatz dafür.

‍

Können auch Pflegeeinrichtungen den TI-Messenger für die Notfallkommunikation nutzen?

Ja. Seit dem 1. Juli 2025 besteht für Pflegeeinrichtungen eine TI-Anschlusspflicht. Ein TI-Messenger ist damit nicht nur für den Normalbetrieb relevant, sondern auch für die Krisenkommunikation. Gerade in ambulanten Pflegediensten, wo Mitarbeiter dezentral unterwegs sind und oft keine stationäre IT-Infrastruktur nutzen, ist ein mobil nutzbarer, DSGVO-konformer Messenger die naheliegendste Out-of-Band-Lösung. Beim Seniorendienst Rötzel wurde nach der Einführung von Famedly eine ca. 90%ige Dokumentationsquote der Kommunikation erreicht, was auch im Krisenfall eine deutlich bessere Nachvollziehbarkeit von Entscheidungen und Absprachen ermöglicht.

‍