Cybersecurity

GRI 418

Die fortschreitende Digitalisierung bietet große Chancen für die Gesundheitsversorgung – mit innovativen, technologischen Therapieansätzen oder IT-Anwendungen, die das medizinische Personal entlasten. Auch Fresenius erschließt mit digitalen Produktlösungen neue Märkte. Gleichzeitig wissen wir, dass die Digitalisierung mit Risiken verbunden ist, etwa in Form von Cyber-Angriffen. Wir arbeiten kontinuierlich an der Sicherheit unserer digitalen Technologien und Systeme, um Cyber-Risiken bestmöglich zu adressieren und Schäden von unseren Patientinnen und Patienten sowie vom Unternehmen abzuwenden. Alle Patientinnen und Patienten müssen darauf vertrauen können, dass ihre Gesundheitsdaten geschützt sind – dies ist für unseren Geschäftserfolg essenziell. Auch der Gesetzgeber reagiert auf diese wachsenden Bedrohungen zunehmend mit Regulierungen, die z.B. einen konsistenten Schutz von Patientendaten erfordern. Diese regulatorischen Anforderungen prüfen wir konzernweit und adaptieren unsere bestehende Sicherheitsarchitektur bei Bedarf.

Unser Ansatz

Im Fresenius-Konzern verfolgen wir für das Management von Cybersecurity einen ganzheitlichen Ansatz. Wir bringen Entscheider, d. h. die jeweils in den Fachbereichen bzw. Unternehmensbereichen verantwortlichen Ansprechpartner für Cybersecurity, im Konzern zusammen, um eine gemeinsame Vorgehensweise zu entwickeln, die im Einklang mit unseren strategischen Zielen steht. Wir richten unsere ­Strategie an den Sicherheitsanforderungen unserer vier Unternehmensbereiche sowie an der Analyse von Cyber-­Risiken aus. Dies manifestiert sich in allen konzernweit gül­tigen Sicherheitsrichtlinien. 2017 hat der Vorstand der ­Fresenius Management SE den Ansatz Cybersecurity Approach, Roadmap and Execution (CARE) verabschiedet. Seit 2018 dient CARE als ganzheitliches Cybersecurity-Programm, das neben der Organisation besteht und die Cybersecurity-Initiativen bündelt. Im Mittelpunkt steht die Stärkung unserer Widerstandsfähigkeit zum Schutz vor und zur Abwehr von Cyber-Angriffen. Darüber hinaus sorgen wir mit CARE für ein konzernweit einheitliches Sicherheits­niveau. Zu Beginn des Berichtsjahres hat der Vorstand der Fresenius Management SE als Teil von CARE eine konzernweite Cybersecurity-Richtlinie (Cybersecurity Policy) in Kraft gesetzt. Mit ihr definieren wir die Aufbau- und Ablauf­organisation für die globale Steuerung von Cybersecurity im Fresenius-Konzern, die u. a. die Rahmenbedingung für CARE bildet. Auf diese Weise sorgt unsere Cybersecurity Policy dafür, dass Cybersecurity konzernweit organisatorisch verankert ist.

Der Chancen- und Risikobericht enthält weiterführende Informationen zu Cybersecurity und -vorfällen im Jahr 2020.

Organisation und Verantwortlichkeiten
Die Organisationsstruktur

Im Berichtsjahr haben wir im Rahmen der Umsetzung der neuen Cybersecurity-Richtlinie zahlreiche Rollen und Verantwortlichkeiten für Cybersecurity neu geregelt. Seit Mai 2020 ist das Group Cybersecurity Office (GCSO) die zentrale Organisation für die Steuerung von Cybersecurity innerhalb des Fresenius-Konzerns. Es stellt sicher, dass relevante Cybersecurity-Aktivitäten mit individuellen Ansätzen auf Geschäftsfeldebene organisiert und umgesetzt werden, die aus der Gruppenperspektive überwacht und koordiniert werden. Bei Bedarf werden die Unternehmensbereiche in ihren Aktivitäten beraten und unterstützt.

Das GCSO ist in sechs Funktionen unterteilt: Cyber Governance & Assurance (Steuerung & Überwachung), Cyber Risk & Economics (Risikomanagement & wirtschaftliche Aspekte), Product Security & Architecture (Produktsicherheit & Sicherheitsarchitektur), Cyber Defense & Analytics (Bedrohungsabwehr & -analyse), Cyber Culture & Training (Sicherheitskultur & Schulungen) sowie Cyber Program Management (Cybersecurity-Programmmanagement). Die Funktion Cyber Defense & Threat Analytics ist dabei von besonderer Bedeutung: Sie analysiert Cyber-Bedrohungen und wehrt Cyber-Angriffe ab. Darüber hinaus untersucht sie Vorfälle und erarbeitet im Einklang mit dem Risikomanagement Empfehlungen für präventive Maßnahmen, um potenziellen Cyber-Bedrohungen vorzubeugen.

  • Cybersecurity Governance & Assurance (Steuerung und Überwachung)

    Die Funktion Cybersecurity Governance & Assurance etabliert und pflegt ein gruppenweites Integriertes Cybersecurity Management System (ICMS). Teil des ICMS ist ein Rahmenwerk zur effizienten Steuerung und Regelung von Cybersecurity innerhalb des Fresenius-Konzerns sowie unterstützende Prozesse, um die Ausrichtung der Cybersecurity-Strategie auf die Ziele und Vorgaben des Unternehmens in allen Risikodomänen zu gewährleisten.

  • Cyber Risk & Economics (Risikomanagement & wirtschaftliche Aspekte)

    Die Funktion Cyber Risk & Economics kombiniert strategisches Cyber-Risikomanagement mit finanz- und geschäftsorientiertem Denken, um eine risikobasierte Entscheidungsfindung bezüglich effektiver Cyber-Sicherheitsinvestitionen zu ermöglichen und somit das Sicherheitsniveau des Konzernes kontinuierlich zu verbessern.

  • Products Security & Architecture (Produktsicherheit & Sicherheitsarchitektur)

    Die Funktion Product Security & Architecture ist für die Cyber-Sicherheitsarchitektur sowie die Risikodomänen Medical Devices, Manufacturing IT und Health Facilities verantwortlich.

    Die Risikodomäne Medical Devices umfasst alle medizintechnischen Geräte und -produkte, für die Fresenius entsprechend geltender Vorschriften und Gesetze regulatorische Verantwortung hat. Dazu gehören alle Produkte, die Fresenius herstellt oder unter der Bezeichnung Fresenius bzw. unter einem zu Fresenius gehörenden Markennamen verkauft.
    Die Risikodomäne Manufacturing IT bezieht sich auf alle Produktions-, Logistik und angeschlossenen Einrichtungen wie Labore oder Lager. Innerhalb dieser Einrichtungen bezieht sich die Risikodomäne auf alle Betriebsgeräte, die in Produktionsstätten industrielle Kontrollsysteme steuern (IT/OT Geräte) sowie Systeme, Prozesse und Personen gemäß ISA (International Society of Automation) Level 0 bis 3. Weiterhin beinhaltet sie alle Systeme, von der die Produktion und Auslieferung von Fresenius-Produkten abhängt. Die Risikodomäne Health Facilities bezieht sich auf alle Gesundheitseinrichtungen, die von Fresenius betrieben werden. Gesundheitseinrichtungen sind alle Krankenhäuser und Kliniken sowie andere Behandlungs- und Rehazentren. Innerhalb dieser Einrichtung bezieht sich die Risiko Domäne auf alle IT/OT Geräte, Systeme sowie Prozesse und Personen, die für die Behandlung der Patientinnen und Patienten relevant sind.

  • Cyber Culture & Training (Sicherheitskultur und Schulungen)

    Die Funktion Cyber Culture & Training befähigt die Cybersecurity-Teams der vier Unternehmensbereiche, ihr eigenes Cybersecurity Training & Awareness Program (CTAP) aufzubauen, zu betreiben und kontinuierlich zu verbessern. Durch das Cybersecurity Training & Awareness Program informieren wir unsere Mitarbeiterinnen und Mitarbeiter über die neuesten Cyber-Bedrohungen und unterstützten sie darin, Cyber-Angriffe zu erkennen und sich im Arbeitsalltag vor ihnen zu schützen.

  • Cyber Program Management (Cybersecurity Programm-Management)

    Die Funktion Cyber Program Management koordiniert und steuert das Change-Management im Rahmen des gruppenweiten Cybersecurity-Programms CARE. Hierzu zählen insbesondere die konzernweite Abstimmung und Strukturierung sowie die Überwachung und Berichterstattung zu den Cybersecurity-Initiativen sowie die Implementierung von Maßnahmen, die den Schutz von digitalen Informationen kontinuierlich verbessern und Kontrollen an aktuelle Bedrohungslagen anpassen. Zur Verbesserung der gruppenweiten Zusammenarbeit unterstützt das Cyber Program Management darüber hinaus das Stakeholder-Management insbesondere im Hinblick auf die unternehmensbereichsübergreifenden Special Interest Groups (SIGs) und des Cybersecurity-Boards.

Geführt wird das GCSO vom Group Head of Cybersecurity. Ihm obliegt die Gesamtverantwortung für die Steuerung von Cybersecurity im Fresenius-Konzern. In den Unternehmensbereichen verantwortet der jeweilige Business Segment Head of Cybersecurity die Aktivitäten in seinem Geltungsbereich. Auf Ebene der Fresenius SE & Co. KGaA ist der Corporate Head of Cybersecurity verantwortlich für die Cybersecurity in den einzelnen Konzernfunktionen. Der Group Head of Cybersecurity definiert die gruppenweite Cybersecurity-Strategie und stimmt diese mit den jewei­ligen Cybersecurity-Leitern ab, um eine gemeinsame Vorgehensweise unternehmensbereichsübergreifend sicherzustellen.

Konzernweit hat Fresenius fünf Cybersecurity-Risikobereiche identifiziert: Enterprise IT, Manufacturing IT, Medical Devices, Health Facilities und People. Zu den dort festgestellten Risiken gehören z. B. die Unterbrechung von Fertigungs- und Qualitätsmanagementsystemen, die unberechtigte Veröffentlichung oder Manipulation der Gesund­heitsdaten von Patientinnen und Patienten oder die Unterbrechung sowie der Ausfall von wichtigen IT-Systemen. Jeder Risikobereich wird von einem eigenen Risk Domain Manager gesteuert – sowohl auf Konzernebene als auch in den vier Unternehmensbereichen. Sie definieren u. a. Cyber-Sicherheitsanforderungen und koordinieren das Risikomanagement. Die Risk Domain Manager arbeiten kollaborativ zusammen, um gemeinsame Sicherheitskonzepte zu entwickeln und sich über Technologien, Expertise und Fachwissen konzernweit auszutauschen.

Die vier Unternehmensbereiche sind für die operative Umsetzung des Cybersecurity-Managements verantwortlich. Sie legen strategische Ziele sowie angemessene Risiko­adressierungsstrategien fest und berichten darüber. Die Ziele orientieren sich an der gruppenweiten Cybersecurity-­Strategie und werden eigenständig von den Business Segment Heads of Cybersecurity definiert. Sie sind für die Umsetzung in den Unternehmensbereichen verantwortlich.

Darüber hinaus tagt bereichsübergreifend mindestens einmal im Monat das Cybersecurity Board. Es setzt sich zusammen aus dem Group Head of Cybersecurity, dem Corporate Head of Cybersecurity sowie allen Business Segment Heads of Cybersecurity. Es sichert den Austausch zur gruppenweiten Cybersecurity-Strategie zwischen den Unternehmensbereichen und Konzernfunktionen, definiert Kriterien zur Bewertung und Überwachung der Entwicklung von Cybersecurity im Konzern und überprüft Fortschritte und Ergebnisse von Cybersecurity-Maßnahmen und -Projekten. Darüber hinaus überwacht es bereichsübergreifend die Anwendung und Umsetzung der konzernweiten Cybersecurity-Richtlinie.

Die verantwortlichen Personen für Cybersecurity verfügen in der Regel über langjährige Erfahrung im Cybersicherheitsmanagement. Sie weisen fundierte Kenntnisse sowie entsprechende fachliche Zertifizierungen auf.

Die Reporting-Strukturen

Der Group Head of Cybersecurity berichtet direkt an Rachel Empey, Vorstandsmitglied der Fresenius Management SE. Sie wird wöchentlich sowie in Bedarfsfällen über Cybersecurity-relevante Themen informiert. Die Finanzvorstände der Unternehmensbereiche, für Fresenius Vamed das für das Dienstleistungsgeschäft verantwortliche Mitglied des Vorstands, kommen quartalsweise im CARE Steering Committee zusammen, um eine regelmäßige, unternehmensbereichsübergreifende Berichterstattung zu organisieren. Die Risk Domain Manager berichten fachlich an den jeweils zuständigen Head of Cybersecurity. Die Business Segment Heads of Cybersecurity erstatten fachlich Bericht an das jeweils verantwortliche Mitglied des CARE Steering Committee. Zukünftig berichten die Business Segment Heads of Cybersecurity zusätzlich quartalsweise an das Segment Management Board, die Reportingprozesse werden derzeit etabliert. Ergänzend tauschen sich die Funktionen Datenschutz, Enterprise Risk Management sowie Compliance regelmäßig zu Cybersecurity-Angelegenheiten aus.

Richtlinien und Regulierungen

Unser Cybersecurity-Rahmenwerk (Cybersecurity Policy Framework) besteht aus einer Reihe von Richtlinien, Anforderungen und Verfahren. Es bildet die gemeinsame Basis für Cybersecurity in allen Unternehmensbereichen und Konzernfunktionen. Innerhalb dieses Konstrukts bilden die Schutzbedarfsanforderungen der Vertraulichkeit, Integrität und Verfügbarkeit von digitalen Informationswerten, Tech­nologien und Systemen die zentrale Zielsetzung der Cybersecurity Bestrebungen von Fresenius. Es wurde vom Gesamtvorstand der Fresenius Management SE sowie den Führungsgremien der vier Unternehmensbereiche verabschiedet.

Die neue Cybersecurity-Richtlinie ist an den Fresenius-Verhaltenskodex angelehnt und orientiert sich an internati­onal anerkannten Standards und Best Practices. Sie legt die übergreifende Richtlinienstruktur für Cybersecurity im ­Fresenius-Konzern fest. Darüber hinaus definiert das GCSO in Zusammenarbeit mit den vier Unternehmensbereichen weitere Richtlinien für die fünf Cyber-Risikobereiche Enterprise IT, Manufacturing IT, Medical Devices, Health Facilities und People. Sie legen konzernweite Mindestsicherheitsstandards für diese Risikobereiche fest. Zusätzlich bestehen in den vier Unternehmensbereichen spezifische Mindest­sicherheitsstandards für das Management von Cybersecurity, die besondere regulatorische Vorgaben oder lokale Gesetz­gebungen berücksichtigen. Bereits etablierte Mindest­sicher­heits­standards in den vier Unternehmensbereichen werden – sofern sinnvoll – als konzernweite Standards genutzt.

Unsere Ambitionen

Ziel unseres Cybersecurity-Programms CARE, das alle Risikobereiche abdeckt, ist es, den Reifegrad unserer Cybersecurity-Fähigkeiten zu erhöhen, unsere Widerstandsfähigkeit permanent der Bedrohungslage anzupassen. Wir bewerten die sich stetig ändernden Bedrohungen, definieren Mindest­sicherheitsstandards für unsere Cyber-Risikodomänen und implementieren gezielte, risikobasierte und kosteneffiziente geeignete Sicherheitsmaßnahmen. Das Cybersecurity Board entwickelt jährlich konzernweite und unternehmensbereichsspezifische operative Ziele und Maßnahmen, um die Vertraulichkeit, Integrität und Verfügbarkeit unserer Daten zu gewährleisten. Teil davon ist auch die kontinuierliche Verbesserung der Sicherheit unserer IT-Infrastrukturen, Fertigungen, Gesundheitseinrichtungen und medizinischen Geräten. Der Group Head of Cybersecurity koordiniert diese Ziele und Maßnahmen und sie werden dem auf Vorstandsebene eingerichteten CARE-Steering Committee ­vorgelegt und regelmäßig berichtet.

Fortschritte und Maßnahmen 2020

Risikoanalyse

Im Berichtszeitraum hat das GCSO unsere Geschäftsprozesse einer Cyber-Risikoanalyse unterzogen. Jeder Unternehmensbereich hat spezifische Cyber-Risiken identifiziert. Die Cyber-Risiken von Fresenius Medical Care und ­Fresenius Kabi hängen eng mit der Produktion zusammen: Dazu gehören mögliche Ausfälle und Unterbrechungen von zentralen Systemen, z. B. von Fertigungs- und Qualitätsmanagementsystemen. Weiteres zentrales Risiko ist der Diebstahl von geistigem Eigentum sowie von Geschäftsgeheimnissen und strategischen Dokumenten. Bei Fresenius Helios und ­Fresenius Vamed stehen die Patientinnen und Patienten sowie medizinische Geräte im Fokus: Zu den Risiken gehört der potenzielle Ausfall von Systemen zum Schutz von Patientinnen und Patienten und ihren Gesundheitsinformationen. Weitere Risiken sind die Offenlegung oder Manipulation von Patientendaten, fehlerhafte Behandlungen durch Betriebsunterbrechungen sowie die Unterbrechung von Systemen, die Gesundheitsdaten speichern und verarbeiten. Auf Basis dieser Cyber-Risikoanalyse entwickeln wir unsere Sicherheitsmaßnahmen kontinuierlich weiter. Unser Risikobericht enthält umfangreiche Informationen zu den Auswirkungen von Cyber-Risiken auf das Risikomanagement.

Sicherheitskonzept

Um Cyber-Risiken zu minimieren, haben wir Sicherheits­architekturen und -konzepte implementiert, die präventive und detektive Maßnahmen umfassen. Cyber-Bedrohungen können wir u. a. durch Überwachungsmechanismen in unseren Netzwerken als auch auf unseren Endpunkten wie Desktops, Servern und mobilen Geräten frühzeitig erkennen. Die Sicherheit von Anwendungen, die sensible Patienten- oder personenbezogene Daten verarbeiten, wird regelmäßig durch sogenannte Penetrationstests überprüft, die gezielte Angriffe simulieren. Kritische Systeme, wie zentrale Kommunikations- oder klinische Informationssysteme, unterliegen speziellen Schutzkonzepten, die z. B. den Ausfall eines Systems aufwiegen können.

Bestehende und potenzielle Bedrohungen überwachen wir kontinuierlich mit aktuellen Sicherheitstechnologien. Wiederkehrende Analyse- und Abwehrprozesse werden automatisiert, um noch effizienter auf Vorfälle reagieren zu können.

Schulungen

Im Berichtszeitraum haben wir das Cybersecurity Training & Awareness Program (CTAP) gestartet. Ziel ist es, bei allen Fresenius-Beschäftigten das Bewusstsein für Cyber-Bedrohungen- und Angriffe zu erhöhen. Neben einer verpflichtenden Schulung zu Datenschutz und Informationssicherheit bietet das CTAP verschiedene Kurse, Spiele, Videos und andere Lerninhalte zu Cybersecurity an. Beispielsweise informieren wir auf der digitalen CTAP-Lernplattform über Cyber-Bedrohungen und simulieren regelmäßig Phishing-Angriffe, um die Effektivität der Trainings zu überprüfen und darüber aufzuklären, wie man sich beim Verdacht auf Phishing richtig verhält. Beim Phishing versuchen Angreifer über Webseiten oder E-Mails, u. a. an Nutzerdaten zu gelangen. Für die Beschäftigten ermitteln wir einen persönlichen Risikoscore, der sich u. a. aus dem Verhalten bei den Phishing-Tests, aber auch aus der Anzahl absolvierter Cybersicherheitstrainings zusammensetzt. Alle Angebote des CTAP sind auf die spezifischen Risiken von Fresenius zugeschnitten und werden in mehreren Sprachen angeboten. Die Teilnahme ist derzeit freiwillig. Der Erfolg der CTAP-Maßnahmen wird anhand vordefinierter Erfolgskriterien gemessen.

Die im Berichtsjahr 2020 durchgeführten Phishing-Tests haben gezeigt, dass durch die intensiven Schulungs­aktivitäten das Sicherheitsbewusstsein der Beschäftigten geschärft wurde und sich die Zahl der gemeldeten Phishing-Verdachtsfälle deutlich erhöht hat.

Zudem informieren wir unsere Mitarbeiterinnen und Mitarbeiter kontinuierlich auf unterschiedlichen Kanälen über aktuelle Cyber-Risiken und neuartige Cyber-Bedrohungen und veranstalten einen Cybersecurity Awareness Month im Oktober jeden Jahres.

Meldewege

Vermuten Fresenius-Beschäftigte Cyber-Bedrohungen, ­können sie sich an CERT@Fresenius.com, CyberAware@­Fresenius.com sowie an alle Cybersecurity-Mitarbeiterinnen und -Mitarbeiter wenden. Frühwarnungen und Alarm­meldungen über die Überwachungsmechanismen erfolgen automatisiert. Darüber hinaus geht unser eigenes Cyber Emergency Response Team (CERT) möglichen Angriffen auf unsere IT-Infrastrukturen, Produktionen und Gesundheitseinrichtungen, vermuteten Verstößen sowie Hinweisen von betroffenen Personen und Aufsichtsbehörden nach.

Evaluation

Audits und Prüfungen

Unser Cybersecurity-Management wird in regelmäßigen Abständen durch die Interne Revision überprüft. Wir überwachen und verbessern die Effektivität unserer Maßnahmen kontinuierlich. Unsere Netzwerke, Systeme und Geräte werden im Zuge von Penetrationstest regelmäßig von unabhängigen Prüfern umfassend auf Schwachstellen untersucht. Zusätzlich sind diverse Zertifizierungsbehörden wie die US-amerikanische Food and Drug Administration (FDAFDA (U.S. Food and Drug Administration)Die behördliche Lebensmittelüberwachungs- und Arzneimittelzulassungsbehörde der USA.) oder der deutsche TÜV sowie auch verschiedene Wirtschaftsprüfungsgesellschaften in die Prüfprozesse unseres Cybersecurity-Managements eingebunden. Zu konkreten Prüfprozessen können wir aus Sicherheitsgründen keine Aussage treffen.

Digitalisierung und Innovation

Beschäftigte