Skip to content

GRI 418/3-3

Digitale Informationen sind für uns als einer der führenden Gesundheitskonzerne ein Eckpfeiler und ein Wegbereiter für unser weltweites Geschäft. Die fortschreitende Digitalisierung und digitale Transformation bietet große Chancen für die Gesundheitsversorgung – mit innovativen technologischen und therapeutischen Ansätzen, die die Behandlungswege der Patientinnen und Patienten verbessern. Fresenius digitalisiert kontinuierlich seine Prozesse, erschließt mit digitalen Produktlösungen neue Märkte und berücksichtigt dabei, dass die Digitalisierung mit Cyberrisiken verbunden ist. Unsere Stakeholder setzen großes Vertrauen in die Cybersicherheit unserer Produkte und Dienstleistungen. Wir streben kontinuierlich danach, ihre Erwartungen zu erfüllen, indem wir unsere Resilienz gegenüber Cyberangriffen stärken und unsere Cyberrisiken reduzieren, mit dem einzigen Ziel, Schäden für unsere Patientinnen und Patienten, Kunden oder das Unternehmen abzuwenden.

Unser Ansatz

GRI 418/3-3

Im Fresenius-Konzern verfolgen wir für das Management von Cybersicherheit einen ganzheitlichen Ansatz. Dabei bringen wir Entscheiderinnen und Entscheider aus den Cybersicherheit-Fachbereichen mit verantwortlichen Personen aus den Fach- und Unternehmensbereichen zusammen, um eine gemeinschaftliche Vorgehensweise zu entwickeln, die im Einklang mit unseren strategischen Zielen steht. Der Kern unseres Ansatzes besteht darin, ein angemessenes Schutzniveau zu ermitteln, bei dem der Mehrwert der Cybersicherheit und die Anforderungen des Unternehmens sowie die Kosten für den Schutz in einem ausgewogenen Verhältnis zueinander stehen. Wir steuern unsere Aktivitäten auf der Grundlage von Reifegradbewertungen und Cyberrisikoanalysen, die uns dabei helfen, die wichtigsten Maßnahmen zur Risikominderung zu priorisieren und sowohl den Fortschritt als auch die Wirksamkeit der umgesetzten Maßnahmen anhand unseres CARE-Programms (Cybersecurity Approach, Roadmap and Execution) sorgfältig zu überwachen.

Das Steering Committee des CARE-Programms hat ­formell eine CARE Governance Charta verabschiedet, in der die strategische Ausrichtung, der Geltungsbereich und die Zuständigkeiten des CARE-Programms festgelegt wurden. Demzufolge fungiert das CARE Steering Committee als Governance-Gremium sowie als Eskalations- und Entscheidungsinstanz. Das CARE-Programm ist nach Risikodomänen, für weitere Informationen siehe Abschnitt Sicherheitskonzept, und Cyber­security-Clustern strukturiert, um eine ganzheitliche Betrachtung unserer digitalen Umgebung zu gewährleisten:

  • Critical Assets Protection: Maßnahmen zur Identifizierung und zum angemessenen Schutz kritischer Infor­mationswerte mit hoher Relevanz für die Geschäftsprozesse von Fresenius.
  • Baseline Security: Maßnahmen zur Sicherstellung eines grundlegenden Schutzniveaus aller digitalen Informationswerte auf der Basis von Mindeststandards für die Cybersicherheit.
  • Cyber Defense: Maßnahmen zur Verbesserung der Fähigkeit, Cybersicherheitsvorfälle frühzeitig zu erkennen, angemessen zu reagieren und negativen Auswirkungen auf unser Geschäft zu reduzieren.
  • Governance, Risk & Organization: Maßnahmen zur Optimierung der Steuerung von Cybersicherheit, der Transparenz in Bezug auf Risiken und der Entwicklung einer angemessenen, effizienten und effektiven Cyber­sicherheitsstruktur.

Der Vorstand der Fresenius Management SE hat den Ansatz CARE initiiert. CARE bündelt Cybersicherheitsinitiativen, um unsere Resilienz bei der Verhinderung und Abwehr von Cyberangriffen zu stärken. 2020 hat der Vorstand eine konzernweite Cybersicherheitsrichtlinie (Cybersecurity Policy) in Kraft gesetzt. Sie definiert die Ziele sowie die Aufbau- und Ablauforganisation für die Steuerung von Cybersicherheit im Fresenius-Konzern, integriert in CARE.

CARE-Programm

Der Chancen- und Risikobericht enthält im Abschnitt Risikofelder weitere Informationen bezüglich Cybersicherheit bei Fresenius im Jahr 2022.

Organisation und Verantwortlichkeiten

Der Chief Financial Officer (CFO) im Fresenius-Vorstand beaufsichtigt die Cybersicherheits-Governance und erhält direkten Bericht vom Group Head of Cybersecurity. Die Position des Group Head of Cybersecurity, der als konzernweiter Chief Information Security Officer (CISO) fungiert, trägt die Gesamtverantwortung für die Governance der Cybersicherheit innerhalb des Fresenius-Konzerns und leitet ­das Group Cybersecurity Office (GCSO). Er legt die konzernweite Cybersicherheitsstrategie fest und koordiniert sie mit den jeweiligen Cybersicherheitverantwortlichen, um ein einheitliches Vorgehen in allen Unternehmensbereichen zu gewährleisten. Der Group Head of Cybersecurity informiert den CFO des Fresenius-Konzerns wöchentlich und nach Bedarf über Cybersicherheitsangelegenheiten. Er erstattet vierteljährlich dem Vorstand der Fresenius Management SE und mindestens einmal jährlich dem Aufsichtsrat Bericht.

In den vier Unternehmensbereichen sind die jeweiligen Business Segment Heads of Cybersecurity (Segment CISO) für die Aktivitäten im jeweiligen Unternehmensbereich ­verantwortlich. Auf Ebene der Fresenius SE & Co. KGaA ist der Corporate Head of Cybersecurity für die einzelnen ­Konzernfunktionen zuständig.

Das GCSO steuert die Cybersicherheit innerhalb des Fresenius-Konzerns. Es stellt sicher, dass eine ganzheitliche Betrachtung und Koordinierung der Cybersicherheitsak­­­ti­vitäten auf Konzernebene erfolgt, legt die Mindestanforderungen fest und überwacht deren Erfüllung sowie die Umsetzung der Maßnahmen zur Risikobekämpfung. Bei Bedarf werden die Unternehmensbereiche in ihren Akti­vitäten beraten und unterstützt.

Cybersecurity Organisationsstruktur

Das GCSO ist in sechs Funktionen unterteilt:

  • Cyber Governance & Assurance (Steuerung & Überwachung)
  • Cyber Defense & Analytics (Bedrohungsabwehr & -analyse)
  • Cyber Risk & Economics (Risikomanagement & wirtschaftliche Aspekte)
  • Product Security & Architecture (Produktsicherheit & Sicherheitsarchitektur)
  • Cyber Culture & Training (Sicherheitskultur & Schulungen)
  • Cyber Program Management (Cybersecurity-Programm-Management).

Die vier Unternehmensbereiche sind für die operative Umsetzung des Cybersicherheitsmanagements verantwortlich. Die Vorstände bzw. Führungskräfte der Unternehmensbereiche entwickeln strategische Ziele und Strategien zum Umgang mit Risiken und erstellen die entsprechenden Berichte. Die Ziele orientieren sich an der konzernweiten Cybersicherheitsstrategie und werden eigenständig von den Business Segment Heads of Cybersecurity definiert, die für die Implementierung verantwortlich sind.

Innerhalb des Konzerns wurden übergreifende Gremien eingerichtet, um die bestehende Organisationsstruktur zu ergänzen. Das bereichsübergreifende Cybersecurity Board tagt monatlich. Es setzt sich aus dem Group Head of Cyber­security, dem Corporate Head of Cybersecurity sowie allen Business Segment Heads of Cybersecurity zusammen. Es sichert den Austausch über konzernweite Cybersicherheitsangelegenheiten zwischen den Unternehmensbereichen und Konzernfunktionen, definiert Kriterien zur Bewertung und Überwachung der Entwicklung der Cybersicherheit im Konzern und überprüft Fortschritte und Ergebnisse von Cybersicherheitsmaßnahmen und -projekten. Das Cybersecurity Board überwacht auch bereichsübergreifend die Anwendung und Umsetzung der konzernweiten Cybersicherheitsrichtlinien sowie die Einhaltung der Mindestanforderungen und der Maßnahmen zur Risikobekämpfung.

Die für Cybersicherheit verantwortlichen Personen verfügen in der Regel über langjährige Erfahrung im Cyber­sicherheitsmanagement sowie fundierte Kenntnisse und entsprechende fachliche Zertifizierungen.

Die Finanzvorstände der Unternehmensbereiche, und für Fresenius Vamed das für das Dienstleistungsgeschäft verantwortliche Mitglied des Vorstands, kommen quartalsweise im CARE Steering Committee zusammen, um eine regelmäßige, unternehmensbereichsübergreifende Bericht­erstattung zu organisieren und Cybersicherheitsinitiativen zu steuern.

Die Business Segment Heads of Cybersecurity informieren das jeweils verantwortliche Mitglied des CARE Steering Committees und berichten zusätzlich mindestens halbjährlich an ihren jeweiligen Vorstand über Cybersicherheitsangelegenheiten. Die Risk Domain Manager berichten fachlich an den jeweils zuständigen Head of Cybersecurity. Ergänzend tauschen sich die Risk & Integrity- sowie Audit-Abteilungen regelmäßig zu Cybersicherheitsangelegenheiten aus.

Richtlinien und Regularien

Unser Cybersicherheitsrahmenwerk (Cybersecurity Policy Framework) besteht aus einer Reihe von Richtlinien, Anforderungen und Verfahren. Es bildet die gemeinsame Basis für Cybersicherheit in allen Unternehmensbereichen und Konzernfunktionen. Innerhalb dieses Konstrukts bilden die Schutzbedarfsanforderungen der Vertraulichkeit, Integrität und Verfügbarkeit von digitalen Informationen, Techno­logien und Systemen die zentrale Zielsetzung der Cybersicherheitsbestrebungen von Fresenius entlang der Risiko­domänen.

Cybersecurity Rahmenwerk

Die Cybersecurity Policy ist an den Fresenius-Verhaltenskodex angelehnt und orientiert sich an international anerkannten Standards und Best Practices wie der Charter of Trust. Es legt die übergreifende Richtlinien- und Orga­nisationsstruktur für Cybersicherheits-Governance im Fresenius-Konzern fest. Die zugrunde liegenden Risikodomänenrichtlinien spezifizieren den Rahmen, die Prozesse sowie die Rollen und Verantwortlichkeiten für jede Risikodomäne, um die übergeordneten Ziele des Schutzes der Vertraulichkeit, Integrität und Verfügbarkeit der digitalen Informationen von Fresenius auf ganzheitliche Weise zu erreichen.

Die vier Unternehmensbereiche verfügen zudem über spezifische Sicherheitsstandards, die spezifische regulatorische Anforderungen und lokale Gesetze berücksichtigen. Bereits etablierte Sicherheitsstandards in den vier Unternehmensbereichen werden – sofern sinnvoll – als konzernweite Standards genutzt.

Zertifizierungen und Selbstverpflichtung

Auf Ebene der Unternehmensbereiche wurden Cybersicherheitsversicherungen abgeschlossen, wo sie auf dem Ver­sicherungsmarkt verfügbar waren und die Risiken geeignet abdecken. Darüber hinaus gibt es Zertifizierungen auf Konzern- und Bereichsebene, z. B. nach ISO / IEC 27001. Um die Governance-Struktur zur Risikominimierung zu ergänzen und Risiken weiter abzusichern, wird darüber hinaus der Abschluss einer globalen Cybersicherheitsversicherung auf Konzernebene weiter evaluiert werden.

Risikoanalyse

In Einklang mit dem konzernweiten Rahmenwerk für das Cybersicherheitsrisikomanagement führen die Unter­nehmensbereiche – bei Bedarf gemeinsam mit dem GCSO – eine geschäftsorientierte Bewertung der strategischen Cybersicherheitsrisiken entlang der Wertschöpfungskette von Fresenius durch. Die Cyberrisiken des Konzerns sind mit den Geschäftsaktivitäten der jeweiligen Unternehmensbereiche verknüpft. So sind die Cyberrisiken im Produkt­geschäft eng mit der Unterbrechung von Produktions- oder Logistikprozessen sowie dem Diebstahl von geistigem Eigentum verbunden, während sie sich in unseren Gesundheitseinrichtungen auf Patientinnen und Patienten sowie deren Gesundheitsdaten und die verwendeten Medizinprodukte beziehen. Im Rahmen unserer halbjährlichen Bewertungen der Cyberrisiken analysieren wir kontinuierlich die Entwicklung der Cyberbedrohungslage, um unsere Maßnahmen zur Cybersicherheit abzuleiten und unsere Risiken wirksam zu mindern.

Der Abschnitt Risikofelder in unserem Geschäftsbericht 2022 enthält umfangreiche Informationen zu den Auswirkungen von Cyberrisiken auf das Risikomanagement.

Sicherheitskonzept

Um die konzernweite Cybersicherheit und die damit verbundenen Risiken zu managen, haben wir fünf Risikodomänen festgelegt. Sie werden von den jeweiligen Risk Domain Managern gesteuert – auf Konzernebene und in den vier Unternehmensbereichen. Mit Unterstützung des GCSO bilden die Risk Domain Manager sogenannte Special Interest Groups (SIGs), die auf der Grundlage von Best Practices die Anforderungen an die Cybersicherheit definieren und die Risikomanagementaktivitäten koordinieren. Die Risk Domain Manager fördern den Kompetenz- und Wissensaustausch in allen Cybersicherheitsbereichen innerhalb des Konzerns.

Die fünf Risikodomänen sind:

  • People: bezieht sich auf den menschlichen Faktor der Cybersicherheit und umfasst alle Risiken, die die Vertraulichkeit, Integrität und Verfügbarkeit digitaler Informationen aufgrund unangemessenen menschlichen Verhaltens negativ beeinflussen könnten.
  • Health Facilities: betrifft die Cybersicherheit in allen Gesundheitseinrichtungen wie Krankenhäusern, Kliniken, Behandlungs- und Rehabilitationszentren. Damit verbunden sind alle Cyberrisiken, die sich negativ auf die Gewährleistung der Patientenversorgung auswirken.
  • Medical Devices: erstreckt sich auf die Cybersicherheit medizinischer Geräte während ihres gesamten Lebenszyklus, von der Entwicklung bis zur Außerbetriebnahme. Diese Risikodomäne umfasst alle Risiken, die die Funktionalität und Nutzbarkeit von Medizinprodukten negativ beeinflussen können.
  • Enterprise IT: bezieht sich auf die Cybersicherheit in Büros und im Verwaltungsumfeld und betrifft alle Risiken, die sich negativ auf die Sicherheit von IT-Diensten zur Verwaltung und Verarbeitung digitaler Informationen auswirken können.
  • Manufacturing IT: umfasst die Cybersicherheit von Produktionsumgebungen und angeschlossenen Einrichtungen wie Laboren und Lagern. Die damit verbundenen Cybersicherheitsrisiken können die Leistung und Qualität der Produktion beeinträchtigen – einschließlich der Möglichkeit, Produkte zu produzieren, zu kennzeichnen und zu vertreiben sowie Compliance-Kriterien zu erfüllen.

Um die Wertschöpfung des Konzerns zu schützen, haben wir maßgeschneiderte Rahmenwerke für unsere fünf Cybersicherheits-Risikodomänen entwickelt, die die Sicherheitsarchitekturen, -konzepte und -anforderungen definieren. Die entsprechenden präventiven, analytischen und korrektiven Maßnahmen werden priorisiert und durch unser CARE-Programm umgesetzt, um Risiken wirkungsvoll zu reduzieren. Während unser Hauptziel ist, die Entstehung von Cyberrisiken zu verhindern, machen sich unsere Investitionen in die Früherkennung von Cyberbedrohungen bezahlt. Wir erkennen Cyberbedrohungen mithilfe unterschiedlicher Überwachungsmechanismen in einer frühen Phase der sogenannten Cyber-Kill-Chain und können so rechtzeitig reagieren, um die tatsächlichen Auswirkungen von Sicherheitsvorfällen auf das Geschäft zu begrenzen. Wiederkehrende Analyse- und Abwehrprozesse werden automatisiert, um noch effizienter auf Vorfälle reagieren zu können. Vorfälle werden gründlich untersucht, um zusätz­liche Maßnahmen zur Verbesserung unserer allgemeinen Sicherheit abzuleiten.

Business Continuity

Business Continuity Management ist ein integraler Bestandteil des anerkannten Standards ISO / IEC 27001, der primär die Verfügbarkeit digitaler Informationsverarbeitungseinrichtungen gewährleisten soll. Verschiedene Bereiche innerhalb von Fresenius, wie unsere zentrale IT-Infrastruktur sowie kritische medizinische Infrastrukturen, sind nach ISO / IEC 27001 zertifiziert und werden regelmäßig von unabhängigen Stellen geprüft.

Im Rahmen der CARE-Programme hat Fresenius eine konzernweite Initiative zur Identifizierung, Bewertung und Absicherung aller kritischen Informationswerte (CARE ­Critical Asset Protection) angestoßen. Erkenntnisse aus den Bewertungen, insbesondere in Bezug auf negative Folgen für die Verfügbarkeit kritischer Informationswerte, werden als Input in das jeweilige Business Continuity Management einbezogen.

Schulungen

Bei Fresenius streben wir danach, ein menschenzentriertes Risikomodell zu etablieren und dies mit unserem bereits implementierten Cybersecurity Training & Awareness Program (CTAP) zu kombinieren. Ziel ist es, unter den Mitarbeiterinnen und Mitarbeitern das Bewusstsein für Cybergefahren zu schärfen und eine solide Kultur der Cybersicherheit bei Fresenius zu etablieren. Das verantwortliche Team innerhalb der Konzernfunktion Cybersecurity heißt Culture & Training. Gemeinsam mit dem jeweiligen Risk Domain Manager des Unternehmensbereichs trägt es mit seinen Aktivitäten zur Entwicklung und Vertiefung des persön­lichen Cybersicherheitsbewusstseins der Beschäftigten bei, um eine Verteidigungslinie gegen Cyberangriffe zu bilden. Das Team von Culture & Training bemüht sich um eine unmittelbare Verbreitung von Wissen über neue Trends, führt verschiedene Cybersicherheitsaktivitäten bei Fresenius ein und vermittelt hilfreiche Tipps zur sicheren Nutzung von Geräten im Büro oder zu Hause.

Neben verpflichtenden Schulungen zu den Grundlagen der Cybersicherheit bietet CTAP verschiedene Kurse, Videos und andere Lerninhalte an, z. B. über die verschiedenen digitalen CTAP-Lernplattformen und Intranets. Regelmäßig simulieren wir Phishing-Angriffe, um die richtigen Verhaltensweisen bei einem Verdacht auf Phishing zu verankern. Für die Beschäftigten ermitteln wir eine persönliche Risikokennzahl, die sich aus dem Verhalten bei den Phishing-Tests und der Anzahl absolvierter Cybersicherheitstrainings zusammensetzt. Alle Angebote des CTAP sind auf die spe­zifischen Risiken von Fresenius zugeschnitten und werden in mehreren Sprachen angeboten. Der Erfolg der CTAP-Aktivitäten wird anhand vordefinierter Erfolgskriterien gemessen (z. B. der Klickrate bei gezielten Phishing-Simulationen).

Wir informieren unsere Mitarbeiterinnen und Mitarbeiter kontinuierlich auf unterschiedlichen Kanälen über aktuelle Cyberrisiken und neuartige Cyberbedrohungen. Das Team von Culture & Training nutzt das Wissen aus der täglichen Analyse von Phishing-Versuchen, die in Zusammenarbeit mit dem Cyber Emergency Response Team (CERT) durchgeführt und ausgewertet wird, um neue und maßgeschneiderte Trainingsmodule zu entwerfen oder vorhandene zu aktualisieren.

Meldewege

Vermuten Fresenius-Beschäftigte Cyberbedrohungen, können sie sich an CERT@fresenius.com, CyberAware­@Fresenius.com sowie an alle Mitarbeiterinnen und Mitarbeiter im Aufgabenbereich Cybersecurity wenden. Um die Effizienz zu steigern, können verdächtige Mails über den sogenannten Phish Alert Button gemeldet werden, der eine automatische Analyse durchführt und bei Bedarf das CERT einschaltet. Unser CERT untersucht mögliche Bedrohungen und Vorfälle in unserer IT, in der Produktion und in den Umgebungen unserer Gesundheitseinrichtungen und geht vermuteten Verstößen nach. Bei erkannten bösartigen Phishing-Versuchen werden die Absender blockiert und die Sicherheitsprotokolle entsprechend angepasst.

Audits und Monitoring

Die Internal-Audit-Abteilungen führen unabhängige Prüfungen zur Verbesserung der Effektivität der Risikomanagement-, Kontroll- und Governance-Prozesse in allen Unternehmensbereichen durch. Bei der jährlichen Planung und Umsetzung der Prüfungen werden risikobasiert auch Aspekte von Cybersicherheit berücksichtigt. Die Ergebnisse der Prüfungen werden durch die Konzernfunktion Cyber­security analysiert und nachgehalten und fließen in die kontinuierliche Verbesserung bestehender Maßnahmen ein.

Außerdem führen unabhängige Prüferinnen und Prüfer regelmäßige und umfassende Sicherheitsbewertungen (z. B. Penetrationstests, Sicherheitsüberprüfungen kritischer Systeme) und Zertifizierungsaudits (z. B. ISO 27001, Health Data Hosting – HDS) durch. Die Ergebnisse der Audits bzw. ergänzender Prüfungen werden dahingehend geprüft, ob interne Prozesse angepasst werden müssen. Zusätzlich arbeiten wir mit Unternehmensberatungen und Wirtschafts­prüfungsgesellschaften zusammen, um unsere Cybersicherheitsverfahren zu überprüfen und zu verbessern. Zu kon­kreten Prüfprozessen können wir aus Sicherheitsgründen keine Aussage treffen.

Unsere Ambitionen

GRI 418/3-3

Unser Ziel ist, dass sich unsere Patientinnen und Patienten sowie Kunden immer auf die Cybersicherheit unserer Produkte und Dienstleistungen verlassen können. Das Ziel von Cybersicherheit bei Fresenius ist es daher, den Reifegrad unserer Cybersicherheitsfähigkeiten kontinuierlich zu erhöhen, unsere Resilienz gegenüber Cyberangriffen zu stärken und unsere Cyberrisiken kontinuierlich zu mindern. Wir bewerten die sich stetig ändernde Bedrohungslandschaft, definieren Mindestsicherheitsstandards für all unsere ­Risikodomänen und implementieren gezielt, geeignete risikobasierte und kosteneffiziente Sicherheitsmaßnahmen im Rahmen unseres Cybersicherheitsprogramms CARE. Die Mitglieder des Cybersecurity Boards entwickeln jährlich gezielte Maßnahmen zur Risikominderung, um die Vertraulichkeit, Integrität und Verfügbarkeit unserer digitalen Informationswerte zu schützen – und um die Cybersicherheit unserer IT-, Fertigungs- und Gesundheitseinrichtungen sowie unserer Medizinprodukte kontinuierlich zu verbessern.

Fortschritte und Maßnahmen 2022

GRI 418/3-3

CARE-Programm

Während des gesamten Berichtszeitraums wurden verschiedene CARE-Unterprogramme aufgesetzt, um unser Ziel zu erreichen, den Reifegrad unserer Cybersicherheitsfähigkeiten zu erhöhen, unsere Resilienz gegenüber Cyberangriffen zu stärken und unsere Cyberrisiken kontinuierlich zu ­mindern. Nachfolgend beschreiben wir ausgewählte Fortschritte im Einklang mit der CARE-Programmstruktur:

Implementierung von weiteren grundlegenden Cybersicherheitsmaßnahmen, wie z. B. Stärkung und Standardisierung von Infrastruktur / Netzwerken, Sicherheit von Fernzugriffen, E-Mail-Sicherheit, Applikationssicherheit, erweiterte Kontrollen des Identitäts- und Zugriffsmanagements.

Entwicklung eines maßgeschneiderten Human Risk Models für relevante Musterrollen der Fresenius-Belegschaft, fortgesetzter Rollout von Trainings- und Awareness-Lösungen in allen Konzernbereichen, diverse Kultur-, Schulungs- und ­Aufklärungsinitiativen (z. B. CyberAware-Monat).

Kontinuierliche Automatisierung der ­Prozesse zur Reaktion auf Sicherheitsvorfälle, Erweiterung der Überwachung externer Angriffsflächen, Überwachung der von Dritten ausgehenden Cyberrisiken, formalisierter Austausch von Informationen über Cyberbedrohungen, intern und extern mit Dritten, Aufbau offensiver Cybersicherheitsfähigkeiten, Einführung von konzernweiten Schulungen und Tests zum Vorgehen bei Sicherheitsvorfällen.

Umfassende Bewertung des Reifegrads der Cybersicherheitsfähigkeiten im gesamten Konzern, weitere Verbesserung und Einführung systematischer Kennzahlen, Verfeinerung der Cybersicherheits-Grundanforderungen, strategische Bedrohungsdatenanalyse, Bewertung geltender regulatorischer Anforderungen, bereichsspezifische Risiko­behandlungspläne, CARE-Programm-Charter. Kritische Informationswerte: Identifizierung und Bewertung geschäftskritischer Informationswerte, Initiierung und Implementierung erweiterter Sicherheitsmaßnahmen.

Umsetzung eines koordinierten Prozesses zur Offenlegung von Schwachstellen und Integration in die Fresenius-Website.

Planung und Initiierung umfangreicher Implementierungsprojekte zur Verbesserung von Cyber­sicherheitsmaßnahmen, z. B. netzwerkseitige Trennung von Fertigungs- und IT-Umgebungen.

Integration von Cybersicherheit in das Business Continuity Management und Implementierung von verbesserten Cybersicherheitsmaßnahmen, etwa durch die Überwachung von Netzwerken in Gesundheitseinrichtungen.

Verbesserung durch Training

Im Jahr 2022 wurden Schulungen und Sensibilisierungsaktionen beispielsweise zu neuen Phishing-Methoden durch­geführt und mithilfe zahlreicher Artikel schwerpunktmäßig an der Verbesserung des Grundlagenverständnisses über Cybersicherheit gearbeitet. Während des letzten Cyber­Aware-Monats, der jährlich im Oktober stattfindet, haben wir eine deutliche Verbesserung des Engagements unserer Mitarbeiterinnen und Mitarbeiter verzeichnen können. Die von 2020 bis 2022 durchgeführten Phishing-Tests zeigten, dass die intensiven Schulungsaktivitäten das Sicherheitsbewusstsein der Beschäftigten geschärft haben. Nach dem Anheben des Schwierigkeitsgrades im vergangenen Jahr und der damit verbundenen anfänglichen Verschlechterung der Phishing-Quote haben weitere Schulungen ­seither zu einer stetigen Verbesserung geführt. Auch die Meldequote bei Phishing-Tests hat sich stetig verbessert. Über die Ergebnisse informieren wir die jeweiligen Beschäftigten individuell und unmittelbar in einem persönlichen Dashboard. Weitere Informationen werden regelmäßig auf Konzernebene in unserem Intranet bereitgestellt.

Evaluation

GRI 418/3-3, 418-1

Im Einklang mit einem definierten Kennzahlensystem für Cybersicherheitskennzahlen haben wir eine Vielzahl an Effektivitätskennzahlen bestimmt und ausgerollt. In diesem Kennzahlensystem dienen die Effektivitätskennzahlen der Bestimmung, ob Sicherheitskontrollen wie beabsichtigt funktionieren und die gewünschten Ergebnisse erzielen. Dies hilft uns dabei, potenzielle Cybersicherheitsrisiken zu erkennen und Klarheit darüber zu gewinnen, wie gut wir auf Cyberangriffe oder deren Abwehr vorbereitet sind, indem wir Frühindikatoren (z. B. durchschnittliche Klickrate bei Phishing-Simulationen) sowie Spätindikatoren (z. B. die durchschnittliche Dauer bis zur Behebung von Vorfällen) miteinander kombinieren. Die eingeführten Kennzahlen werden in allen relevanten Risikodomänen des Konzerns erfasst und regelmäßig an das Cybersecurity Board und das CARE Steering Committee gemeldet sowie in einer Scorecard visualisiert, die das Cybersicherheitsmanagement bei der Steuerung der Cybersicherheitsinitiativen bei Fresenius unterstützt. Die Scorecard wird ebenso an relevante Interessengruppen, wie den Vorstand und den Aufsichtsrat, kommuniziert, um größere Transparenz hinsichtlich der Gesamtrisikobelastung durch Cyberbedrohungen zu schaffen und Entscheidungsprozesse zu unterstützen.

Insgesamt deuten unsere Resilienz-Kennzahlen darauf hin, dass im Berichtszeitraum nur wenige schwere Vorfälle eingetreten sind. Aus Konzernsicht hatten diese keine wesentlichen Auswirkungen auf unsere Geschäftsabläufe.

Wir sehen davon ab, spezifische Einzelheiten in Bezug auf Cybersicherheit in externen Berichten darzulegen, um gezielte Angriffe auf unsere Infrastruktur zu vermeiden.