Die digitale Transformation ist für uns als einen der führenden Gesundheitskonzerne ein Wegbereiter für unser weltweites Geschäft. Denn die innovativen technologischen und therapeutischen Ansätze verbessern die Behandlungspfade unserer Patientinnen und Patienten. Fresenius digitalisiert kontinuierlich seine Prozesse, erschließt mit digitalen Produktlösungen neue Märkte und berücksichtigt dabei stets die Cyberrisiken, die damit verbunden sind.

Unsere Ziele und Ambitionen

Es ist unsere Ambition, dass sich sowohl Patientinnen und Patienten als auch Kunden auf die Cybersicherheit unserer Produkte und Dienstleistungen verlassen können. Unsere Stakeholder setzen großes Vertrauen in die Cybersicherheit unserer Produkte und Dienstleistungen. Wir streben permanent danach, ihre Erwartungen zu erfüllen, indem wir unsere Resilienz gegenüber Cyberangriffen stärken, unsere Cyberrisiken reduzieren und so Schäden von unseren Patientinnen und Patienten, Kunden oder dem Unternehmen abwenden.

Dafür bewerten wir die sich stetig ändernde Bedrohungslandschaft, definieren Mindestsicherheitsstandards für all unsere Risikodomänen und implementieren geeignete risikobasierte und kosteneffiziente Sicherheitsmaßnahmen. Der Fresenius-Konzern hat eine Cybersicherheitsstrategie bis 2025 verabschiedet, die Ziele für den Konzern sowie für die einzelnen Geschäftsbereiche festlegt. Die wesentlichen Fokusbereiche sind die Reduktion der Risiken, die Erhöhung der Resilienz gegenüber Cyberangriffen, die Vereinheitlichung der Organisation, Prozesse und Technologien, sowie die Verbesserung des konzernweiten Reifegrads.

Unser Ansatz

Im Fresenius-Konzern verfolgen wir für das Management von Cybersicherheit einen ganzheitlichen Ansatz. Dazu bringen wir Entscheiderinnen und Entscheider aus den Cybersicherheits-Fachbereichen mit verantwortlichen Personen aus den Fach- und Unternehmensbereichen zusammen, um eine gemeinschaftliche Vorgehensweise zu entwickeln, die im Einklang mit unseren strategischen Zielen steht. Der Kern unseres Ansatzes besteht darin, ein angemessenes Schutzniveau zu ermitteln, bei dem der Mehrwert der Cybersicherheit und die Anforderungen des Unternehmens sowie die Kosten in einem ausgewogenen Verhältnis zueinanderstehen.

Wir steuern unsere Aktivitäten auf der Grundlage von Reifegradbewertungen und Cyberrisikoanalysen, die uns dabei helfen, die wichtigsten Maßnahmen zur Risikominderung zu priorisieren und sowohl den Fortschritt als auch die Wirksamkeit der umgesetzten Maßnahmen anhand unseres CARE-Programms (Cybersecurity Approach, Roadmap and Execution) sorgfältig zu überwachen.

Der Chancen- und Risikobericht enthält im Abschnitt Risikofelder weitere Informationen zu Cybersicherheit und den Auswirkungen auf das Risikomanagement bei Fresenius im Jahr 2023.

Organisation und Verantwortlichkeiten

Die Chief Financial Officer (CFO) im Konzernvorstand beaufsichtigt die Cybersicherheits-Governance und erhält direkten Bericht – wöchentlich und nach Bedarf – vom Group Head of Cybersecurity. Dieser fungiert als konzernweiter Chief Information Security Officer (CISO), trägt die Gesamtverantwortung für die Governance der Cybersicherheit innerhalb des Fresenius-Konzerns und leitet das Group Cybersecurity Office (GCSO). In dieser Funktion legt er die konzernweite Cybersicherheitsstrategie fest und koordiniert sie mit den jeweiligen Cybersicherheitsverantwortlichen, um ein einheitliches Vorgehen in allen Unternehmensbereichen zu gewährleisten. Der Group Head of Cybersecurity erstattet vierteljährlich dem Konzernvorstand und mindestens einmal jährlich dem Aufsichtsrat Bericht.

Das GCSO steuert die Cybersicherheit innerhalb des Fresenius-Konzerns. Es stellt sicher, dass die Cybersicherheitsaktivitäten auf Konzernebene ganzheitlich betrachtet und koordiniert werden, legt die Mindestanforderungen fest und überwacht deren Erfüllung. Außerdem kontrolliert es, dass die Maßnahmen zur Risikobekämpfung umgesetzt werden. Bei Bedarf berät und unterstützt das GCSO die Unternehmensbereiche in ihren Aktivitäten.

Innerhalb des Konzerns ergänzen übergreifende Gremien die bestehende Organisationsstruktur. Das Cybersecurity Board tagt monatlich. Es sichert den Austausch über konzernweite Cybersicherheitsangelegenheiten, definiert Kriterien zur Bewertung und Überwachung der Entwicklung der Cybersicherheit und überprüft Fortschritte sowie Ergebnisse von Cybersicherheitsmaßnahmen und -projekten. Das Cybersecurity Board überwacht die Anwendung und Umsetzung der konzernweiten Cybersicherheitsrichtlinien. Es überprüft, dass die Mindestanforderungen der Maßnahmen zur Risikobekämpfung eingehalten werden.

Die zuständigen Vorstandsmitglieder der Unternehmensbereiche kommen quartalsweise im Cybersecurity Steering Committee, zuvor CARE Steering Committee, zusammen. Das Steering Committee hat formell eine CARE Governance Charta verabschiedet, in der die strategische Ausrichtung, der Geltungsbereich und die Zuständigkeiten des CARE-Programms seinerzeit festgelegt wurden.

Demzufolge fungiert das Cybersecurity Steering Committee als Governance-Gremium sowie als Eskalations- und Entscheidungsinstanz für diverse übergeordnete Maßnahmen. Darunter fallen z. B. solche zur Identifizierung und zum Schutz kritischer, äußerst relevanter Informationswerte oder solche für eine optimierte Entwicklung einer angemessenen Cybersicherheitsstruktur.

Auf Ebene der Unternehmensbereiche bestehen dort Cybersicherheitsversicherungen, wo sie auf dem Versicherungsmarkt verfügbar waren, und gesetzt dem Fall, dass sie die Risiken geeignet abdecken. Im Berichtsjahr wurde eine Cybersicherheitsversicherung auf Konzernebene erneut evaluiert, jedoch nicht abgeschlossen, da der Transformationsprozess #FutureFresenius zu strukturellen Veränderungen im Konzern führt. Darüber hinaus gibt es Zertifizierungen für unser Informationssicherheitsmanagementsystem auf Konzern- und Bereichsebene, z. B. nach ISO / IEC 27001.

Wir bewerten regelmäßig die strategischen Cybersicherheitsrisiken entlang der Wertschöpfungskette. Im Rahmen dieser halbjährlichen Bewertungen analysieren wir die Entwicklung der Cyberbedrohungslage, um unsere Maßnahmen zur Cybersicherheit abzuleiten und unsere Risiken wirksam zu mindern.

Im Zuge der konzernweiten Transformation #FutureFresenius hat der Konzernvorstand im Einklang mit der Konzern- und Cybersicherheitsstrategie eine Weiterentwicklung der Aufbauorganisation der Cybersicherheit ab dem 4. Quartal 2023 beschlossen. Der Fokus liegt hierbei auf der Stärkung der Cybersicherheitsfunktionen in den Unternehmensbereichen und auf Konzernebene sowie darauf, die Ablauforganisation zu vereinheitlichen.

Sicherheitskonzept

Um die konzernweite Cybersicherheit und die damit verbundenen Risiken zu managen, haben wir fünf Risikodomänen festgelegt. Sie werden von den jeweiligen Risk Domain Managern gesteuert. Mit Unterstützung des GCSO bilden die Risk Domain Manager sogenannte Special Interest Groups (SIGs), die auf der Grundlage von Best Practices die Anforderungen an die Cybersicherheit definieren und die Risikomanagementaktivitäten koordinieren. Die Risk Domain Manager fördern den Kompetenz- und Wissensaustausch in allen Cybersicherheitsbereichen innerhalb des Konzerns. Das Sicherheitskonzept sowie die Risikodomänen haben sich im Vergleich zu 2022 nicht verändert.

Unser Cybersicherheitsrahmenwerk (Cybersecurity Policy Framework) besteht aus einer Reihe von Richtlinien, Anforderungen und Verfahren. Es bildet die gemeinsame Basis für Cybersicherheit in allen Unternehmensbereichen und Konzernfunktionen. Innerhalb dieses Konstrukts bilden die Schutzbedarfsanforderungen der Vertraulichkeit, Integrität und Verfügbarkeit von digitalen Informationen, Technologien und Systemen die zentrale Zielsetzung der Cybersicherheitsbestrebungen von Fresenius entlang der Risikodomänen. Im Jahr 2023 hat das GCSO zusammen mit den Unternehmensbereichen zusätzliche Cybersicherheitsanforderungen in verschiedenen Bereichen definiert und verabschiedet, die das bestehende Rahmenwerk ergänzen.

Im Einklang mit einem definierten System für Cybersicherheitskennzahlen haben wir in den letzten Jahren eine Vielzahl an Effektivitätskennzahlen ausgerollt. Mit diesen Kennzahlen überprüfen wir, ob Sicherheitskontrollen wie beabsichtigt funktionieren. Dies hilft uns dabei, potenzielle Cybersicherheitsrisiken zu erkennen und Klarheit darüber zu gewinnen, wie gut wir auf Cyberangriffe oder deren Abwehr vorbereitet sind. Die Kennzahlen werden in allen relevanten Risikodomänen des Konzerns erfasst und regelmäßig an das Cybersecurity Board und das Cybersecurity Steering Committee gemeldet. Darüber hinaus werden sie in einer Scorecard visualisiert, die das Cybersicherheitsmanagement bei der Steuerung der konzernweiten Cybersicherheitsinitiativen unterstützt. Die Scorecard wird auch an relevante Interessengruppen, wie den Konzernvorstand und den Aufsichtsrat, kommuniziert.

Unser Hauptziel ist es, die Materialisierung von Cyberrisiken zu verhindern. Hier machen sich unsere Investitionen in die Früherkennung von Cyberbedrohungen bezahlt. Wiederkehrende Analyse- und Abwehrprozesse werden automatisiert, damit wir noch effizienter auf Vorfälle reagieren können. Jeder Vorfall wird gründlich untersucht, um zusätzliche Maßnahmen zur Verbesserung unserer allgemeinen Sicherheit abzuleiten.

Schulungen

Bei Fresenius streben wir danach, ein menschenzentriertes Risikomodell zu etablieren und dies mit unserem bereits implementierten Cybersecurity Training & Awareness Program (CTAP) zu kombinieren. Wir wollen das Wissen über neue Trends unmittelbar verbreiten. Dazu führen wir verschiedene Cybersicherheitsaktivitäten ein und vermitteln hilfreiche Tipps zur sicheren Nutzung von Geräten im Büro oder zu Hause.

Neben verpflichtenden Schulungen zu den Grundlagen der Cybersicherheit bietet das CTAP verschiedene Kurse, Videos und andere Lerninhalte an, z. B. über die verschiedenen digitalen CTAP-Lernplattformen und Intranets. So simulieren wir etwa regelmäßig Phishing-Angriffe, um die richtigen Verhaltensweisen bei einem Verdacht auf Phishing zu verankern. Für alle in diesen Schulungen eingeschriebenen Beschäftigten ermitteln wir eine persönliche Risikokennzahl, die sich aus dem Verhalten bei den Phishing-Tests und der Anzahl absolvierter Cybersicherheitstrainings zusammensetzt. Alle Angebote des CTAP sind auf die spezifischen Risiken von Fresenius zugeschnitten und werden in mehreren Sprachen angeboten. Der Erfolg der CTAP-Aktivitäten wird anhand vordefinierter Erfolgskriterien gemessen (z. B. der Klick- und Melderate bei gezielten Phishing-Simulationen).

Wir informieren unsere Mitarbeiterinnen und Mitarbeiter auf unterschiedlichen Kanälen über Cyberrisiken und neuartige Cyberbedrohungen. Dabei nutzen wir das Wissen aus der täglichen Analyse von z. B. Phishing-Versuchen, die das Cyber Emergency Response Team (CERT) durchführt und auswertet. Mit ihrer Hilfe können wir maßgeschneiderte Awareness-Inhalte entwerfen und Trainingskampagnen ausrollen.

Im Jahr 2023 wurden 73 neue Trainingsmodule für rund 179.000 der Beschäftigten angeboten. Dabei waren 25 % der Trainings verpflichtend. Der Trainingsfokus im Berichtsjahr lag auf der Sensibilisierung von Beschäftigten für Social Engineering, Phishing, neue Bedrohungen im Rahmen der Nutzung von Mobilgeräten, Acceptable Use Policy und der Stärkung von fundamentalem Cybersecurity-Wissen. Im Durchschnitt wurden 6,7 simulierte Phishing-Versuche per E-Mail an Beschäftigte verschickt. Insgesamt konnten 88 % der Beschäftigten unsere Phishing-Simulationen erfolgreich erkennen. Kontinuierliches Training zu Cybersecurity ist auch Bestandteil der variablen Vergütung aller Beschäftigten, die am Erfolgsbeteiligungsprogramm SHARE von Fresenius teilnehmen. Das Programm wird im Kapitel Beschäftigte erläutert.

Meldewege

Vermuten Fresenius-Beschäftigte Cyberbedrohungen, können sie sich an CERT@fresenius.com, CyberAware@Fresenius.com sowie an alle Mitarbeiterinnen und Mitarbeiter im Aufgabenbereich Cybersecurity wenden. Um die Effizienz zu steigern, können verdächtige Mails über den sogenannten Phish Alert Button gemeldet werden, der eine automatische Analyse startet und bei Bedarf das CERT einschaltet. Unser CERT untersucht mögliche Bedrohungen und Vorfälle in unserer IT, der Produktion sowie den Umgebungen unserer Gesundheitseinrichtungen und geht vermuteten Verstößen nach. Bei erkannten bösartigen Phishing-Versuchen werden die Absender blockiert und die Sicherheitsprotokolle entsprechend angepasst.

Insgesamt deuten unsere Resilienz-Kennzahlen darauf hin, dass im Berichtszeitraum nur wenige schwere Vorfälle eingetreten sind. Aus Konzernsicht hatten diese keine wesentlichen Auswirkungen auf unsere Geschäftsabläufe.

Wir sehen davon ab, spezifische Einzelheiten in Bezug auf Cybersicherheit in externen Berichten darzulegen, um gezielte Angriffe auf unsere Infrastruktur zu vermeiden.

Audits und Monitoring

Die Abteilungen der Internen Revision führen unabhängige Prüfungen zur Verbesserung der Effektivität der Risikomanagement-, Kontroll- und Governance-Prozesse in der Fresenius SE & Co. KGaA und in den Gesellschaften der Unternehmensbereiche durch. Dies erfolgte ebenfalls im Jahr 2023. Hierbei werden risikoorientiert auch Maßnahmen im Bereich Cybersecurity wie Richtlinien und Verfahren sowie deren Implementierung berücksichtigt. Im Jahr 2023 hat die interne Revision neun Prüfungen mit dem Schwerpunkt Information Security durchgeführt.

Werden Schwachstellen im Rahmen der Prüfungen identifiziert, wird die Umsetzung der durch das Management festgelegten Abhilfemaßnahmen durch die Interne Revision im Rahmen der quartalsweisen Nachschaubetrachtungen überwacht. Für Feststellungen mit hohem Schadenspotenzial erfolgt die erste Nachschaubetrachtung bereits nach zwei Monaten.