Wenn Sicherheit kein Thema ist – wird sie zum Risiko
In Kliniken ist das Thema „Sicherheit“ für die meisten Mitarbeitenden – ob im Pflegedienst, in der Technik oder Verwaltung – kein Teil des beruflichen Alltags. Die Aufmerksamkeit liegt verständlicherweise auf Patientenversorgung, Funktionserhalt und operativer Organisation. Sicherheitsdenken, wie es in Industrieanlagen oder Behörden längst zum Standard gehört, ist in vielen Krankenhäusern nicht verankert – weder im Bewusstsein noch in den Abläufen.
Die meisten Beschäftigten in einem Klinikum haben nie eine systematische Sicherheitsunterweisung erhalten.
Begriffe wie Zutrittsberechtigung, Täterprofile, Rollentäuschung oder manipulative Handlungen sind ihnen weitgehend fremd.
Das ist kein persönliches Versäumnis – sondern ein strukturelles.
Denn über Jahrzehnte galt das Krankenhaus als „offenes System“ – ein Ort des Vertrauens, nicht des Verdachts.
Doch genau das macht es heute besonders anfällig. Mit dem KRITIS-Dachgesetz, das für Kliniken als kritische Infrastrukturen verbindliche Anforderungen an Sicherheit und Resilienz festlegt, ändert sich diese Ausgangslage grundlegend.
Wo früher Routine war, muss künftig Sicherheitsbewusstsein herrschen.
Und wo bisher auf Vertrauen gebaut wurde, braucht es klare Prozesse, Nachweise und Kontrolle.
Ein realer Vorfall zeigt exemplarisch, wie gravierend die Folgen ausbleibender Sicherheitskultur sein können – ganz ohne Gewalt, einfach durch Täuschung und Systemlücken.
Das Szenario: Der vermeintliche Servicetechniker
Ein Mann meldet sich am späten Vormittag an der Klinikpforte. Er trägt eine Jacke mit dem Logo der Stadtwerke, nennt einen Ansprechpartner und gibt an, eine planmäßige Wartung in der Wasserversorgungszentrale durchführen zu müssen. Die Anmeldung informiert den technischen Dienst, der aufgrund der Routine nicht weiter prüft. Der Mann erhält eine elektronische Zutrittskarte – mit Zugriff auf alle technischen Infrastruktur-Räume im Haus.
Ein Mitarbeiter begleitet ihn zur Wasserversorgung – der zugewiesene Einsatzort. Nach einem kurzen Gespräch und dem Start seiner „Arbeiten“ lässt man ihn allein zurück.
Tatsächlich ist der Mann kein echter Techniker, sondern ein Täter, der gezielt Zugang zu den Versorgungssystemen erschleichen wollte. Während er unbeobachtet arbeitet, öffnet er mit seiner Karte auch die benachbarte Klima- und Lüftungszentrale und manipuliert dort eine Steuerungseinheit. Der Sabotageeffekt ist zeitverzögert: Erst nach etwa 90 Minuten fällt die komplette Lüftungsversorgung aus.
Erst als mehrere OP-Säle nicht mehr belüftet werden können und die Klimatisierung auf Isolierstationen versagt, schlägt das System Alarm.
Der Täter ist da längst verschwunden.
Analyse: Wo das System versagt hat
| Schwachstelle | Beschreibung |
|---|---|
| Keine Prüfung der Identität | Der Täter wurde auf Basis von Auftreten und Kleidung akzeptiert – ohne Dokumentations- oder Ausweiskontrolle. |
| Unkritische Zutrittsvergabe | Die ausgestellte Zutrittskarte ermöglichte Vollzugriff – anstatt auf den konkreten Einsatzort beschränkt zu sein. |
| Keine Begleitung im sensiblen Bereich | Nach kurzer Einweisung wurde der externe „Techniker“ alleine gelassen – ohne Aufsicht. |
| Keine Innenüberwachung | Weder Kameras noch Bewegungsmelder erfassten die Manipulation. |
| Verzögerte Auswirkung – verzögerte Reaktion | Die Sabotage war bewusst so angelegt, dass sie erst nach Stunden sichtbar wurde – die Täteridentifikation war zu spät. |
Das strukturelle Problem: Vertrauen ersetzt keine Sicherheitsstrategie
Dieser Vorfall verdeutlicht ein Muster, das in vielen Kliniken anzutreffen ist:
-
Zutritt wird nach Bedarf vergeben – nicht nach Rollenprofil.
-
Technische Infrastrukturbereiche gelten als „sicher“, da sie selten betreten werden.
-
Externe mit technischem Auftreten werden nicht kritisch hinterfragt.
-
Es fehlt ein Bewusstsein für das Manipulationspotenzial im Inneren.
Mit dem KRITIS-Dachgesetz ist dieses Verhalten nicht nur risikobehaftet – sondern rechtswidrig. Denn Kliniken müssen nachweislich in der Lage sein, physische wie digitale Angriffe zu verhindern, frühzeitig zu erkennen und deren Auswirkungen zu minimieren.
Empfehlungen zur Stärkung der Sicherheit in Technikbereichen
1. Zutritt nur mit Legitimation und Rollenprofil
-
Keine Karten mit Vollzugang
-
Zutritt auf Raum und Zeit beschränken („Need-to-access“)
-
Bewegungsprotokolle bei Fremdfirmen verpflichtend
2. Begleitpflicht für externe Dienstleister
-
Kein unbeaufsichtigter Aufenthalt in Versorgungszentralen
-
Kontrollprotokolle: Wer hat was gemacht – wann – mit wem?
3. Raumüberwachung und Manipulationserkennung
-
Präsenzsensorik in technischen Räumen
-
Sofortalarm bei ungewöhnlicher Türöffnung oder Manipulation
-
Kopplung von Zutrittsprotokoll mit Live-Überwachung (z. B. Alarm auf Smartphone/Pager)
4. Sensibilisierung des technischen Personals
-
Schulung zu Täterverhalten und sozialen Manipulationstechniken
-
Einführung einer Eskalationsregel: „Lieber einmal zu viel stoppen als einmal zu wenig.“
-
Standardisierte Übergabeprozesse und Rückmeldungen bei Dienstende
Fazit: Der Täter nutzte keine Lücke im Gebäude – sondern im Denken
Der Vorfall mit dem falschen Techniker war kein Zufall – sondern das logische Ergebnis eines Systems, in dem Vertrauen, Gewohnheit und fehlende Schulung gefährliche Allianzen eingehen.
Wo keine Sicherheitskultur herrscht, genügt eine einfache Täuschung, um kritische Systeme zu kompromittieren.
Mit dem KRITIS-Dachgesetz gibt es keine Ausrede mehr für fehlende Prozesse. Kliniken tragen Verantwortung – für Menschenleben, Versorgungssicherheit und Betriebskontinuität. Und diese beginnt nicht an der Schranke, sondern im Inneren der Organisation – beim Denken, Handeln und Entscheiden jedes Einzelnen.