Per E-Mail für Sie da

Themenbereiche:

Produktinfo Beratung Service und Support Allgemein

Wie möchten Sie kontaktiert werden?

E-Mail Telefon

Ihre Kontaktdaten:

Frau Herr

Bitte beachten Sie unsere Datenschutzbestimmungen.

Firmensitz Deutschland

VISUS Health IT GmbH
Gesundheitscampus-Süd 15
D-44801 Bochum

TEL +49 234 93693-0
FAX +49 234 93693-199

info(at)visus.com
www.visus.com

Anfahrt: Link zur Skizz

19.05.2026 • Intern

Mehr Sicherheit durch ISO

Dank der jüngsten Zertifizierung gemäß ISO/IEC 27001 können wir ein hohes Maß an Informationssicherheit nachweisen – und unsere Cloud-Strategie auf regulatorisch sicherem Fundament vorantreiben.

Die Idee, die eigenen Prozesse regelmäßig von unabhängigen Expertinnen und Experten überprüfen zu lassen, hat bei uns eine lange Tradition. Schon als Dr. Axel Schreiber im Dezember 2011 zu uns stieß, gab es Audits und Zertifizierungen. Als Bereichsleiter Process und agile Services war er mit seinem Team auch für die jüngste Zertifizierung gemäß ISO/IEC 27001 zuständig. Ende 2023 hatte das Team mit der Arbeit begonnen – mit der Erteilung des Zertifikats Mitte März haben wir nun einen weiteren Meilenstein erreicht.

Von Clean Desk bis Cyber Security

Landläufig assoziiert man die ISO/IEC 27001 mit dem Megathema Cyber Security. Tatsächlich begreift sie Informationssicherheit aber in einem um fassenden Sinne, erklärt Axel Schreiber. „Es geht ganz generell darum, dass Informationen dann verfügbar sind, wenn man sie braucht, dass sie korrekt sind und nur von den Personen eingesehen werden können, die dazu auch berechtigt sind.“

Gemäß diesen drei Kriterien – Verfügbarkeit, Integrität, Vertraulichkeit – definierten Axel Schreiber, Qualitätsmanagerin Arngard Libera und Dr. Andreas Barbian, Bereichsleiter Development, DevOps & Infrastructure zunächst rund 80 Assets im Unternehmen. Daraus leiteten sie mehr als 130 Risiken ab: vom Brand im Serverraum über einen Hackerangriff bis zum Diebstahl physischer Unterlagen vom Schreibtisch. Aus den identifizierten potenziellen Gefahren wurde ein detaillierter Maßnahmenkatalog abgeleitet. Dieser definiert einige hundert konkrete Regelungen, etwa was die Neuregelung von Zugriffsrechten, die Reorganisation von Akten oder die Umsetzung einer „Clean Desk Policy“ angeht. Für die Cybersicherheit der Produkte war nicht mehr so viel zu tun, weil die dafür notwendigen Vorgehen und Prüfungen in der Entwicklung schon länger etabliert waren.

Der erfreuliche Effekt: Schon im Prozess „haben wir unsere Kolleginnen und Kollegen für das Thema Informationssicherheit stark sensibilisiert“. Schulungen und Town Halls, eine neu aufgelegte Informationssicherheitsleitlinie, Begehungen von Büros und zahlreiche informelle Gespräche – all dies hat dazu geführt, dass das Bewusstsein für Sicherheit mehr denn je in der gesamten Belegschaft verankert ist.

Externe Audits als Vehikel zur Verbesserung

Die Umsetzung der ISO/IEC 27001 ist damit das jüngste Beispiel dafür, dass Audits und Zertifizierungen für uns noch nie ausschließlich marktgetrieben waren, sondern immer auch als Vehikel für Qualitätsverbesserungen dienten. So war es bereits bei der Zertifizierung nach ISO 9001 in Bezug auf Qualitätsmanagementsysteme (QMS): Da wir für die strengere ISO 13485, die den Standard für QMS in der Medizinprodukteindustrie setzt, bereits zertifiziert waren, hätten wir auf die ISO 9001 verzichten können. Doch bewusst entschieden wir uns für die 9001-Zertifizierung, damit das QMS auch für Nicht-Medizinprodukte regelmäßig und unabhängig von externen Auditoren überwacht wird. Das hatten schon die Unternehmensgründer Jörg Holstein und Klaus Kleber entschieden, weil sie „einfach ein Interesse daran hatten, die Dinge gut und im Laufe der Zeit immer besser zu machen“, sagt Axel Schreiber.

Diese Haltung gilt unverändert, und so sei auch der Hintergrund für die jüngste Zertifizierung „multifaktoriell“. Zum einen hatten wir das Thema Cyber Security schon länger priorisiert, erst recht angesichts der zunehmenden Bedeutung von Cloud Services. Konkret wurde es, als wir eine Ausschreibung mit der Zusage auf die Erfüllung der Norm gewannen. Was damals noch nicht bekannt war: Kurz darauf schuf der Gesetzgeber eine neue Grundlage für Cloud-Computing-Dienste im Gesundheitswesen. Seit Juli 2024 ist für sie der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Cloud Computing Compliance Criteria Catalogue (kurz C5) verbindlich. „Und das erste der über 100 geforderten Kriterien verlangt die Umsetzung der ISO 27001.“

Mit der jüngsten ISO-Zertifizierung haben wir nun gleich mehrere Fliegen mit einer Klappe geschlagen: Wir haben die Marktposition verbessert, unsere Cloud-Strategie regulatorisch abgesichert – und vor allem unsere Prozesse und damit letztlich die Produkte verbessert. Für Axel Schreiber sorgen solche Erfolge immer wieder für ein beruhigendes Gefühl: „Es ist schließlich unsere moralische Pflicht, die Daten unserer Kunden zu schützen. Denn am Ende sind es ja Patientendaten.“