Es geht um über 20 000 Endpunkte vom Laptop bis zum virtuellen Server in mehr als 50 Kliniken und an mehr als 80 Orten. Konzernweit führt Sana eine Cybersecurity-Lösung der Lidl-Schwester Schwarz Digits ein. Was sich CISO Sascha Fröhlich davon verspricht.

Schwachstellen zu suchen, gehört zu seinem täglichen Geschäft. Sie lauern überall in den IT-Systemen, und ständig kommen neue hinzu. Der Wettlauf, zu dem Sascha Fröhlich angetreten ist, endet nie – da kommt zusätzliche Hilfe gerade recht. Mit seinem Team rollt der Chief Information Security Officer (CISO) der Sana Kliniken derzeit konzernweit eine neue Cybersecurity-Lösung aus.

Die Dimension ist beachtlich – es geht um mehr als 20 000 Endpunkte vom Laptop bis zum (virtuellen) Server in mehr als 50 Kliniken und an insgesamt mehr als 80 Orten in der Republik. Sie alle sollen fortan mit XM Cyber präventiv geschützt werden.

Schwachstellen werden visualisiert und priorisiert

„Wir reden nicht von aktiver Verteidigung, sondern von einer reinen Simulation“, erklärt Fröhlich im Gespräch mit kma. Die Lösung prüft kontinuierlich, wo die größte Bedrohung ist, und nimmt dafür den Blick eines Hackers ein. Sie spielt mögliche Angriffe durch, visualisiert die Schwachstellen und priorisiert sie nach ihrer Bedeutung. Die entscheidende Frage: Kann ein Angreifer diese Schwachstelle in einem konkreten Zusammenhang nutzen, um über sie ein kritisches System zu kompromittieren?

„So werden sämtliche Server und Clients sowie alle Cloud-Komponenten mit Blick auf ihren Sicherheitsstatus bewertet und bekommen einen Security-Score“, erklärt Fröhlich. Dieser Score wird für jede einzelne Klinik sowie für den Gesamtkonzern ermittelt. Er ist die Grundlage dafür, welche Maßnahmen zuerst ergriffen werden, um die Systemlandschaft zu schützen.

Strategische Partnerschaft mit Schwarz Gruppe

Für den Deal geht Sana eine auf mehrere Jahre angelegte strategische Partnerschaft mit der Schwarz Gruppe ein. Die wird meist vor allem mit ihren Lebensmittel-Handelsketten Lidl und Kaufland assoziiert, hat sich aber auch im IT-Sektor zu einem relevanten Anbieter entwickelt. Die IT- und Digitalsparte Schwarz Digits arbeitet nicht nur gruppenintern, sondern bietet ihre Dienstleistungen auch externen Kunden an.

XM Cyber ist ein Kernstück des Bereichs, der mittlerweile acht eigene Marken umfasst. Firmen wie der Hamburger Hafen, der Maschinenbauer Dürr oder der Kunststoffverarbeiter Röchling zählen zu den Kunden der Cybersecurity-Lösung. Darüber hinaus hat Schwarz Digits mit StackIT einen eigenen deutschen Cloud-Provider im Portfolio und geht damit in den Konkurrenzkampf mit Amazon Web Services (AWS) und anderen großen Playern wie Microsoft.

Schwarz Digits

In ihrer 2023 gegründeten Tochter Schwarz Digits hat die Schwarz Gruppe ihr gesamtes IT-Engagement gebündelt. Aktuell vereint die Sparte, die rund 8000 Beschäftigte hat, neben XM Cyber auch die Marken Schwarz IT, Schwarz Digital, StackIT, Kaufland e-commerce, Lidl e-commerce, Schwarz Media und mmmake.

Die technische Infrastruktur für StackIT, auf der auch XM Cyber läuft, befinde sich ausschließlich in Deutschland und Österreich, betont das Unternehmen. Alle Daten werden ausschließlich in diesen beiden Ländern gespeichert und verarbeitet. „Zudem sind StackIT und XM Cyber C5-testiert“, erklärt Sales Director Stephan Rosche: „Es sind alle Vorkehrungen getroffen, um auch besonders sensible Patientendaten sicher zu hosten.“

Gemeinschaftsprojekt in Neckarsulm

Die jüngste IT-Kooperation mit Sana ist aus einem Gemeinschaftsprojekt im schwäbischen Neckarsulm entstanden, dem Hauptsitz der Schwarz Gruppe. Dort betreibt der Klinikkonzern seit kurzem ein MVZ, das insbesondere den Schwarz-Beschäftigten Gesundheitsdienstleistungen anbietet und auch bei ihrer arbeitsmedizinischen Betreuung eine zentrale Rolle spielen soll.

Die Kooperation markiere für Sana „einen wichtigen Meilenstein als Gesundheitsdienstleister für Unternehmenskunden“, erklärte Sana-CEO Thomas Lemke bei der MVZ-Eröffnung Ende Dezember 2024. Die Räume und die Medizintechnik werden von einer Schwarz-Immobilientochter vermietet. 

Durch die Priorisierung schützen wir die wirklich schwächsten Stellen.

Die Digital-Sparte wiederum simuliert mit XM Cyber künftig auch bei Sana ganz unterschiedliche IT-Bedrohungsszenarien mit bekannten Angriffstechniken, damit Sascha Fröhlichs Team am Ende die aus technischer Sicht schwächsten Punkte im Konzern erkennt. Mit dem Wissen kann der CISO die nächsten Tickets für Gegenmaßnahmen vergeben lassen und seine begrenzten Ressourcen gezielt darauf fokussieren.

Statt zu versuchen, möglichst alle erkannten Sicherheitslücken zeitnah zu schließen, soll sich das IT-Team künftig auf jene konzentrieren, denen XM Cyber die größten Gefahren zuschreibt. Jene Punkte also, über die sich Hacker in Kombination mit weiteren Schwachstellen Stück für Stück zu den wertvollsten Teilen der Sana-IT vorhangeln könnten. In einem Konzern jedes System perfekt schützen zu wollen, sei unrealistisch, betont Fröhlich. „Durch die Priorisierung schützen wir die wirklich schwächsten Stellen und können unser Gesamtsicherheitsniveau signifikant steigern.“

IT-Verantwortliche in den Häusern werden entlastet

Der Ansatz, durch die Neuanschaffung so umfassend die IT-Sicherheit des gesamten Konzerns im Blick zu haben, ist neu bei Sana. Durch den Prozess des sogenannten „Continous Exposure Management“ werden die IT-Verantwortlichen in den einzelnen Häusern jetzt ein Stück weit entlastet. Ein nicht installiertes Update, fehlerhafte Berechtigungen, falsche Konfigurationen, fehlende Firewall-Einstellungen oder kompromittierte Passwörter, die im Darknet auftauchen – „über all das erhalten wir jetzt eine gewisse Sichtbarkeit“, sagt Fröhlich.

Sein Team, in dem er aktuell noch drei Stellen besetzen könnte, besteht derzeit aus 14 Mitgliedern, fünf davon werden mit XM Cyber arbeiten. Über die Cloud-Plattform können sie den Sana-Sicherheitsstand monitoren und bei Bedarf Gegenmaßnahmen einleiten beziehungsweise beauftragen.

Sensoren für alle Endpunkte

Um die besagten Simulationen möglich zu machen, wird jeder der mehr als 20 000 zu überwachende Endpunkte mit Sensoren ausgestattet. Beim überwiegenden Teil werden sie über Software-Paketierung installiert, bei den übrigen, insbesondere vielen medizintechnischen Geräten, müssen ITler vor Ort individuell tätig werden. 

Wir arbeiten nie direkt im Netzwerk des Kunden 

Mit den Informationen, die die Sensoren an XM Cyber liefern, entsteht in der StackIT-Cloud ein digitaler Zwilling des Sana-Systems, ein Modell, auf dem dann die Simulationen laufen. „So arbeiten wir nie direkt im Netzwerk des Kunden und können so auch nie aktiv den laufenden Betrieb stören“, erklärt Sales Director Rosche.

Dabei sei die Zahl der möglichen Simulationen unbegrenzt, sagt er: Neue Angriffsvarianten, bestimmte Bereiche wie OPs oder Patientenportale, neu erworbene Häuser oder auch Unternehmensteile, die verkauft werden, aber trotzdem noch eine Zeit lang mit dem eigenen Netzwerk verbunden bleiben – Gründe, genauer hinzuschauen, gibt es viele.

Lizenz-Lösung im Abonnement

Diese Dienstleistung hat ihren Preis. XM Cyber lizenziert seine Lösung nach der Anzahl der installierten Sensoren, im Abonnement, so der Sales Director. Kleinere Häuser müssten mit jährlichen Mindestkosten von 30 000 Euro rechnen. Dafür bekommen die Abonnenten im Rahmen der Auswertung auch Empfehlungen, wie sie erkannte Probleme lösen oder zumindest schnell abschwächen und mögliche Angriffspfade unterbrechen können, so Rosche – „in Schritt-für-Schritt-Beschreibungen“.

XM Cyber

IT in Gefahr? Auf dem „Battleground“ visualisiert XM Cyber mögliche Angriffswege von Cyberkriminellen.

Die Schwarz-Gruppe hat das 2016 in Israel gegründete Unternehmen im Jahr 2021 gekauft. Heute ist XM Cyber eine 100-prozentige Tochter, ebenfalls mit Sitz in Neckarsulm und deutlichem Marktschwerpunkt in Deutschland. Aktuell werden rund 400 Mitarbeitende beschäftigt.

Fokus auf Krankenhäuser

Im Gesundheitswesen ist Sana jetzt der Vorzeigepartner des Unternehmens, das mit Kunden wie Karl Storz und dem Zentrum für Transfusionsmedizin und Zelltherapie Berlin (ZTB) von Charité und DRK-Blutspendedienst Nord-Ost in dem Bereich bislang nur wenig vertreten ist. Aber Stephan Rosche sieht den Sektor als für sein Geschäft hoch attraktiv und hat ihn in der DACH-Region zum Fokusthema erklärt – insbesondere, weil der Reifegrad der Security-Maßnahmen noch nicht so hoch sei, so Rosche.

Deshalb will er jetzt verstärkt Präsenz zeigen und XM Cyber unter anderem bei diversen Messen und Spezial-Veranstaltungen vorstellen. Dabei verweist er auf Untersuchungen von IBM und dem Ponemon Institute, denen zufolge die Durchschnittskosten für ein Datenleck in der deutschen Healthcare-Branche bei rund zehn Millionen Dollar liegen. Rosche will Krankenhäuser für Pilotprojekte und POCs (Proof of Concept) gewinnen und dann möglichst 2026 in den Budgets landen.

So hat es auch bei Sana geklappt. Sascha Fröhlich hatte das System zunächst in einem Krankenhaus getestet, mit rund 200 Endgeräten, und den Auftrag dann als im Rahmen des Krankenhauszukunftsgesetzes (KHZG) gefördertes Projekt vergeben. Künftig könne er sich mit dem neuen Partner auch noch mehr vorstellen, wenn Sana weitere Lösungen brauche, sagt er. Gespräche gebe es bereits.

Quelle: Jens Kohrs (Freier Journalist) 2025. Thieme