IntensivKontakt erhält BSI C5 Testat ohne Abweichungen
IntensivKontakt erhält im Juni 2025 das BSI C5 Testat Typ 1 von einer international renommierten Kanzlei ohne Abweichungen
Autor:in
Pressestelle
Datum
20.07.2026

IntensivKontakt erhält BSI C5 Typ 1 Zertifizierung –Geprüfte Cloud-Sicherheit für Kliniken

Kurzüberblick: Wichtige Fakten

  • Erfolgreich zertifiziert: Seit Juni 2025 ist die gesamte IntensivKontakt-Plattform (Web- und Mobile-App) nach dem BSI C5-Standard (Cloud Computing Compliance Criteria Catalogue) Typ 1 zertifiziert – geprüft durch einen unabhängigen Auditor nach dem Prüfstandard ISAE 3000.
  • Prüfung ohne Abweichungen: Das Audit wurde ohne jegliche Abweichungen von den C5-Kontrollkriterien abgeschlossen. Alle relevanten Sicherheitskontrollen der Plattform wurden vollständig erfüllt, was ein hohes Sicherheitsniveau bestätigt.
  • Modernste Sicherheitsarchitektur: IntensivKontakt nutzt die Cloud-Infrastruktur von Amazon Web Services (AWS) in deutschen Rechenzentren und setzt durchgängig auf Verschlüsselung (Daten werden sowohl bei der Übertragung als auch im Ruhezustand geschützt). Jeder Klinik-Mandant ist logisch strikt getrennt, und ein klardokumentiertes Rollen- und Rechtekonzept stellt sicher, dass Nutzer nur auf die für sie bestimmten Informationen zugreifen.
  • Nächster Schritt Typ 2: IntensivKontakt bereitet bereits das BSI C5 Typ 2 Audit vor, das im 4. Quartal 2025 abgeschlossen werden soll. Damit wird künftig auch die nachhaltige Wirksamkeit aller Sicherheitsmaßnahmen über einen längeren Zeitraum nachgewiesen – ein weiterer wichtiger Meilenstein für die Sicherheit und Compliance im Gesundheitswesen.

Vorteile für Krankenhäuser und IT-Abteilungen

Die erfolgreiche C5-Zertifizierung von IntensivKontakt bringt ganz konkrete Vorteile für Kliniken, insbesondere für dieIT-Sicherheits- und Datenschutzverantwortlichen, aber auch für die Geschäftsführung und das medizinische Personal:

  • Erfüllung regulatorischer Anforderungen: Krankenhäuser müssen höchste IT-Sicherheitsstandards gewährleisten, insbesondere bei Cloud-Lösungen mit Patientendaten. Das C5-Testat von IntensivKontakt belegt, dass alle relevanten gesetzlichen Sicherheitskriterien erfüllt sind. Dies erleichtert die Einhaltung gesetzlicher Vorgaben, beispielsweise im Rahmen von KHZG, KRITIS-Prüfungen oder Audits.
  • Reduziertes Sicherheitsrisiko: Die unabhängige Prüfung bestätigt die Wirksamkeit der Schutzmaßnahmen gegen Cyberangriffe. Vor dem Hintergrund steigender Bedrohungen durch Ransomware bietet ein C5-zertifizierter Dienst ein erhöhtes Sicherheitsniveau. Kliniken profitieren so von einem reduzierten Risiko für Datenpannen, Betriebsunterbrechungen und Reputationsverluste.
  • Transparenz und Vertrauen: Durch den detaillierten Prüfbericht erhalten IT-Abteilungen und Datenschutzbeauftragte umfassende Einblicke in die implementierten Sicherheitsmaßnahmen von IntensivKontakt. Dies vereinfacht die interne Freigabe digitaler Lösungen und signalisiert Patienten, Behörden sowie Partnern, dass die Klinik geprüfte Sicherheitsstandards einhält.
  • Entlastung der internen IT: Die Zertifizierung senkt den Prüf- und Dokumentationsaufwand auf Kundenseite deutlich. Kliniken müssen nicht jede Sicherheitsmaßnahme eigenständig evaluieren, da ein Großteil bereits durch das C5-Testat abgedeckt ist. Die von IntensivKontakt umgesetzten Sicherheitsmaßnahmen lassen sich zudem nahtlos in bestehende Sicherheitsstrategien (z.B. ISO 27001 oder B3S) integrieren.
  • Zukunftssichere Digitalisierung: Das Zertifikat zeigt, dass IntensivKontakt die Best Practices der Cloud-Security beherrscht und kontinuierlich weiterentwickelt. Kliniken erhalten so einen zuverlässigen und innovationsorientierten Partner für die digitale Transformation, ohne Kompromisse bei IT-Sicherheit und Datenschutz einzugehen. Gleichzeitig ist zu erwarten, dass entsprechende Zertifikate in Vergabeverfahren und Einkaufsrichtlinien zunehmend erforderlich werden.

Die IntensivKontakt-Plattform: Funktionen und Einsatzbereiche

IntensivKontakt ist eine digitale Kommunikations- undTherapieplattform, die Patient:innen, Angehörige und Behandelnde (Ärzt:innen, Pflegekräfte) in Krankenhäusern vernetzt. Ziel ist es,Isolation und Informationslücken zu verringern, insbesondere bei kritisch-kranken und intensivmedizinischen Patient:innen. Über eine kostenlose App für Smartphone, Tablet und PC können Angehörige und Patient:innen in Echtzeit in Kontakt bleiben – mit Videoanrufen, Chat-Nachrichten, geteilten Fotos, Videos und Sprachnachrichten sowie einem digitalen Tagebuch für den Krankenhausaufenthalt. Pflegekräfte können mittels eines eigenen Tablet- oder Web-Interfaces regelmäßig Status-Updates zum Gesundheitszustand an alle autorisierten Angehörigen senden und virtuelle Besuche starten.

Die Plattform ist dabei wissenschaftlich fundiert (z.B. als Teil nicht-medikamentöser Delirprävention in Intensivstationen) und bereits in mehreren deutschen Kliniken – von kommunalen Häusern bis hin zu Universitätskliniken – im Einsatz. Um den Klinikalltag zu integrieren, bietet IntensivKontakt optionale Schnittstellen zu Krankenhaus-IT-Systemen: Über Standards wie HL7_V2/FHIR kann die Lösung an das KIS oder PDMS angebunden werden. Relevante Patientendaten (z.B. Stammdaten oder Aufnahmedetails) stehen so direkt auf den IntensivKontakt-Geräten zur Verfügung, ohne doppelte Dateneingabe. Umgekehrt können Angehörige wichtige Informationen zu Patient:innen, etwa Vorsorgevollmachten, Verfügungen, alte Arztbriefe und Fremdanamnesen, digital selbst übermitteln, um das Klinikpersonal zu entlastet.

Datenschutz und Privacy by Design sind von Anfang an in die Plattform integriert: Alle Nutzer erhalten personalisierte Accounts, und bevor Angehörige Zugriff auf die Daten eines Patienten erhalten, durchlaufen sie einen verifizierten Freigabeprozess durch das Klinikpersonal. So wird sichergestellt, dass ausschließlich berechtigte Personen auf Patienteninformationen zugreifen – jede Aktion ist nachvollziehbar und unbefugte Zugriffe werden effektiv verhindert. IT-Sicherheit und Datenschutz des IntensivKontakt Systems sind bereits von zahlreichen kommunalen, kirchlichen und universitäreren Krankenhäusern geprüft – das offizielle BSI C5 Audit unterstreicht die Bemühungen von IntensivKontakt, höchste Sicherheits- und Datenschutzstandards für den Umgang mit sensiblen Gesundheitsdaten zu erfüllen.

BSI C5: Sicherheitsstandard für Cloud-Dienste im Gesundheitswesen

Die BSI C5-Zertifizierung (Cloud Computing Compliance Criteria Catalogue) ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelter Prüfstandard, der die Mindestanforderungen an die Cloud-Sicherheit definiert. Aktuell umfasst der C5-Katalog (Version 2020) 17 Themengebiete mit über 120 Einzelkriterien. Abgedeckt werden alle wesentlichen Aspekte der Informationssicherheit – unter anderem Organisationsstrukturen der IT-Sicherheit, Sicherheitsrichtlinien, physische Sicherheit der Rechenzentren, Betriebsprozesse, Identitäts- und Berechtigungsmanagement, Verschlüsselung und Schlüsselverwaltung, Kommunikationssicherheit sowie das Management von Sicherheitsvorfällen. Durch diese breite Abdeckung gilt C5 als de-facto-Standardfür sichere Cloud-Dienste in Deutschland.

Für Cloud-Anbieter bedeutet ein C5-Testat, dass ein unabhängiger Prüfer bescheinigt hat, dass die strengen Sicherheitskriterien des BSI erfüllt werden. Ein C5-zertifizierter Cloud-Service kann daher von Kunden grundsätzlich als sicherer Anbieter betrachtet werden – natürlich ist damit keine absolute Garantie verbunden und korrespondierende Kunden-Kriterien müssen beachtet werden. Es zeigt aber, dass umfangreiche Schutzmaßnahmen etabliert sind und  ein professioneller Umgang mit etwaigen Vorfällen gewährleistet ist. Insbesondere im deutschen Gesundheitswesen gewinnt C5 stark an Bedeutung: Durch das Digitalgesetz des Bundesgesundheitsministeriums müssen alle Cloud-Dienste im Gesundheitswesen ein C5-Testat nachweisen. Bundesbehörden, öffentliche Einrichtungen und Kritische Infrastrukturen (zu denen fast alle Krankenhäuser gehören) sind verpflichtet, ein Mindestniveau an Cloud-Sicherheit einzuhalten. C5 liefert hier einen transparenten Nachweis über das Sicherheitsniveau eines Cloud-Dienstes und ist inzwischen ein zentrales Kriterium bei der Auswahl von Anbietern. So fordern z.B. Prüfstellen für Krankenhaus-IT (etwa im Rahmen der KRITIS-Prüfung) inzwischen den C5-Nachweis von Cloud-Services, die Patientendaten verarbeiten.

Wichtig: Eine C5-Zertifizierung konzentriert sich auf die technischen und organisatorischen Sicherheitsmaßnahmen eines Cloud-Dienstes. Sie ersetzt nicht die Einhaltung aller Datenschutzvorgaben (z.B. DSGVO) – Aspekte wie Rechtsgrundlagen der Datenverarbeitung, Zweckbindung oder Patienteneinwilligungen bleiben davon unberührt. Allerdings adressiert C5 insbesondere Art. 32 DSGVO (Sicherheit der Verarbeitung) und liefert damit Krankenhäusern und Datenschutzbeauftragten einen wertvollen Nachweis, dass ein Dienstleister geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten getroffen hat. In Kombination mit den erforderlichen Datenschutz-Verträgen (z.B. Auftragsverarbeitung) und der Prüfung von Verarbeitungszwecken- und orten, Datenschutz-Folgeabschätzungen etc. schafft C5 somit eine wichtige Vertrauensbasis für den sicheren Einsatz von Cloud-Lösungen im Krankenhaus.

Umfang der Prüfung und Ergebnisse des C5-Audits

Die IntensivKontakt-Plattform wurde im Frühjahr 2025 einem umfassenden Audit nach ISAE 3000 unterzogen, um das BSI-C5-Testat (Typ 1) zu erlangen. Bei einem Typ 1 Audit überprüft der Wirtschaftsprüfer – hier einer der renommiertesten Wirtschaftsprüfungskanzlein für CyberSecurity weltweit – das Design und die Implementierung der Kontrollen zu einem bestimmten Stichtag. Konkret bedeutete dies, dass IntensivKontakt eine ausführliche Systembeschreibung vorlegte, welche sämtliche relevanten Prozesse, Sicherheitskontrollen und Technologien der Plattform darstellte. Der unabhängige Prüfer führte daraufhin eine Reihe von Prüfhandlungen durch:

  • Dokumenten- und Evidenzprüfung: Einsicht in Sicherheitsrichtlinien, Prozessbeschreibungen und Nachweise für deren Umsetzung. Beispielsweise wurden Zugriffslisten und Berechtigungskonzepte begutachtet, Protokolle zu Benutzer-Provisionierung und -Deaktivierung analysiert, sowie Berichte aus der Überwachung der Infrastruktur (z.B. Protokolle von Schwachstellen-Scans und Sicherheitschecks) geprüft.
  • Technische Reviews: Überprüfung der Systemkonfigurationen (Cloud-Umgebung auf AWS), der Netzwerksicherheits-Einstellungen, der Verschlüsselungsmechanismen und der Mandantentrennung. Auch Tests der Notfallprozesse und der Vorfallbehandlung flossen in die Auditierung ein, um sicherzustellen, dass IntensivKontakt auf Sicherheitsvorfälle angemessen reagieren kann.
  • Interviews und Stichproben: Gespräche mit verantwortlichen Mitarbeitenden von IntensivKontakt, um die Umsetzung der Kontrollen in der Praxis nachzuvollziehen. Anhand von Stichproben wurde z.B. verifiziert, dass Änderungsprozesse (Change Management) kontrolliert ablaufen, Berechtigungen regelmäßig überprüft werden und Sicherheitsupdates zeitnah eingespielt werden.


Das Ergebnis des Audits fiel vollumfänglich positiv aus: Der Auditor bestätigte, dass die Beschreibung des IntensivKontakt-Systems vollständig ist und die implementierten Kontrollen in allen geprüften Fällen sachgerecht konzipiert sind, um die C5-Kontrollziele zu erfüllen. Wichtig hervorzuheben: Im gesamten Prüfbericht wurden keinerlei Abweichungen oder Schwachstellen dokumentiert. Mit anderen Worten, es gab null Feststellungen – sämtliche der über 120 C5-Anforderungen wurden erfüllt oder übererfüllt. Dies unterstreicht und wertschätzt unsere fortlaufenden Anstrengungen, Security-by-Design und Best Practices konsequent umzusetzen und Datenschutz-und sicherheit nicht nur als gesetzliches „Muss“, sondern als zentralen Pfeiler unserer Arbeit zu sehen.

Ein paar konkrete Beispiele aus dem Prüfungsumfang veranschaulichen das erreichte Sicherheitsniveau:

  • Strenges Berechtigungsmanagement: Es existiert ein detailliertes Rollen- und Rechtekonzept, das genau dokumentiert ist und regelmäßig aktualisiert wird . Jeder Nutzer (sei es Pflegekraft, Arzt, Angehöriger etc.) sieht nur die Informationen, die seiner Rolle entsprechend notwendig sind – eine Pflegekraft etwa kann mehrere Patienten ihrer Station betreuen, während ein Angehöriger ausschließlich Zugriff auf die Daten seines Familienmitglieds hat. Die Trennung der Mandanten (Kliniken) ist so umgesetzt, dass Daten verschiedener Krankenhäuser strikt isoliert sind.
  • Verschlüsselung und Datenspeicherung: Sämtliche Kommunikation und Datenübertragungen in IntensivKontakt erfolgen verschlüsselt nach aktuellen Standards . Ob Chats, Videostreams oder gespeicherte Fotos – alles ist durch Ende-zu-Ende bzw. Transportverschlüsselung geschützt, sodass kein Unbefugter die Inhalte abfangen kann. Auch im Ruhezustand (in der Datenbank oder in Backups) sind die Daten verschlüsselt abgelegt. Die Cloud-Server von IntensivKontakt stehen in deutschen Rechenzentren , was gewährleistet, dass strenge deutsche/europäische Datenschutzgesetze gelten. IntensivKontakt verwendet zudem ausschließlich standardisierte Schnittstellen und Protokolle zur Datenübertragung , um das Risiko menschlicher Fehler oder unsicherer Eigenbauten zu minimieren.
  • Monitoring und Notfallmanagement: Das Audit bestätigte, dass IntensivKontakt ein aktives Security-Monitoring betreibt – z.B. werden Serverlogs und sicherheitsrelevante Ereignisse fortlaufend überwacht. Es gibt definierte Prozesse für den Umgang mit Sicherheitsvorfällen (Incident Response): Vom Erkennen eines Vorfalls über die Benachrichtigung aller Beteiligten bis zur Behebung und Nachverfolgung sind klare Verantwortlichkeiten festgelegt. Regelmäßige Sicherheitsaudits und Penetrationstests durch externe Experten ergänzen die internen Kontrollen, um mögliche Schwachstellen frühzeitig zu finden (dies deckt sich auch mit den C5-Anforderungen an regelmäßige unabhängige Prüfungen).

In Summe bescheinigt das C5-Prüfungsprotokoll, dass IntensivKontakt alle relevanten Cloud-Sicherheitsanforderungen erfüllt. Für Kunden – also Kliniken und deren IT-Abteilungen – bedeutet dies, dass sie sich auf die Sicherheitsarchitekturen und Prozesse des Anbieters verlassen können. Der umfangreiche Auditbericht kann direkt bei IntensivKontaktangefordert werden. DieseTransparenz ist ein wesentlicher Bestandteil des C5-Standards: Kunden könnenden Prüfbericht nutzen, um die Sicherheitsvorkehrungen des Cloud-Dienstleisters zu verstehen und gegenüber eigenen Prüfern (z.B. Revision, Datenschutzaufsicht) nachzuweisen.

Ausblick: BSI C5 Typ 2 Zertifizierung in Vorbereitung

Das BSI C5 Typ 2 Audit wird noch in Q4 2025 abgeschlossen und weist eine kontinuierliche, angemessene und erfolgreiche Implementierung aller Kontrollen und Sicherheitsvorkehrungen nach.

Für bestehende und zukünftige Klinikpartner bedeutet das: Sie können darauf vertrauen, dass IntensivKontakt langfristig ein Höchstmaß an Sicherheit und Qualität bietet. Die kontinuierlichen Audits nach anerkannten Standards sorgen dafür, dass Schwachstellen gar nicht erst entstehen bzw. früh entdeckt und behoben werden. In einer Zeit, in der Cybersecurity ein entscheidender Erfolgsfaktor für die Digitalisierung in Kliniken ist, zeigt IntensivKontakt, dass Innovation und Datensicherheit Hand in Hand gehen können – jetzt zertifiziert und künftig fortlaufend bestätigt.

Informationen anfordern
Sie wollen Ihre Angehörigen-Kommunikation verbessern? Erfahren Sie mehr über die IntensivKontakt-Plattform.
Danke für Ihr Interesse. Wir senden Ihnen weitere Informationen zu.
Das hat leider nicht geklappt: Bitte setzen Sie sich mit uns in Verbindung.

Nutzen auch Sie IntensivKontakt und entlasten Ihre Mitarbeitenden nachhaltig.

Blog

Presse

IntensivKontakt erhält BSI C5 Testat ohne Abweichungen

20.07.2025

Pressestelle

IntensivKontakt erhält BSI C5 Typ 1 Zertifizierung –Geprüfte Cloud-Sicherheit für Kliniken

Kurzüberblick: Wichtige Fakten

  • Erfolgreich zertifiziert: Seit Juni 2025 ist die gesamte IntensivKontakt-Plattform (Web- und Mobile-App) nach dem BSI C5-Standard (Cloud Computing Compliance Criteria Catalogue) Typ 1 zertifiziert – geprüft durch einen unabhängigen Auditor nach dem Prüfstandard ISAE 3000.
  • Prüfung ohne Abweichungen: Das Audit wurde ohne jegliche Abweichungen von den C5-Kontrollkriterien abgeschlossen. Alle relevanten Sicherheitskontrollen der Plattform wurden vollständig erfüllt, was ein hohes Sicherheitsniveau bestätigt.
  • Modernste Sicherheitsarchitektur: IntensivKontakt nutzt die Cloud-Infrastruktur von Amazon Web Services (AWS) in deutschen Rechenzentren und setzt durchgängig auf Verschlüsselung (Daten werden sowohl bei der Übertragung als auch im Ruhezustand geschützt). Jeder Klinik-Mandant ist logisch strikt getrennt, und ein klardokumentiertes Rollen- und Rechtekonzept stellt sicher, dass Nutzer nur auf die für sie bestimmten Informationen zugreifen.
  • Nächster Schritt Typ 2: IntensivKontakt bereitet bereits das BSI C5 Typ 2 Audit vor, das im 4. Quartal 2025 abgeschlossen werden soll. Damit wird künftig auch die nachhaltige Wirksamkeit aller Sicherheitsmaßnahmen über einen längeren Zeitraum nachgewiesen – ein weiterer wichtiger Meilenstein für die Sicherheit und Compliance im Gesundheitswesen.

Vorteile für Krankenhäuser und IT-Abteilungen

Die erfolgreiche C5-Zertifizierung von IntensivKontakt bringt ganz konkrete Vorteile für Kliniken, insbesondere für dieIT-Sicherheits- und Datenschutzverantwortlichen, aber auch für die Geschäftsführung und das medizinische Personal:

  • Erfüllung regulatorischer Anforderungen: Krankenhäuser müssen höchste IT-Sicherheitsstandards gewährleisten, insbesondere bei Cloud-Lösungen mit Patientendaten. Das C5-Testat von IntensivKontakt belegt, dass alle relevanten gesetzlichen Sicherheitskriterien erfüllt sind. Dies erleichtert die Einhaltung gesetzlicher Vorgaben, beispielsweise im Rahmen von KHZG, KRITIS-Prüfungen oder Audits.
  • Reduziertes Sicherheitsrisiko: Die unabhängige Prüfung bestätigt die Wirksamkeit der Schutzmaßnahmen gegen Cyberangriffe. Vor dem Hintergrund steigender Bedrohungen durch Ransomware bietet ein C5-zertifizierter Dienst ein erhöhtes Sicherheitsniveau. Kliniken profitieren so von einem reduzierten Risiko für Datenpannen, Betriebsunterbrechungen und Reputationsverluste.
  • Transparenz und Vertrauen: Durch den detaillierten Prüfbericht erhalten IT-Abteilungen und Datenschutzbeauftragte umfassende Einblicke in die implementierten Sicherheitsmaßnahmen von IntensivKontakt. Dies vereinfacht die interne Freigabe digitaler Lösungen und signalisiert Patienten, Behörden sowie Partnern, dass die Klinik geprüfte Sicherheitsstandards einhält.
  • Entlastung der internen IT: Die Zertifizierung senkt den Prüf- und Dokumentationsaufwand auf Kundenseite deutlich. Kliniken müssen nicht jede Sicherheitsmaßnahme eigenständig evaluieren, da ein Großteil bereits durch das C5-Testat abgedeckt ist. Die von IntensivKontakt umgesetzten Sicherheitsmaßnahmen lassen sich zudem nahtlos in bestehende Sicherheitsstrategien (z.B. ISO 27001 oder B3S) integrieren.
  • Zukunftssichere Digitalisierung: Das Zertifikat zeigt, dass IntensivKontakt die Best Practices der Cloud-Security beherrscht und kontinuierlich weiterentwickelt. Kliniken erhalten so einen zuverlässigen und innovationsorientierten Partner für die digitale Transformation, ohne Kompromisse bei IT-Sicherheit und Datenschutz einzugehen. Gleichzeitig ist zu erwarten, dass entsprechende Zertifikate in Vergabeverfahren und Einkaufsrichtlinien zunehmend erforderlich werden.

Die IntensivKontakt-Plattform: Funktionen und Einsatzbereiche

IntensivKontakt ist eine digitale Kommunikations- undTherapieplattform, die Patient:innen, Angehörige und Behandelnde (Ärzt:innen, Pflegekräfte) in Krankenhäusern vernetzt. Ziel ist es,Isolation und Informationslücken zu verringern, insbesondere bei kritisch-kranken und intensivmedizinischen Patient:innen. Über eine kostenlose App für Smartphone, Tablet und PC können Angehörige und Patient:innen in Echtzeit in Kontakt bleiben – mit Videoanrufen, Chat-Nachrichten, geteilten Fotos, Videos und Sprachnachrichten sowie einem digitalen Tagebuch für den Krankenhausaufenthalt. Pflegekräfte können mittels eines eigenen Tablet- oder Web-Interfaces regelmäßig Status-Updates zum Gesundheitszustand an alle autorisierten Angehörigen senden und virtuelle Besuche starten.

Die Plattform ist dabei wissenschaftlich fundiert (z.B. als Teil nicht-medikamentöser Delirprävention in Intensivstationen) und bereits in mehreren deutschen Kliniken – von kommunalen Häusern bis hin zu Universitätskliniken – im Einsatz. Um den Klinikalltag zu integrieren, bietet IntensivKontakt optionale Schnittstellen zu Krankenhaus-IT-Systemen: Über Standards wie HL7_V2/FHIR kann die Lösung an das KIS oder PDMS angebunden werden. Relevante Patientendaten (z.B. Stammdaten oder Aufnahmedetails) stehen so direkt auf den IntensivKontakt-Geräten zur Verfügung, ohne doppelte Dateneingabe. Umgekehrt können Angehörige wichtige Informationen zu Patient:innen, etwa Vorsorgevollmachten, Verfügungen, alte Arztbriefe und Fremdanamnesen, digital selbst übermitteln, um das Klinikpersonal zu entlastet.

Datenschutz und Privacy by Design sind von Anfang an in die Plattform integriert: Alle Nutzer erhalten personalisierte Accounts, und bevor Angehörige Zugriff auf die Daten eines Patienten erhalten, durchlaufen sie einen verifizierten Freigabeprozess durch das Klinikpersonal. So wird sichergestellt, dass ausschließlich berechtigte Personen auf Patienteninformationen zugreifen – jede Aktion ist nachvollziehbar und unbefugte Zugriffe werden effektiv verhindert. IT-Sicherheit und Datenschutz des IntensivKontakt Systems sind bereits von zahlreichen kommunalen, kirchlichen und universitäreren Krankenhäusern geprüft – das offizielle BSI C5 Audit unterstreicht die Bemühungen von IntensivKontakt, höchste Sicherheits- und Datenschutzstandards für den Umgang mit sensiblen Gesundheitsdaten zu erfüllen.

BSI C5: Sicherheitsstandard für Cloud-Dienste im Gesundheitswesen

Die BSI C5-Zertifizierung (Cloud Computing Compliance Criteria Catalogue) ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelter Prüfstandard, der die Mindestanforderungen an die Cloud-Sicherheit definiert. Aktuell umfasst der C5-Katalog (Version 2020) 17 Themengebiete mit über 120 Einzelkriterien. Abgedeckt werden alle wesentlichen Aspekte der Informationssicherheit – unter anderem Organisationsstrukturen der IT-Sicherheit, Sicherheitsrichtlinien, physische Sicherheit der Rechenzentren, Betriebsprozesse, Identitäts- und Berechtigungsmanagement, Verschlüsselung und Schlüsselverwaltung, Kommunikationssicherheit sowie das Management von Sicherheitsvorfällen. Durch diese breite Abdeckung gilt C5 als de-facto-Standardfür sichere Cloud-Dienste in Deutschland.

Für Cloud-Anbieter bedeutet ein C5-Testat, dass ein unabhängiger Prüfer bescheinigt hat, dass die strengen Sicherheitskriterien des BSI erfüllt werden. Ein C5-zertifizierter Cloud-Service kann daher von Kunden grundsätzlich als sicherer Anbieter betrachtet werden – natürlich ist damit keine absolute Garantie verbunden und korrespondierende Kunden-Kriterien müssen beachtet werden. Es zeigt aber, dass umfangreiche Schutzmaßnahmen etabliert sind und  ein professioneller Umgang mit etwaigen Vorfällen gewährleistet ist. Insbesondere im deutschen Gesundheitswesen gewinnt C5 stark an Bedeutung: Durch das Digitalgesetz des Bundesgesundheitsministeriums müssen alle Cloud-Dienste im Gesundheitswesen ein C5-Testat nachweisen. Bundesbehörden, öffentliche Einrichtungen und Kritische Infrastrukturen (zu denen fast alle Krankenhäuser gehören) sind verpflichtet, ein Mindestniveau an Cloud-Sicherheit einzuhalten. C5 liefert hier einen transparenten Nachweis über das Sicherheitsniveau eines Cloud-Dienstes und ist inzwischen ein zentrales Kriterium bei der Auswahl von Anbietern. So fordern z.B. Prüfstellen für Krankenhaus-IT (etwa im Rahmen der KRITIS-Prüfung) inzwischen den C5-Nachweis von Cloud-Services, die Patientendaten verarbeiten.

Wichtig: Eine C5-Zertifizierung konzentriert sich auf die technischen und organisatorischen Sicherheitsmaßnahmen eines Cloud-Dienstes. Sie ersetzt nicht die Einhaltung aller Datenschutzvorgaben (z.B. DSGVO) – Aspekte wie Rechtsgrundlagen der Datenverarbeitung, Zweckbindung oder Patienteneinwilligungen bleiben davon unberührt. Allerdings adressiert C5 insbesondere Art. 32 DSGVO (Sicherheit der Verarbeitung) und liefert damit Krankenhäusern und Datenschutzbeauftragten einen wertvollen Nachweis, dass ein Dienstleister geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten getroffen hat. In Kombination mit den erforderlichen Datenschutz-Verträgen (z.B. Auftragsverarbeitung) und der Prüfung von Verarbeitungszwecken- und orten, Datenschutz-Folgeabschätzungen etc. schafft C5 somit eine wichtige Vertrauensbasis für den sicheren Einsatz von Cloud-Lösungen im Krankenhaus.

Umfang der Prüfung und Ergebnisse des C5-Audits

Die IntensivKontakt-Plattform wurde im Frühjahr 2025 einem umfassenden Audit nach ISAE 3000 unterzogen, um das BSI-C5-Testat (Typ 1) zu erlangen. Bei einem Typ 1 Audit überprüft der Wirtschaftsprüfer – hier einer der renommiertesten Wirtschaftsprüfungskanzlein für CyberSecurity weltweit – das Design und die Implementierung der Kontrollen zu einem bestimmten Stichtag. Konkret bedeutete dies, dass IntensivKontakt eine ausführliche Systembeschreibung vorlegte, welche sämtliche relevanten Prozesse, Sicherheitskontrollen und Technologien der Plattform darstellte. Der unabhängige Prüfer führte daraufhin eine Reihe von Prüfhandlungen durch:

  • Dokumenten- und Evidenzprüfung: Einsicht in Sicherheitsrichtlinien, Prozessbeschreibungen und Nachweise für deren Umsetzung. Beispielsweise wurden Zugriffslisten und Berechtigungskonzepte begutachtet, Protokolle zu Benutzer-Provisionierung und -Deaktivierung analysiert, sowie Berichte aus der Überwachung der Infrastruktur (z.B. Protokolle von Schwachstellen-Scans und Sicherheitschecks) geprüft.
  • Technische Reviews: Überprüfung der Systemkonfigurationen (Cloud-Umgebung auf AWS), der Netzwerksicherheits-Einstellungen, der Verschlüsselungsmechanismen und der Mandantentrennung. Auch Tests der Notfallprozesse und der Vorfallbehandlung flossen in die Auditierung ein, um sicherzustellen, dass IntensivKontakt auf Sicherheitsvorfälle angemessen reagieren kann.
  • Interviews und Stichproben: Gespräche mit verantwortlichen Mitarbeitenden von IntensivKontakt, um die Umsetzung der Kontrollen in der Praxis nachzuvollziehen. Anhand von Stichproben wurde z.B. verifiziert, dass Änderungsprozesse (Change Management) kontrolliert ablaufen, Berechtigungen regelmäßig überprüft werden und Sicherheitsupdates zeitnah eingespielt werden.


Das Ergebnis des Audits fiel vollumfänglich positiv aus: Der Auditor bestätigte, dass die Beschreibung des IntensivKontakt-Systems vollständig ist und die implementierten Kontrollen in allen geprüften Fällen sachgerecht konzipiert sind, um die C5-Kontrollziele zu erfüllen. Wichtig hervorzuheben: Im gesamten Prüfbericht wurden keinerlei Abweichungen oder Schwachstellen dokumentiert. Mit anderen Worten, es gab null Feststellungen – sämtliche der über 120 C5-Anforderungen wurden erfüllt oder übererfüllt. Dies unterstreicht und wertschätzt unsere fortlaufenden Anstrengungen, Security-by-Design und Best Practices konsequent umzusetzen und Datenschutz-und sicherheit nicht nur als gesetzliches „Muss“, sondern als zentralen Pfeiler unserer Arbeit zu sehen.

Ein paar konkrete Beispiele aus dem Prüfungsumfang veranschaulichen das erreichte Sicherheitsniveau:

  • Strenges Berechtigungsmanagement: Es existiert ein detailliertes Rollen- und Rechtekonzept, das genau dokumentiert ist und regelmäßig aktualisiert wird . Jeder Nutzer (sei es Pflegekraft, Arzt, Angehöriger etc.) sieht nur die Informationen, die seiner Rolle entsprechend notwendig sind – eine Pflegekraft etwa kann mehrere Patienten ihrer Station betreuen, während ein Angehöriger ausschließlich Zugriff auf die Daten seines Familienmitglieds hat. Die Trennung der Mandanten (Kliniken) ist so umgesetzt, dass Daten verschiedener Krankenhäuser strikt isoliert sind.
  • Verschlüsselung und Datenspeicherung: Sämtliche Kommunikation und Datenübertragungen in IntensivKontakt erfolgen verschlüsselt nach aktuellen Standards . Ob Chats, Videostreams oder gespeicherte Fotos – alles ist durch Ende-zu-Ende bzw. Transportverschlüsselung geschützt, sodass kein Unbefugter die Inhalte abfangen kann. Auch im Ruhezustand (in der Datenbank oder in Backups) sind die Daten verschlüsselt abgelegt. Die Cloud-Server von IntensivKontakt stehen in deutschen Rechenzentren , was gewährleistet, dass strenge deutsche/europäische Datenschutzgesetze gelten. IntensivKontakt verwendet zudem ausschließlich standardisierte Schnittstellen und Protokolle zur Datenübertragung , um das Risiko menschlicher Fehler oder unsicherer Eigenbauten zu minimieren.
  • Monitoring und Notfallmanagement: Das Audit bestätigte, dass IntensivKontakt ein aktives Security-Monitoring betreibt – z.B. werden Serverlogs und sicherheitsrelevante Ereignisse fortlaufend überwacht. Es gibt definierte Prozesse für den Umgang mit Sicherheitsvorfällen (Incident Response): Vom Erkennen eines Vorfalls über die Benachrichtigung aller Beteiligten bis zur Behebung und Nachverfolgung sind klare Verantwortlichkeiten festgelegt. Regelmäßige Sicherheitsaudits und Penetrationstests durch externe Experten ergänzen die internen Kontrollen, um mögliche Schwachstellen frühzeitig zu finden (dies deckt sich auch mit den C5-Anforderungen an regelmäßige unabhängige Prüfungen).

In Summe bescheinigt das C5-Prüfungsprotokoll, dass IntensivKontakt alle relevanten Cloud-Sicherheitsanforderungen erfüllt. Für Kunden – also Kliniken und deren IT-Abteilungen – bedeutet dies, dass sie sich auf die Sicherheitsarchitekturen und Prozesse des Anbieters verlassen können. Der umfangreiche Auditbericht kann direkt bei IntensivKontaktangefordert werden. DieseTransparenz ist ein wesentlicher Bestandteil des C5-Standards: Kunden könnenden Prüfbericht nutzen, um die Sicherheitsvorkehrungen des Cloud-Dienstleisters zu verstehen und gegenüber eigenen Prüfern (z.B. Revision, Datenschutzaufsicht) nachzuweisen.

Ausblick: BSI C5 Typ 2 Zertifizierung in Vorbereitung

Das BSI C5 Typ 2 Audit wird noch in Q4 2025 abgeschlossen und weist eine kontinuierliche, angemessene und erfolgreiche Implementierung aller Kontrollen und Sicherheitsvorkehrungen nach.

Für bestehende und zukünftige Klinikpartner bedeutet das: Sie können darauf vertrauen, dass IntensivKontakt langfristig ein Höchstmaß an Sicherheit und Qualität bietet. Die kontinuierlichen Audits nach anerkannten Standards sorgen dafür, dass Schwachstellen gar nicht erst entstehen bzw. früh entdeckt und behoben werden. In einer Zeit, in der Cybersecurity ein entscheidender Erfolgsfaktor für die Digitalisierung in Kliniken ist, zeigt IntensivKontakt, dass Innovation und Datensicherheit Hand in Hand gehen können – jetzt zertifiziert und künftig fortlaufend bestätigt.

Nutzen auch Sie IntensivKontakt und entlasten Ihre Mitarbeitenden nachhaltig.