Das Gesundheitswesen zahlt weltweit zu den am haufigsten angegriffenen Sektoren. Medizinische Daten sind wertvoll, sensibel und in vielen Fallen nicht ruckgangig zu machen, wenn sie erst in falsche Hande geraten. Im Juni 2024 wurden Patientendaten bei Synnovis, einem Labordienstleister fur NHS-Krankenhauser in London, gestohlen und spater online veroffentlicht. Im Februar 2024 wurde Change Healthcare in den USA uber eine Citrix-Umgebung ohne Multi-Faktor-Authentifizierung gehackt, wodurch medizinische Daten von 100 Millionen Menschen abhandenkamen. Im August 2025 traf ein Angriff auf Clinical Diagnostics (vormals Eurofins) fast eine Million Teilnehmende an niederlandischen Vorsorgeuntersuchungen. Und im April 2026 bestatigten ChipSoft, Lieferant des HiX-Systems an mehr als 70 Prozent der niederlandischen Krankenhauser, dass Patientendaten nach einem Angriff der Hackergruppe Embargo entwendet worden waren. 

Was all diese Vorfalle gemeinsam haben: Wird eine Partei, von der Gesundheitseinrichtungen abhangig sind, kompromittiert, ziehen sich die Folgen durch das gesamte Netzwerk. Diese Beispiele stammen aus dem breiteren Gesundheitssektor, aber die Frage, die sie aufwerfen, ist fur die klinische Forschung und datenschutz direkt relevant: Wie ist Ihre Forschungsumgebung aufgestellt, wenn ein Softwareanbieter ausfallt oder angegriffen wird? 

1. Welche Anforderungen stellen Sie an den Anbieter, auf dem Ihre Forschung aufbaut? 

In der klinischen Forschung laufen viele kritische Prozesse haufig uber Software: Studienmanagement, Datenerfassung, Dokumentenablage, Patienteneinwilligung. Es ist sinnvoll, diese bei einem Anbieter zu bundeln, damit alles zusammenhangt und Daten nicht uber verschiedene Systeme verteilt werden. Aber das macht die Wahl dieses Anbieters umso wichtiger. Wenn dieser Anbieter ausfallt oder gehackt wird, hat das direkte Konsequenzen fur Datenverfugbarkeit, Studienkontinuitat und regulatorische Compliance. Fragen Sie sich: Nach welchen Kriterien haben Sie Ihren Softwareanbieter ausgewahlt, und wann haben Sie diese Entscheidung zuletzt uberpruft? 

2. Was sagt die Zertifizierung Ihres Anbieters tatsachlich aus? 

Zertifizierungen wie ISO 27001 und DSGVO-Konformitat zeigen, wie ernst eine Organisation Informationssicherheit nimmt. ChipSoft verfugte uber die erforderlichen Zertifizierungen und war der dominante Anbieter der niederlandischen Krankenhauspflege. Dennoch konnte ein Ransomware-Angriff sie treffen. Das verdeutlicht einen wichtigen Punkt: Zertifizierung schliesst das Risiko nicht aus, ist aber ein Mindeststandard, der belegt, dass ein Anbieter extern auf seine Sicherheitsprozesse gepruft wird. Es ist eines der Dinge, die sich uberprfen lassen, neben der Frage, wie ein Anbieter in der Praxis mit Vorfallen umgeht. 

3. Wissen Sie, wo Ihre Forschungsdaten gespeichert sind? 

Sponsoren und Forscher, die ein CTMS oder EDC nutzen, sind fur die darin gespeicherten Studiendaten verantwortlich. Wissen Sie, wo Ihre Daten liegen und unter welchem Rechtssystem? Befindet sich der Server in Europa, und wenn ja, bei welchem Hosting-Partner? Was regelt Ihr Auftragsverarbeitungsvertrag zum Speicherort der Daten? ResearchManager betreibt eigene Rechenzentren in Europa und bietet zusatzlich Datenspeicherung in Regionen weltweit uber Microsoft Azure. Welche Region gilt, hangt von den Vereinbarungen mit Ihrer Organisation ab. Die Verantwortung, dies zu uberprfen und festzuhalten, liegt bei Ihnen als Verantwortlichem. 

4. Was regelt Ihr Auftragsverarbeitungsvertrag zur Meldepflicht? 

Ein Auftragsverarbeitungsvertrag mit klaren Regelungen zur Incident-Meldung ist keine Formalitat, sondern eine operationelle Absicherung. Beim Clinical Diagnostics-Vorfall musste Z-CERT selbst eingreifen, um Gesundheitseinrichtungen zu informieren, weil der Anbieter dies versaumte. Gemas DSGVO gilt eine Meldepflicht von 72 Stunden. Wissen Sie, was Ihr Vertrag regelt, und wie schnell Sie bei einem Vorfall informiert wurden?

Wenn ein Softwareanbieter ausfallt, hat das sofortige Konsequenzen fur Datenverfugbarkeit, Datenzugang und Vertrauen. Deshalb ist die Sicherheit bei ResearchManager als ein zusammenhangendes System von Kontrollmechanismen aufgebaut. 

Zugangskontrolle 

Der Zugang zu Studien- und Patientendaten wird auf Basis von Rollen und Verantwortlichkeiten gesteuert, sodass Benutzer nur auf die Informationen zugreifen konnen, die sie benotigen. 

Audit-Logging und Nachvollziehbarkeit 

Handlungen innerhalb der Plattform sind uber Audit-Logging nachvollziehbar, sodass Anderungen, Exporte und Benutzeraktionen jederzeit kontrollierbar bleiben. 

Risikomanagement und Lieferantenbewertung 

Risiken werden regelmasig bewertet und Lieferanten sowie Hosting-Partner auf Sicherheitsanforderungen gepruft. 

Kontinuitat und Incident-Response 

Prozesse fur Incident-Management, Anderungsmanagement und Business Continuity sind eingerichtet, damit die operationellen Auswirkungen bei einem Vorfall so gering wie moglich bleiben. 

Externe Zertifizierung und Compliance: 

• ISO 27001 und NEN 7510 zertifiziert: jahrliches externes Audit 

• DSGVO-konform: Auftragsverarbeitungsvertrage, Datensparsamkeit 

• Datenspeicherung uber eigene Rechenzentren in Europa und Microsoft Azure: Region konfigurierbar je Organisation 

• Incident-Response-Protokoll: gemas DSGVO-Meldepflicht (72 Stunden) 

Stellen Sie sich und Ihren Anbietern die folgenden Fragen: 

• Verfugt mein Anbieter uber ein aktuelles ISO 27001-Zertifikat? Wann war das letzte externe Audit? 

• Ist ein DSGVO-konformer Auftragsverarbeitungsvertrag einschliesslich Regelungen zur Meldepflicht innerhalb von 72 Stunden geschlossen? 

• Wo werden meine Forschungsdaten gespeichert, und welches Rechtssystem gilt dort? 

• Was ist der Notfallplan bei einem Systemausfall oder Angriff? 

• Wie schnell werde ich bei einem Sicherheitsvorfall informiert, und von wem? 

Mochten Sie wissen, wie ResearchManager diese Fragen beantwortet? Nehmen Sie Kontakt auf und wir erlautern Ihnen gerne, wie unsere Suite auf Sicherheit, Compliance und Verfugbarkeit ausgelegt ist.