Krankenhaus.E-Mail-Sicherheit.KRITIS- und KHZG-fähig.
MailGuard, SecureMail und SecureFiles für Häuser ab 30.000 stationären Fällen pro Jahr und für Verbund-Träger mit MVZ-Netz. Mit Bezug zu § 8a BSIG, B3S Gesundheitsversorgung und KHZG § 19. EU-Hosting, ISMS-Anschluss nach ISO 27001 und IT-Grundschutz, durchgängiges Audit-Log für das Klinik-SOC und die KRITIS-Prüfstelle.
KRITIS-fähige Plattform, kein Outlook-Add-on.
- M365-Default ohne KRITIS-Schicht vor dem Postfach der PflegekraftMailGuard mit BEC-Schutz, QR-Phishing-Filter und Sandbox für Office- und PDF-Anhänge
- DICOM-Pakete und MRT-Befunde landen als 50-MB-Mailanhang bei niedergelassenen KollegenSecureFiles als auditierte Direkt-Linie für klinische Pakete, mit Empfänger-Authentifizierung
- Mail-, Filter- und Verschlüsselungs-Layer melden in drei Konsolen, das Audit ist ExcelEin durchgehendes Audit-Log pro Vorgang, per Syslog oder Webhook an das SIEM des Klinik-SOC
Compliance-Anker für das Krankenhaus
Conbool stellt technische und organisatorische Maßnahmen bereit, die zu B3S Gesundheitsversorgung, KHZG § 19, § 8a BSIG und DSGVO Art. 32 passen. Die KRITIS-Einstufung nach BSI-KritisV und die Förderbescheid-Prüfung verantwortet der Klinik-Träger; Conbool liefert Maßnahmenbeschreibung, Bedrohungsmodell und Prüfnachweise für den ISO-27001- oder IT-Grundschutz-Auditor zu.
Vier Bausteine für die Klinik-IT.
MailGuard als KRITIS-Schicht vor M365, SecureFiles für DICOM- und Befundpakete, SecureMail für Arzt-zu-Arzt-Kommunikation außerhalb der Telematikinfrastruktur, Disclaimer für Fachabteilungs-Pflichtangaben.
MailGuard
BEC- und CEO-Fraud-Erkennung für die kaufmännische Direktion und die Kämmerei, QR-Code-Phishing-Filter, URL-Reputation und Sandboxing für Office-Makros, PDF und HTML-Anhänge. Mehrstufige Erkennungsketten mit SPF-, DKIM- und DMARC-Auswertung pro Klinik-Domain. Audit-Ereignisse als CEF-Stream ans Klinik-SIEM, Quarantäne auf Mandanten-, Standort- oder Fachabteilungs-Ebene.
MailGuard im DetailSecureFilesSecureFiles
DICOM-Studien, Pathologie-Whole-Slide-Bilder, OP-Berichte und OP-Videos als Direkt-Linie an niedergelassene Ärzte, Reha-Häuser, MVZ-Standorte und Konsiliarius-Netzwerke. Empfänger-Authentifizierung per Passwort, SMS, S/MIME-Zertifikat oder Magic-Link mit Ablauffrist. Aufbewahrung, Abrufprotokoll, Löschnachweis und Versions-Tracking im Audit-Log.
SecureFiles im DetailSecureMailSecureMail
S/MIME und OpenPGP für alle Klinik-Mail-Wege außerhalb der Telematikinfrastruktur: an Hausärzte ohne KIM-Anschluss, an Versorgungsforschung, an Hersteller-Hotlines, an externe Gutachter, an Krankenkassen und Medizinischen Dienst. Web-Reader für Empfänger ohne Zertifikat, automatische Schlüsselverteilung und Ablauf-Policies pro Fachabteilung.
SecureMail im DetailDisclaimerDisclaimer
Server-seitige Signaturen pro Fachabteilung, Chefarzt-Sekretariat, Geschäftsführung und Standort. AD- und HR-gesteuerte Pflichtangaben nach den Landeskrankenhausgesetzen, Krankenhausverordnungen und der jeweiligen Berufsordnung der Ärztekammer. Wechselnde Banner für Aufnahmestop, Besuchsregeln, IT-Wartungsfenster oder MVZ-Spezifika.
Disclaimer im DetailVier Szenarien aus dem Krankenhaus.
Vom Verwaltungs-Posteingang in der Kämmerei über den DICOM-Versand der Radiologie und den Entlassbrief des Sozialdienstes bis zum SOC-Alert im SIEM. Vier konkrete Fälle, die heute jedes KRITIS-fähige Haus lösen muss.
CEO-Fraud an die Kämmerei abfangen
Ein vermeintliches Geschäftsführer-Schreiben mit Eilüberweisung an die kaufmännische Direktion oder die Kämmerei wird vom MailGuard auf SPF-, DKIM- und DMARC-Ebene geprüft, plus Sprach- und Verhaltensmuster gegen das gelernte Schreibprofil. Verdacht landet in der Quarantäne des Fach-Verantwortlichen, nicht bei der Sachbearbeitung. Vier-Augen-Freigabe optional, Vorgang im Audit-Log dokumentiert.
DICOM-Befund an niedergelassene Kollegen
Der Radiologe schickt 240 MB CT-Pakete an die niedergelassene Hausärztin oder den Orthopäden im MVZ. Outlook lehnt den Anhang ab dem M365-Limit ab. Statt USB-Stick, Fax oder WeTransfer geht der Vorgang über SecureFiles mit Link, Passwort, IP-Restriktion und Ablauf nach 7 Tagen. Abruf wird protokolliert, der Anhang anschließend automatisch gelöscht.
Reha-Übergabe nach Entlassung
Der Sozialdienst der Klinik sendet Entlassbrief, Medikationsplan und Pflegegutachten an die Reha-Klinik, den ambulanten Pflegedienst und die Pflegekasse. SecureMail verschlüsselt automatisch nach Empfänger-Domain. Der Reha-Empfänger ohne Zertifikat liest im Web-Reader mit Einmal-Code, der Pflegedienst nutzt S/MIME. Empfangsbestätigung wandert ins Audit-Log für die Patientenakte.
SOC-Alert nach Ransomware-Versuch
Eine Pflegekraft öffnet im Stress eine ZIP-Datei mit Office-Makro, die als Bewerbung getarnt ankommt. MailGuard hat den Anhang vorab in der Sandbox detoniert, Hash, Verhalten und C2-Beacon als IoC ans SIEM gemeldet und die Mail in Quarantäne gelegt. Der CISO sieht den Vorgang in Splunk, Elastic oder Microsoft Sentinel; das ISMS hat den Maßnahmenbeleg für die nächste KRITIS-Prüfung.
Conbool als KRITIS-Layer vor Microsoft 365.
Conbool sitzt als unabhängige Schicht vor Microsoft 365 oder Exchange Online. KIS, RIS, PACS und LIS bleiben unverändert; HL7-, FHIR- und DICOM-Strecken werden nicht berührt. Ärzteschaft und Pflege arbeiten weiter im gewohnten Outlook auf Classic, New oder Web. Die Telematikinfrastruktur über KIM bleibt für eRezept, eAU, eArztbrief und MIO der Pflichtkanal nach gematik-Spezifikation; Conbool ergänzt dort, wo TI nicht vorgesehen ist, und liefert die Audit-Schicht für das KRITIS-SOC.
MX-Switch in 30 Minuten
Eingehender SMTP läuft über Conbool, M365 oder Exchange bleibt das Backend. DNS-Änderung dokumentiert mit TTL-Plan, Rollback-Plan für das Krisenfall-Szenario vorbereitet, Test-Konnektor parallel während Cutover.
ISMS-Anschluss nach ISO 27001
Maßnahmenbeschreibung, Bedrohungsmodell, KPI-Mapping und Risikobehandlungs-Vorlage für die Aufnahme ins ISMS nach BSI IT-Grundschutz oder ISO 27001 Annex A.13 inklusive A.13.2.3 zu elektronischen Nachrichten.
SIEM-Export ans SOC
CEF-, LEEF- oder JSON-Syslog an Splunk, Elastic, QRadar oder Microsoft Sentinel. Asset- und Mandanten-Tagging pro Haus und pro Fachabteilung, Korrelation mit AD-Anmeldungen und Endpoint-Telemetrie.
Coexistence mit KIS und PACS
Conbool koexistiert mit Dedalus ORBIS, SAP IS-H, Cerner i.s.h.med, MEDICO, MCC und Vendor-RIS-/PACS-Lösungen wie Sectra, GE Centricity oder VEPRO. Der Mailfluss bleibt SMTP-Standard, HL7- und FHIR-Schichten werden nicht berührt.
Wie Conbool zu B3S Gesundheit und § 8a BSIG passt.
Die B3S Gesundheitsversorgung der Deutschen Krankenhausgesellschaft definiert Schutzziele für die patientennahe IT in der KRITIS-Anlage Krankenhaus. Conbool deckt mehrere Maßnahmen aus den Kapiteln Kommunikationssicherheit, Identitätsmanagement, Detektion und Reaktion ab. Für Häuser ab 30.000 vollstationären Fällen pro Jahr ist der Nachweis nach § 8a Abs. 3 BSIG alle zwei Jahre gegenüber dem BSI Pflicht, in der Praxis erbracht durch unabhängige Prüfstellen.
Schutzziel Vertraulichkeit
Ende-zu-Ende-Verschlüsselung in SecureMail (S/MIME, OpenPGP) und SecureFiles für Patientendaten als besondere Kategorie nach DSGVO Art. 9. Schlüsselmaterial liegt getrennt von M365-Backups in unterschiedlicher Hoheit beim Klinik-Träger.
Schutzziel Integrität
DMARC-, DKIM- und SPF-konforme Outbound-Identität pro Klinik-Domain, Manipulationsschutz im Audit-Log durch Hash-Verkettung und Zeitstempel. Outbound-Reject-Policy verhindert Spoofing der Klinik-Domain durch Dritte.
Schutzziel Verfügbarkeit
Mehrstufige Filterketten, Backpressure-Schutz und Mail-Queueing bei Lastspitzen während Phishing-Wellen, georedundante Regionen innerhalb der EU mit Failover, SLA für KRITIS-relevante Komponenten dokumentiert.
Nachweisführung nach DSGVO Art. 30
Audit-Log und Verzeichnis von Verarbeitungstätigkeiten als Prüfgrundlage für den KRITIS-Nachweis nach § 8a Abs. 3 BSIG, externe ISO-27001-Auditierung und die jährliche Datenschutz-Folgenabschätzung.
Förderlinie 10, ISMS-Aufnahme und Migration.
Das Krankenhauszukunftsgesetz fordert in § 19 KHG/KHZG, dass mindestens 15 % der Fördermittel auf IT-Sicherheit entfallen. Förderlinie 10 (IT-Sicherheit) und Förderlinie 11 (Telematik-Anbindung) sind dabei die relevanten Töpfe; antragstellende Stelle ist das jeweilige Bundesland, Bewilligung erfolgt durch das Bundesamt für Soziale Sicherung. Conbool lässt sich als technische Maßnahme im Antrag aufführen, in den ISMS-Maßnahmenkatalog einsortieren und im Nachweis gegenüber dem Prüfer belegen.
KHZG-Antrag Förderlinie 10
Maßnahmenpaket E-Mail-Sicherheit und Verschlüsselung. Conbool liefert die Leistungsbeschreibung, das Bedrohungs-Mapping, die Wirtschaftlichkeitsbetrachtung und die Prüfkriterien als Antrags-Bestandteil für das Land und das BAS.
ISMS-Dokumentation
Vorlagen für das Maßnahmen-Mapping nach B3S Gesundheitsversorgung, BSI IT-Grundschutz-Baustein NET.1.1, NET.3.3 und APP.5.3 sowie ISO 27001 Annex A.13 inklusive Risiko- und Behandlungsplan.
Pilot-Tenant Fachabteilung
Rollout startet mit einer Klinik oder Fachabteilung (z. B. Verwaltung, Radiologie oder Onkologie), dann schrittweise Haus-weit, dann Verbund- und MVZ-Standorte mit Multi-Tenant-Konfiguration.
Auslauf der Altlösung
Bestehende SEG-, Z1-SecureMail-, Cryptshare- oder GINA-Lösung läuft parallel aus. Conbool übernimmt domänenweise; Schlüsselmaterial wird per Migrationsleitfaden überführt, Empfänger-Adressbücher importiert.
Häufige Fragen aus der Klinik-IT
Ab welcher Fallzahl gilt unser Haus als KRITIS-Krankenhaus?
Wie deckt Conbool den B3S Gesundheitsversorgung ab?
Ist Conbool nach KHZG § 19 Förderlinie 10 antragsfähig?
Wie passt Conbool zur Telematikinfrastruktur und KIM?
Was passiert mit DICOM-Paketen und grossen Befunden?
Wie integriert sich Conbool ins SOC eines Klinikverbunds?
Wie läuft ein Rollout im MVZ-Verbund mit Klinik-Trägerschaft?
Verwandte Lösungen
Hornetsecurity-Alternative
Deutsche MailGuard-Alternative nach der Proofpoint-Übernahme.
Phishing-Schutz
BEC, Spear-Phishing und QR-Code-Phishing erkennen und entfernen.
Ransomware-Schutz E-Mail
Mehrstufige Anhang-Filter und URL-Reputation gegen Ransomware-Kampagnen.
Spam-Filter Unternehmen
Spam und unerwünschte Massenmail mit DACH-Heuristiken filtern.
CEO-Fraud-Schutz
BEC und CEO-Fraud-Attacken über Authentifizierungs-Layer abwehren.
Verwandte Branchen
Conbool ist in benachbarten Branchen mit ähnlichem Compliance-Profil im Einsatz.
KRITIS-Schicht für die Klinik-IT.
Demo in 30 Minuten mit der IT-Leitung, dem CISO oder dem Datenschutzbeauftragten. Pilot in einer Fachabteilung mit Rollback-Plan. Maßnahmenbeschreibung für KHZG-Förderantrag, ISMS-Aufnahme und KRITIS-Prüfnachweis auf Anfrage. Modular pro Funktion und pro Postfach lizenziert, EU-Hosting in deutschem Rechenzentrum.
Quellen und Stand
Aussagen zur KRITIS-Pflicht stützen sich auf § 8a BSIG, § 8b BSIG und BSI-KritisV § 6 in der seit 2026 geltenden Fassung sowie auf die NIS-2-Umsetzung im NIS2UmsuCG. Aussagen zum B3S beziehen sich auf den branchenspezifischen Sicherheitsstandard Gesundheitsversorgung der Deutschen Krankenhausgesellschaft in der jeweils aktuellen Version. Aussagen zur Förderung beziehen sich auf das KHZG § 19 KHG und die Förderlinien 10 und 11 des Bundesamts für Soziale Sicherung. Aussagen zur Telematikinfrastruktur beziehen sich auf die gematik-Spezifikationen zu KIM, eRezept, eAU, eArztbrief und MIO. DSGVO-Bezüge folgen Art. 9 zu besonderen Kategorien, Art. 28 zur Auftragsverarbeitung, Art. 30 zum Verzeichnis der Verarbeitungstätigkeiten und Art. 32 zu technisch-organisatorischen Maßnahmen. Stand 2026.
KIS, RIS, PACS und LIS sind generische Begriffe der medizinischen Informatik. ORBIS ist Marke der Dedalus HealthCare GmbH; i.s.h.med ist Marke der Cerner Corporation; SAP IS-H ist Marke der SAP SE. Splunk, Elastic, QRadar und Microsoft Sentinel sind Marken der jeweiligen Inhaber. KIM und gematik sind geschützte Begriffe der gematik GmbH. Microsoft, Microsoft 365, Exchange und Outlook sind Marken der Microsoft Corporation. Conbool ist eine Marke der Conbool GmbH.