ESRS G-Unternehmensspezifisch Cybersecurity [G-Unternehmensspezifisch]

Unsere Auswirkungen, Risiken und Chancen [SBM-3] Wesentliche Auswirkungen, Risiken und Chancen und ihr Zusammenspiel mit Strategie und Geschäftsmodell

Die digitale Transformation treibt den Gesundheitsmarkt global voran. Sie ermöglicht es, u. a. Prozesse zu optimieren und die Qualität der Patientenversorgung zu verbessern. Der Einsatz digitaler Technologien ist für Fresenius mit Auswirkungen, Risiken und Chancen verbunden. Diese erfassen, bewerten und steuern wir über zentrale Managementsysteme.

Ein robustes Cybersicherheitsmanagement ist dabei die Grundlage für den Fortbestand des laufenden operativen Geschäfts sowie die Digitalisierung der Geschäftsprozesse. Indem wir unsere digitalen Prozesse so sicher wie möglich gestalten, haben wir tatsächliche positive Auswirkungen auf die Versorgung von immer mehr Patientinnen und Patienten. Denn die Digitalisierung kann den Zugang zu und die Qualität von Gesundheitsdiensten verbessern – z. B. durch telemedizinische Angebote, elektronische Patientenakten (ePA) oder die effizientere Auswertung medizinischer Daten unter Zuhilfenahme künstlicher Intelligenz. Außerdem trägt sie dazu bei, unser Versorgungsnetzwerk auszubauen. Daraus ergeben sich für uns kurzfristige Chancen, denn eine sichere digitale Transformation bietet uns nicht nur die Möglichkeit, unseren Patientenkreis zu erweitern. Diese führt ebenfalls zu einer besseren Patientenversorgung, einer stärkeren Patientenbindung und dadurch zu einer verbesserten Wettbewerbsfähigkeit. Langfristig hilft uns unser Cybersicherheitsmanagement, die Resilienz unseres Geschäftsmodells sowie unserer IT-Infrastruktur gegenüber einer sich stets wandelnden Cyberbedrohungslage zu erhöhen. Die daraus resultierenden finanziellen Chancen für Fresenius ergeben sich durch das Vertrauen, das unsere verschiedenen Stakeholdergruppen in uns setzen, z. B. Patientinnen und Patienten, die uns ihre Daten anvertrauen, sowie Investorinnen, Investoren und Kreditgeber, die finanzielle Mittel für den Konzern bereitstellen oder in unsere Aktien investieren. Die Maßnahmen, die wir im Bereich der Cybersicherheit ergreifen, stärken dieses Vertrauen sowie das Ansehen unseres Unternehmens – und fördern so dauerhafte Geschäftsbeziehungen.

Unzureichende Cybersicherheitsmaßnahmen können potenzielle negative Auswirkungen in unserem operativen Geschäft haben: Als großer Gesundheitskonzern sind wir Teil der kritischen Infrastruktur. Betriebsausfälle und der Verlust sensibler Daten könnten die Versorgung unserer Patientinnen und Patienten gefährden. Es könnten gesundheitliche Schäden durch falsche Behandlungen auftreten, wenn essenzielle Daten in Patientenakten fehlen oder fehlerhaft sind, oder es könnten Behandlungsverzögerungen infolge von Systemausfällen auftreten. Ein Cyberangriff kann zudem schwerwiegende finanzielle Risiken für Fresenius bedeuten. Diese umfassen direkte finanzielle Verluste in Folge der Reaktion auf Vorfälle und der Wiederherstellung der Betriebsprozesse, den Verlust von geistigem Eigentum sowie Strafzahlungen bei Verstößen gegen regulatorische Vorgaben, wie z. B. Datenschutz- und Informationssicherheitsvorgaben. Darüber hinaus könnten solche Vorfälle zu einem Vertrauensverlust bei unseren Anspruchsgruppen führen, was unserer Reputation langfristig schadet. Dieser Reputationsverlust kann wiederum Wettbewerbsnachteile mit sich bringen und weitere finanzielle Schäden verursachen.

Unser Ansatz [MDR-P] Konzepte zum Umgang mit wesentlichen Nachhaltigkeitsaspekten

Konzepte zur Cybersicherheit

Unser Cybersicherheitsrahmenwerk (Cybersecurity Policy Framework) besteht aus einer Reihe von Richtlinien, Anforderungen und Verfahrensbeschreibungen, mit denen wir die Auswirkungen, Risiken und Chancen adressieren, die die digitale Transformation für Fresenius mit sich bringt. Es bildet die gemeinsame Basis für Cybersicherheit in allen Unternehmensbereichen und Konzernfunktionen. Innerhalb des Rahmenwerks fungieren die Schutzbedarfsanforderungen der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Technologien und Systemen als zentrale Zielsetzung der Cybersicherheitsbestrebungen von Fresenius. Diese Mindestsicherheitsstandards haben wir für all unsere Risikodomänen definiert.

Fresenius hat eine Cybersicherheitsstrategie bis Ende 2025 verabschiedet, die Ziele für den Konzern sowie für die einzelnen Unternehmensbereiche festlegt. Die wesentlichen Fokusbereiche sind die Reduktion der Risiken, die Erhöhung der Resilienz gegenüber Cyberangriffen, die Vereinheitlichung der Organisation, Prozesse und Technologien sowie die Verbesserung des konzernweiten Reifegrads in Bezug auf Cybersicherheit.

Wir steuern unsere Aktivitäten auf der Grundlage von Reifegradbewertungen und Cyberrisikoanalysen. Diese helfen uns dabei, die wichtigsten Maßnahmen zur Risikominderung zu priorisieren und sowohl den Fortschritt als auch die Wirksamkeit der umgesetzten Maßnahmen unserer Cybersecurity Programme sorgfältig zu überwachen.

Unser strategischer Ansatz bezieht sich dabei auf die geografischen Gebiete, in denen wir Produktionsstandorte oder Gesundheitseinrichtungen betreiben. Sofern wir vertraglich oder gesetzlich verpflichtet sind, umfassen unsere Aktivitäten auch die vor- oder nachgelagerte Wertschöpfungskette, z. B. durch Kundenservices nach dem Erwerb eines medizintechnischen Geräts. Unsere Stakeholdergruppen erläutern wir im Standard ESRS 2 Allgemeine Angaben, Abschnitt SBM-2 Stakeholder und Partnerschaften.

Umgang mit Cyberrisiken

Um die konzernweite Cybersicherheit und die damit verbundenen Risiken zu managen, haben wir fünf Risikodomänen festgelegt. Übergreifend steuern die Group Cybersecurity Office (GCSO)-Funktionen mit den fachlichen Ansprechpartnerinnen und Ansprechpartnern der Unternehmensbereiche innerhalb dieser Risikodomänen die Entwicklung und Umsetzung von Anforderungen an die Cybersicherheit sowie die Koordination der Risikomanagementaktivitäten. Die fachlich übergreifenden Teams haben zudem die Aufgabe, den Kompetenz- und Wissensaustausch in allen Cybersicherheitsbereichen innerhalb des Konzerns zu fördern.

Im Einklang mit einem definierten System für Cybersicherheitskennzahlen haben wir in den letzten Jahren eine Vielzahl von Effektivitätskennzahlen etabliert. Mit diesen Kennzahlen überprüfen wir, ob Sicherheitskontrollen wie vorgesehen funktionieren. Dies hilft uns dabei, potenzielle Cybersicherheitsrisiken zu erkennen und Klarheit darüber zu gewinnen, wie gut wir auf Cyberangriffe oder deren Abwehr vorbereitet sind. Die jeweiligen Risikodomänenmanager erfassen die Kennzahlen in allen relevanten Risikodomänen des Konzerns und melden diese regelmäßig an das Cybersecurity Board und das Cybersecurity Steering Committee. Darüber hinaus werden sie in einer Scorecard visualisiert, die das Cybersicherheitsmanagement bei der Steuerung der konzernweiten Cybersicherheitsinitiativen unterstützt. Metriken vergleichen wir auch mit denen relevanter Interessensgruppen, z. B. anderen DAX-Konzernen, und kommunizieren diese an den Vorstand und den Aufsichtsrat.

Unser Hauptziel ist es, die Materialisierung von Cyberrisiken zu verhindern. Hier machen sich unsere Investitionen in die Früherkennung von Cyberbedrohungen bezahlt: Wir automatisieren wiederkehrende Analyse- und Abwehrprozesse, damit wir noch effizienter auf Vorfälle reagieren und potenzielle Schäden für das Unternehmen begrenzen können. Jeden Vorfall untersuchen wir sorgfältig, um zusätzliche Maßnahmen zur Verbesserung unserer allgemeinen Sicherheit abzuleiten.

Versicherungen

Auf Ebene der Unternehmensbereiche bestehen dort Cybersicherheitsversicherungen, wo sie auf dem Versicherungsmarkt verfügbar sind, und gesetzt den Fall, dass sie die Risiken geeignet abdecken. Im Jahr 2024 wurde eine Cybersicherheitsversicherung auf Konzernebene erneut evaluiert, jedoch bisher nicht abgeschlossen, da die Kosten- und Nutzenbewertung noch nicht abgeschlossen ist.

Darüber hinaus gibt es Zertifizierungen für unser Informationssicherheitsmanagementsystem (ISMS) auf Konzern- und Unternehmensbereichsebene, z. B. nach ISO / IEC 27001. Die internationale Norm dient dazu, ein ISMS zu implementieren, aufrechtzuerhalten und kontinuierlich zu verbessern, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen durch einen systematischen Ansatz zu gewährleisten.

Risikobewertungen

Wir bewerten regelmäßig die strategischen Cybersicherheitsrisiken entlang der Wertschöpfungskette. Im Rahmen dieser halbjährlichen Bewertungen analysieren wir die Entwicklung der Cyberbedrohungslage, um unsere Maßnahmen zur Cybersicherheit abzuleiten und unsere Risiken wirksam zu mindern.

Audits und Monitoring

Die Konzernfunktion Corporate Audit führt unabhängige und risikoorientierte Revisionsaufträge durch, um die Effektivität von Risikomanagement-, Kontroll- und Governance-Prozessen auf Konzernebene sowie in den Unternehmensbereichen stetig zu verbessern. Diese Revisionsaufträge erfolgten ebenfalls im Jahr 2024. Hierbei wurden auch Maßnahmen im Bereich Cybersecurity wie Richtlinien und Verfahren sowie deren Implementierung berücksichtigt. Im Jahr 2024 hat die Konzernfunktion Corporate Audit sechs Prüfungen (2023: neun) mit dem Prüfungsbezug Information Security durchgeführt.

Werden Schwachstellen im Rahmen der Revisionsaufträge identifiziert, überwacht die Interne Revision die Umsetzung der vom Management festgelegten Abhilfemaßnahmen im Rahmen systematischer Nachschaubetrachtungen.

Meldewege

Vermuten Fresenius-Beschäftigte Cyberbedrohungen, können sie sich an CERT@fresenius.com oder CyberAware@fresenius.com sowie an alle Mitarbeiterinnen und Mitarbeiter im Aufgabenbereich Cybersecurity wenden. Um die Effizienz zu steigern, können sie verdächtige Mails über den sogenannten Phish Alert Button melden. Dieser startet eine automatische Analyse und schaltet bei Bedarf das Cyber Emergency Response Team (CERT) ein. Unser CERT untersucht mögliche Bedrohungen und Vorfälle in unserer IT, der Produktion sowie den Umgebungen unserer Gesundheitseinrichtungen und geht vermuteten Verstößen nach. Bei erkannten bösartigen Phishing-Versuchen blockiert das Team die Absender und passt die Sicherheitsprotokolle entsprechend an.

Sofern innerhalb unserer Wertschöpfungskette – jedoch außerhalb unserer eigenen Belegschaft – Kenntnis von einer möglichen Cyberbedrohung besteht, können Dritte die öffentlich verfügbaren Meldekanäle oder Hinweisgebersysteme Fresenius nutzen.

Organisationsstruktur und Verantwortlichkeiten

Die Chief Financial Officer (CFO) im Vorstand beaufsichtigt die Cybersicherheits-Governance und erhält direkten Bericht – wöchentlich und nach Bedarf – vom Group Head of Cybersecurity. Dieser fungiert als konzernweiter Chief Information Security Officer (CISO), trägt die Gesamtverantwortung für die Governance der Cybersicherheit innerhalb des Konzerns und leitet das GCSO. In dieser Funktion legt er die konzernweite Cybersicherheitsstrategie fest und koordiniert sie mit den jeweiligen Cybersicherheitsverantwortlichen, um ein einheitliches Vorgehen in allen Unternehmensbereichen zu gewährleisten. Der Group Head of Cybersecurity erstattet vierteljährlich dem Vorstand und mindestens einmal jährlich dem Aufsichtsrat Bericht.

Das GCSO steuert die Cybersicherheit innerhalb des Konzerns. Es soll sicherstellen, dass die Cybersicherheitsaktivitäten auf Konzernebene ganzheitlich betrachtet und koordiniert werden, legt die Mindestanforderungen dafür fest und überwacht deren Erfüllung. Außerdem kontrolliert es, dass die Maßnahmen zur Risikobekämpfung umgesetzt werden. Bei Bedarf berät und unterstützt das GCSO die Unternehmensbereiche in ihren Aktivitäten.

Innerhalb des Konzerns ergänzen übergreifende Gremien die bestehende Organisationsstruktur. Das Cybersecurity Board tagt monatlich. Es sichert den Austausch über konzernweite Cybersicherheitsangelegenheiten, definiert Kriterien, um die Entwicklung der Cybersicherheit zu bewerten und zu überwachen, und überprüft Fortschritte sowie Ergebnisse von Cybersicherheitsmaßnahmen und -projekten. Das Cybersecurity Board überwacht zudem die Anwendung und Umsetzung der konzernweiten Cybersicherheitsrichtlinien. Es überprüft, ob die Mindestanforderungen der Maßnahmen zur Risikobekämpfung eingehalten werden.

Die CFO und die jeweiligen CFOs der Unternehmensbereiche kommen quartalsweise im Cybersecurity Steering Committee zusammen. Das Steering Committee hat formell eine Governance Charta verabschiedet, in der die strategische Ausrichtung, der Geltungsbereich und die Zuständigkeiten des Cybersecurity Programms festgelegt wurden.

Demzufolge fungiert das Cybersecurity Steering Committee als Governance-Gremium sowie als Eskalations- und Entscheidungsinstanz für diverse übergeordnete Maßnahmen. Darunter fallen z. B. solche zur Identifizierung und zum Schutz kritischer, äußerst relevanter Informationswerte oder solche für eine optimierte Entwicklung einer angemessenen Cybersicherheitsstruktur.

Cybersecurity Organisationsstruktur

Im Zuge der konzernweiten Transformation #FutureFresenius hat der Vorstand im Einklang mit der Konzern- und Cybersicherheitsstrategie eine Weiterentwicklung der Aufbauorganisation der Cybersicherheit ab dem 4. Quartal 2023 beschlossen, die im Jahr 2024 umgesetzt wurde. Im Fokus stehen die Vereinheitlichung der Aufbau- und Ablauforganisation der Cybersicherheitsfunktionen und die Überarbeitung des Cybersicherheitsrahmenwerks, um diese Veränderungen angemessen zu reflektieren. Das überarbeitete Cybersicherheitsrahmenwerk wurde 2024 vom Vorstand beschlossen.

Unsere Maßnahmen [MDR-A] Maßnahmen und Mittel in Bezug auf wesentliche Nachhaltigkeitsaspekte

Wir wollen die Einhaltung unseres Cybersecurity Policy Framework sicherstellen und die beschriebenen tatsächlichen und potenziellen negativen Auswirkungen verhindern, mindern und beheben. Zudem ist es uns ein wichtiges Anliegen, die Risiken und Chancen, die sich in Bezug auf Cybersicherheit für uns ergeben, anzugehen. Deshalb setzen wir eine Vielzahl von Einzelprojekten im Rahmen unserer Cybersecurity Programme um. Im Berichtsjahr haben wir insbesondere Maßnahmen zur Verbesserung der bestehenden Sicherheitsinfrastruktur im Produktionsbereich ergriffen sowie unser Schulungsangebot fortgeführt.

Schulungen

Bei Fresenius streben wir danach, ein menschenzentriertes Risikomodell zu etablieren und dies mit unserem bereits implementierten Cybersecurity Training & Awareness Program (CTAP) zu kombinieren, das wir fortlaufend durchführen. Wir wollen das Wissen über neue Trends unmittelbar verbreiten. Dazu führen wir verschiedene Cybersicherheitsaktivitäten ein und vermitteln hilfreiche Tipps zur sicheren Nutzung von Geräten im Büro oder zu Hause.

Neben verpflichtenden Schulungen zu den Grundlagen der Cybersicherheit bietet das CTAP verschiedene Kurse, Videos und andere Lerninhalte an, z. B. über die verschiedenen digitalen CTAP-Lernplattformen und Intranets. Im Rahmen des CTAP simulieren wir regelmäßig Phishing-Angriffe, um die richtigen Verhaltensweisen bei einem Verdacht auf Phishing zu verankern. Für alle in diesen Schulungen eingeschriebenen Beschäftigten ermitteln wir eine persönliche Risikokennzahl, die sich aus dem Verhalten bei den Phishing-Tests und der Anzahl absolvierter Cybersicherheitstrainings zusammensetzt. Alle Angebote des CTAP sind auf die spezifischen Risiken von Fresenius zugeschnitten und werden in mehreren Sprachen angeboten. Den Erfolg der CTAP-Aktivitäten messen wir anhand vordefinierter Erfolgskriterien, z. B. der Klick- und Melderate bei gezielten Phishing-Simulationen und der Anzahl der durchgeführten Trainings je Arbeitskraft.

Die Angebote stehen allen Mitarbeiterinnen und Mitarbeitern weltweit zur Verfügung. Wir informieren sie regelmäßig über unterschiedliche Kanäle, u. a. über Intranetartikel oder Plakate in Produktionsanlagen und Kliniken, um sie für Cyberrisiken und neuartige Cyberbedrohungen zu sensibilisieren. Darüber hinaus findet jährlich ein Cyber Awareness Month statt, um zusätzlich den Austausch unter Arbeitskräften zu Cybersicherheitsthemen zu stärken. Dabei nutzen wir das Wissen aus der täglichen Analyse von z. B. Phishing-Versuchen, die das CERT durchführt und auswertet. Mit ihrer Hilfe können wir maßgeschneiderte Awareness-Inhalte entwerfen und Trainingskampagnen ausrollen.

Kontinuierliches Training zu Cybersecurity ist auch Bestandteil der variablen Vergütung aller Beschäftigten, die am Erfolgsbeteiligungsprogramm SHARE von Fresenius teilnehmen. Das Programm erläutern wir im Themenstandard S1 Arbeitskräfte des Unternehmens, Abschnitt S1-1 Unser Ansatz, Mitarbeiterbindung.

Im Jahr 2024 haben wir neue Trainingsmodule für die Mehrheit der Beschäftigten angeboten. Der Trainingsfokus im Berichtsjahr lag auf der Sensibilisierung von Beschäftigten für Social Engineering, Phishing, neue Bedrohungen im Rahmen der Nutzung von Mobilgeräten, die Acceptable Use Policy und der Stärkung von fundamentalem Cybersecurity-Wissen. Auch wurden wieder simulierte Phishing-Versuche per E-Mail an Beschäftigte verschickt. Die überwiegende Mehrheit der Beschäftigten konnte unsere Phishing-Simulationen erfolgreich erkennen.

Unsere Maßnahmen sind Teil eines langfristigen Cybersecurity Programms. Die verschiedenen eigenständigen Projekte zielen darauf ab, die Cybersicherheitsstruktur unseres Konzerns zu verbessern. Durch kontinuierliches Training stellen wir sicher, dass unsere Arbeitskräfte souverän mit Phishing-Versuchen umgehen und in der Folge Cyberrisiken reduziert werden.

Die Kosten für die im Cybersecurity Programm vorgesehenen bzw. durchgeführten Trainings belaufen sich auch einen niedrigen einstelligen Mio Euro Betrag, der sich auf einen Zeitraum bis Ende 2024 erstreckt. Die Kosten für die kontinuierlichen Cybersicherheitstraining-Maßnahmen gemäß dem ganzheitlichen Cybersicherheitsprogramm beliefen sich im Berichtsjahr 2024 auf etwa 400.000 Euro (OpEx).

Unsere Ziele und Ambitionen [MDR-T] Nachverfolgung der Wirksamkeit von Konzepten und Maßnahmen durch Zielvorgaben

Es ist unsere Ambition, dass sich sowohl Patientinnen und Patienten als auch Kunden auf die Cybersicherheit unserer Produkte und Dienstleistungen verlassen können. Unsere Stakeholder setzen großes Vertrauen in die Cybersicherheit unserer Produkte und Dienstleistungen. Wir streben permanent danach, ihre Erwartungen zu erfüllen, indem wir unsere Resilienz gegenüber Cyberangriffen stärken, unsere Cyberrisiken reduzieren und so Schaden von unseren Patientinnen und Patienten, Kunden oder dem Unternehmen abwenden. Darüber hinaus gibt es kein übergeordnetes Konzernziel im Zusammenhang mit Cybersicherheit.

Wir messen die Wirksamkeit unserer Cybersicherheitsstrategie durch Auswertung von Resilienzkennzahlen, wie im folgenden Abschnitt dargestellt.

Kennzahlen [MDR-M] Kennzahlen in Bezug auf wesentliche Nachhaltigkeitsaspekte

Fresenius bewertet die Effektivität des Cybersicherheitsmanagements anhand von Effektivitätskennzahlen und Bewertungen des Cybersicherheitsreifegrades. Dabei evaluieren wir, ob Patientinnen und Patienten davon betroffen sind. Insgesamt deuten unsere Resilienzkennzahlen darauf hin, dass im Berichtszeitraum nur wenige schwere Vorfälle eingetreten sind. Aus Konzernsicht hatten diese keine wesentlichen Auswirkungen auf unsere Geschäftsabläufe. Im Berichtsjahr wurde kein schwerwiegender Cybersicherheitsvorfall gemeldet, der mit dem Verlust von Patientendaten einherging oder der den Ruf oder die Finanzlage unseres Konzerns wesentlich beeinträchtigt hat.

Grundsätzlich liegt ein Cybersicherheitsvorfall vor, wenn eine Sicherheitsmeldung als kritisch eingestuft wird. Dies ist der Fall, wenn es durch einen Cybersicherheitsvorfall potenziell zum Verlust von Daten kommen kann oder der Fresenius-Konzern in seiner Leistungserbringung eingeschränkt werden könnte. Bei der Bewertung der Kritikalität wird dabei das 4-Augen-Prinzip angewandt. Daraufhin werden alle Vorfälle einer weiteren Bewertung unterzogen, in der geprüft wird, ob eine Verletzung mindestens eines der Cybersecurity Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit vorliegt. Sollte dies der Fall sein, wird der entsprechende Vorfall als schwerwiegend ausgewiesen.

Die Meldung von Vorfällen erfolgt an die Konzernfunktion Cybersecurity, der Meldeweg sowie die Prozessstruktur werden im Abschnitt Unser Ansatz erläutert.