de en
Nexia Ebner Stolz

Branchen

IT-Sicherheit als strategisch-technische Notwendigkeit in Krankenhäusern

Die Ge­schäfts­pro­zesse in der Pa­ti­en­ten­ver­sor­gung, die tech­ni­sche Kom­mu­ni­ka­tion und der Da­ten­aus­tausch sind hoch­gra­dig von der IT abhängig - mit zu­neh­men­der Ten­denz. Da­bei be­ste­hen stan­dar­di­sierte Schnitt­stel­len etwa zu den Kran­ken­ver­si­che­run­gen oder nie­der­ge­las­se­nen Ärz­ten. Er­for­der­lich ist eine si­chere IT-In­fra­struk­tur. Eine un­ter­neh­mens­weite stra­te­gi­sche Be­trach­tung der Rolle der In­for­ma­ti­ons­ver­ar­bei­tung ist un­ab­ding­bar.

In der heu­ti­gen Zeit ist es nicht mehr vor­stell­bar, dass Kran­kenhäuser oder me­di­zi­ni­sche Ver­sor­gungs­zen­tren ohne IT-Sys­teme aus­kom­men. Die Ge­schäfts­pro­zesse in der Pa­ti­en­ten­ver­sor­gung, die tech­ni­sche Kom­mu­ni­ka­tion und der Da­ten­aus­tausch sind hoch­gra­dig von der IT abhängig. Diese Abhängig­keit wird durch Di­gi­ta­li­sie­rung noch wei­ter ge­stei­gert. Sie er­folgt nach eta­blier­ten und zu­meist stan­dar­di­sier­ten Schnitt­stel­len (z. B. HL7) zu den Kran­ken­ver­si­che­run­gen, Be­rufs­ge­nos­sen­schaf­ten oder nie­der­ge­las­se­nen Ärz­ten und bedürfen eine funk­tio­nie­rende und vor al­lem eine si­chere IT-In­fra­struk­tur (IT-Sys­teme im Kran­ken­haus).

Da in den letz­ten Jah­ren IT-Sys­teme in den Kran­kenhäusern im­mer kom­ple­xer und um­fang­rei­cher wur­den, ist eine un­ter­neh­mens­weite stra­te­gi­sche Be­trach­tung der Rolle der In­for­ma­ti­ons­ver­ar­bei­tung not­wen­dig. Diese stra­te­gi­sche Be­trach­tung dient im We­sent­li­chen dazu, die Kern­pro­zesse und so­mit den wirt­schaft­li­chen Er­folg ei­nes Kran­ken­hau­ses zu si­chern.

Regulatorische und gesetzliche Anforderungen an die Krankenhaus-IT

In An­be­tracht der heu­ti­gen IT-Si­cher­heits­lage ist eine zu­kunfts­ori­en­tierte Auf­stel­lung der IT vor al­lem auch des­halb nötig, da lang­fris­tig der wirt­schaft­li­che Er­folg des Kran­ken­hau­ses ohne IT nicht si­cher­ge­stellt wer­den kann und so­mit Ver­sor­gungslücken ent­ste­hen können. Der Ge­setz­ge­ber hat u. a. auf­grund die­ser Ge­fahr ent­spre­chende re­gu­la­to­ri­sche und ge­setz­li­che An­for­de­run­gen er­las­sen. Um die IT kon­ti­nu­ier­lich an diese re­gu­la­to­ri­schen oder ge­setz­li­chen An­for­de­run­gen (z. B. IT-Si­cher­heits­ge­setz bei kri­ti­schen In­fra­struk­tu­ren) an­zu­pas­sen und lau­fend „am Le­ben“ zu hal­ten, be­darf es u. a. ei­ner IT-Si­cher­heits­stra­te­gie. In die­ser ist zunächst auf die Fach­dis­zi­pli­nen des je­wei­li­gen Kran­ken­hau­ses ein­zu­ge­hen, da bspw. eine or­thopädi­sche Fach­kli­nik an­dere An­for­de­run­gen an die IT-Sys­teme stellt, als eine Fach­kli­nik für Psych­ia­trie. Die or­thopädi­schen Fach­kli­ni­ken müssen sich zum Bei­spiel um das Be­trei­ben und die ständige Ab­si­che­rung ei­nes „Pic­ture Ar­chi­ving and Com­mu­ni­ca­tion Sys­tems (PACS)“ kümmern. Dies stellt eine große Her­aus­for­de­rung für die IT-Or­ga­ni­sa­tion dar. Denn zum einen müssen die er­fass­ten Bild­da­ten (me­di­zi­ni­sche Dia­gnos­tik),
z. B. aus den Be­rei­chen So­no­gra­fie, Rönt­gen, CT oder MRT in das zen­trale PACS-Sys­tem über­tra­gen wer­den und zum an­de­ren müssen die ge­spei­cher­ten In­halte an den Be­fun­dungs-, Be­trach­tungs und Nach­ver­ar­bei­tungsplätzen (z. B. nach der Rönt­gen­ver­ord­nung) zur Verfügung ste­hen.

Dies be­darf ei­ner ständi­gen Über­wa­chung und Ab­si­che­rung der Schnitt­stel­len zu den me­di­zi­ni­schen Geräten, in die meist auch der Be­reich Me­di­zin­tech­nik (in­tern oder ex­tern) mit ein­ge­bun­den wer­den muss. Aus Sicht der IT ist dar­auf zu ach­ten, dass die Ver­trau­lich­keit und In­te­grität der Da­ten je­der­zeit gewähr­leis­tet ist. In den meis­ten Fällen wer­den die Da­ten auf einem so­ge­nann­ten Kurz­spei­cher ab­ge­legt, be­vor sie dann als Ar­chi­vie­rung an ein Lang­zeit­ar­chiv über­tra­gen bzw. über­ge­ben wer­den. Auch hier ist es not­wen­dig, wei­tere tech­ni­sche Maßnah­men ein­zu­rich­ten, um die IT-Si­cher­heit gewähr­leis­ten zu können. Als eine tech­ni­sche Maßnahme von vie­len soll­ten die Lang­zeit­ar­chiv-Da­ten ver­schlüsselt und ord­nungs­gemäß in einem Spei­cher­sys­tem ab­ge­legt wer­den und nur für au­to­ri­sierte Per­so­nen zugäng­lich sein. An­hand von z. B. soft­ware­ba­sier­ten Tools können die Pro­to­kolle der Da­ten­zu­griffe über­wacht und auf einem zen­tra­len Log-Ser­ver ab­ge­legt wer­den. 

Rolle der IT

Durch die fort­schrei­tende Di­gi­ta­li­sie­rung steigt der Druck in Un­ter­neh­men und verändert die Rolle der IT, weil diese an die Bedürf­nisse der Ge­schäfts­pro­zesse an­ge­passt wer­den müssen (IT Busi­ness Align­ment). Di­verse Be­fra­gun­gen (z. B. Stu­die: „De­si­gning IT Set­ups in the Di­gi­tal Age“) be­le­gen, dass Kran­kenhäuser bzw. Un­ter­neh­men, die IT als einen stra­te­gi­schen Er­folgs­fak­tor se­hen, die IT den Un­ter­neh­men einen Wert­bei­trag zur Er­rei­chung der Un­ter­neh­mens­ziele leis­ten kann. „Nach­dem Ni­cho­las Carr (2003) noch be­haup­tet hatte „IT doesn’t mat­ter“, hat sich in­zwi­schen die Er­kennt­nis durch­ge­setzt, dass viele Ge­schäfts­mo­delle, ins­be­son­dere im Dienst­leis­tungs­sek­tor, ohne eine pro­funde IT-Un­ter­le­gung unmöglich wären. Durch diese stra­te­gi­sche Be­deu­tung für das Ge­schäft wird die IT in vie­len Bran­chen selbst zum Wett­be­werbs­fak­tor und Grund­lage für die An­pas­sungsfähig­keit von Un­ter­neh­men. Zu­neh­mend wird da­bei von der IT ver­langt, nicht mehr nur „enabler“ der Un­ter­neh­mens­pro­zesse zu sein, son­dern auch zu In­no­va­tio­nen auf der fach­li­chen Seite des Ge­schäfts bei­zu­tra­gen“ (Quelle: Nis­sen, Vol­ker & Termer, Frank. (2014). Busi­ness – IT-Align­ment: Er­geb­nisse ei­ner Be­fra­gung von IT-Führungskräften in Deutsch­land. HMD-Pra­xis der Wirt­schafts­in­for­ma­tik.). 

Nur mit ei­ner aus­ge­feil­ten IT-In­fra­struk­tur kann das Ma­nage­ment die an­ge­streb­ten Her­aus­for­de­run­gen (z. B. An­bin­dung des neuen La­bor-/RIS-/PACS-Sys­tems an das Kran­ken­haus­in­for­ma­ti­ons­sys­tem (KIS)) ge­ziel­ter und ef­fi­zi­en­ter er­rei­chen. Das IT-Si­cher­heits­ma­nage­ment hat si­cher­zu­stel­len, dass die benötig­ten und re­le­van­ten tech­ni­schen Maßnah­men de­fi­niert und um­ge­setzt wer­den. Dazu gehört auch, Sys­teme und Pro­zesse so zu ge­stal­ten, dass die ho­hen Si­cher­heits­stan­dards ein­ge­hal­ten wer­den. Meist führen ein­ge­rich­tete Si­cher­heits­stan­dards (z. B. Zwei-Fak­tor-Au­then­ti­fi­zie­rung) bei den An­wen­dern auf­grund ih­rer Kom­ple­xität und umständ­li­cher be­die­nungs­weise zu Un­zu­frie­den­heit. Die Bedürf­nisse der ein­zel­nen An­wen­der dürfen des­halb hier nicht ver­nachlässigt wer­den. Sie soll­ten ent­spre­chend sen­si­bi­li­siert und ge­schult wer­den.

Die IT und vor al­lem der Be­reich IT-Si­cher­heit ha­ben lei­der im­mer noch das Image des „Kos­ten­trei­bers“, wenn sie nicht als primäre Pro­zesse (Kern­ge­schäft) in Un­ter­neh­men ver­an­kert sind. Di­verse Cy­ber-An­griffe auf Kran­kenhäuser ha­ben in den letz­ten Jah­ren ge­zeigt, wie stark ver­wund­bar und abhängig die Kran­kenhäuser von ih­ren IT-Sys­te­men sind. Zum Bei­spiel er­folgte ein Cy­ber-An­griff (Wan­naCry) auf zu­min­dest ein Kran­ken­haus in Deutsch­land und ver­schlüsselte auf den IT-Sys­te­men re­le­vante Da­ten (Ar­ti­kel bei die WELT, Veröff­ent­licht am 27.10.2016: „Wie ein Cy­ber-An­griff fast eine Kli­nik lahm­legt“). Dies hat dazu geführt, dass ge­plante Ope­ra­tio­nen an dem be­tref­fen­den Tag nicht durch­geführt wer­den konn­ten, weil das Kran­ken­haus­in­for­ma­ti­ons­sys­tem nicht zur Verfügung stand und so­mit die Ope­ra­teure nicht auf die re­le­van­ten Da­ten zu­grei­fen konn­ten. Sollte ein Scha­dens­fall ein­tre­ten (eine Da­ten­panne oder ein Cy­ber­an­griff), können im ungüns­tigs­ten Fall Kos­ten in Mil­lio­nenhöhe an­fal­len. Des­halb sollte das Ma­nage­ment im Kran­ken­haus die IT und ins­be­son­dere die IT-Si­cher­heit als „stra­te­gi­sch-tech­ni­sche-Not­wen­dig­keit“ an­se­hen und ent­spre­chend In­ves­ti­tio­nen in die­sem Be­reich täti­gen.
 
 

nach oben