deen
Nexia Ebner Stolz

IT-Sicherheit als strategisch-technische Notwendigkeit in Krankenhäusern

Die Geschäftsprozesse in der Patientenversorgung, die technische Kommunikation und der Datenaustausch sind hochgradig von der IT abhängig - mit zunehmender Tendenz. Dabei bestehen standardisierte Schnittstellen etwa zu den Krankenversicherungen oder niedergelassenen Ärzten. Erforderlich ist eine sichere IT-Infrastruktur. Eine unternehmensweite strategische Betrachtung der Rolle der Informationsverarbeitung ist unabdingbar.

In der heu­ti­gen Zeit ist es nicht mehr vor­s­tell­bar, dass Kran­ken­häu­ser oder medi­zi­ni­sche Ver­sor­gungs­zen­t­ren ohne IT-Sys­teme aus­kom­men. Die Geschäft­s­pro­zesse in der Pati­en­ten­ver­sor­gung, die tech­ni­sche Kom­mu­ni­ka­tion und der Daten­aus­tausch sind hoch­gra­dig von der IT abhän­gig. Diese Abhän­gig­keit wird durch Digi­ta­li­sie­rung noch wei­ter ges­tei­gert. Sie erfolgt nach eta­b­lier­ten und zumeist stan­dar­di­sier­ten Schnitt­s­tel­len (z. B. HL7) zu den Kran­ken­ver­si­che­run­gen, Berufs­ge­nos­sen­schaf­ten oder nie­der­ge­las­se­nen Ärz­ten und bedür­fen eine funk­tio­nie­rende und vor allem eine sichere IT-Infra­struk­tur (IT-Sys­teme im Kran­ken­haus).

Da in den letz­ten Jah­ren IT-Sys­teme in den Kran­ken­häu­s­ern immer kom­ple­xer und umfang­rei­cher wur­den, ist eine unter­neh­mens­weite stra­te­gi­sche Betrach­tung der Rolle der Infor­ma­ti­ons­ver­ar­bei­tung not­wen­dig. Diese stra­te­gi­sche Betrach­tung dient im Wesent­li­chen dazu, die Kern­pro­zesse und somit den wirt­schaft­li­chen Erfolg eines Kran­ken­hau­ses zu sichern.

Regu­la­to­ri­sche und gesetz­li­che Anfor­de­run­gen an die Kran­ken­haus-IT

In Anbe­tracht der heu­ti­gen IT-Sicher­heits­lage ist eine zukunfts­o­ri­en­tierte Auf­stel­lung der IT vor allem auch des­halb nötig, da lang­fris­tig der wirt­schaft­li­che Erfolg des Kran­ken­hau­ses ohne IT nicht sicher­ge­s­tellt wer­den kann und somit Ver­sor­gungs­lü­cken ent­ste­hen kön­nen. Der Gesetz­ge­ber hat u. a. auf­grund die­ser Gefahr ent­sp­re­chende regu­la­to­ri­sche und gesetz­li­che Anfor­de­run­gen erlas­sen. Um die IT kon­ti­nu­ier­lich an diese regu­la­to­ri­schen oder gesetz­li­chen Anfor­de­run­gen (z. B. IT-Sicher­heits­ge­setz bei kri­ti­schen Infra­struk­tu­ren) anzu­pas­sen und lau­fend „am Leben“ zu hal­ten, bedarf es u. a. einer IT-Sicher­heits­st­ra­te­gie. In die­ser ist zunächst auf die Fach­dis­zi­p­li­nen des jewei­li­gen Kran­ken­hau­ses ein­zu­ge­hen, da bspw. eine ortho­pä­d­i­sche Fach­k­li­nik andere Anfor­de­run­gen an die IT-Sys­teme stellt, als eine Fach­k­li­nik für Psy­ch­ia­trie. Die ortho­pä­d­i­schen Fach­k­li­ni­ken müs­sen sich zum Bei­spiel um das Bet­rei­ben und die stän­dige Absi­che­rung eines „Pic­ture Archi­ving and Com­mu­ni­ca­tion Sys­tems (PACS)“ küm­mern. Dies stellt eine große Her­aus­for­de­rung für die IT-Orga­ni­sa­tion dar. Denn zum einen müs­sen die erfass­ten Bild­da­ten (medi­zi­ni­sche Diag­nos­tik),
z. B. aus den Berei­chen Sono­gra­fie, Rönt­gen, CT oder MRT in das zen­trale PACS-Sys­tem über­tra­gen wer­den und zum ande­ren müs­sen die gespei­cher­ten Inhalte an den Befun­dungs-, Betrach­tungs und Nach­ver­ar­bei­tungs­plät­zen (z. B. nach der Rönt­gen­ver­ord­nung) zur Ver­fü­gung ste­hen.

Dies bedarf einer stän­di­gen Über­wa­chung und Absi­che­rung der Schnitt­s­tel­len zu den medi­zi­ni­schen Gerä­ten, in die meist auch der Bereich Mediz­in­tech­nik (intern oder extern) mit ein­ge­bun­den wer­den muss. Aus Sicht der IT ist dar­auf zu ach­ten, dass die Ver­trau­lich­keit und Inte­gri­tät der Daten jeder­zeit gewähr­leis­tet ist. In den meis­ten Fäl­len wer­den die Daten auf einem soge­nann­ten Kurz­spei­cher abge­legt, bevor sie dann als Archi­vie­rung an ein Lang­zei­t­ar­chiv über­tra­gen bzw. über­ge­ben wer­den. Auch hier ist es not­wen­dig, wei­tere tech­ni­sche Maß­nah­men ein­zu­rich­ten, um die IT-Sicher­heit gewähr­leis­ten zu kön­nen. Als eine tech­ni­sche Maß­nahme von vie­len soll­ten die Lang­zei­t­ar­chiv-Daten ver­schlüs­selt und ord­nungs­ge­mäß in einem Spei­cher­sys­tem abge­legt wer­den und nur für auto­ri­sierte Per­so­nen zugäng­lich sein. Anhand von z. B. soft­wa­re­ba­sier­ten Tools kön­nen die Pro­to­kolle der Daten­zu­griffe über­wacht und auf einem zen­tra­len Log-Ser­ver abge­legt wer­den. 

Rolle der IT

Durch die fort­sch­rei­tende Digi­ta­li­sie­rung steigt der Druck in Unter­neh­men und ver­än­dert die Rolle der IT, weil diese an die Bedürf­nisse der Geschäft­s­pro­zesse ange­passt wer­den müs­sen (IT Busi­ness Align­ment). Diverse Befra­gun­gen (z. B. Stu­die: „Desig­ning IT Set­ups in the Digi­tal Age“) bele­gen, dass Kran­ken­häu­ser bzw. Unter­neh­men, die IT als einen stra­te­gi­schen Erfolgs­fak­tor sehen, die IT den Unter­neh­men einen Wert­bei­trag zur Errei­chung der Unter­neh­mens­ziele leis­ten kann. „Nach­dem Nicho­las Carr (2003) noch behaup­tet hatte „IT doesn’t mat­ter“, hat sich inzwi­schen die Erkennt­nis durch­ge­setzt, dass viele Geschäfts­mo­delle, ins­be­son­dere im Dienst­leis­tungs­sek­tor, ohne eine pro­funde IT-Unter­le­gung unmög­lich wären. Durch diese stra­te­gi­sche Bedeu­tung für das Geschäft wird die IT in vie­len Bran­chen selbst zum Wett­be­werbs­fak­tor und Grund­lage für die Anpas­sungs­fähig­keit von Unter­neh­men. Zuneh­mend wird dabei von der IT ver­langt, nicht mehr nur „enab­ler“ der Unter­neh­men­s­pro­zesse zu sein, son­dern auch zu Inno­va­tio­nen auf der fach­li­chen Seite des Geschäfts bei­zu­tra­gen“ (Quelle: Nis­sen, Vol­ker & Ter­mer, Frank. (2014). Busi­ness – IT-Align­ment: Ergeb­nisse einer Befra­gung von IT-Füh­rungs­kräf­ten in Deut­sch­land. HMD-Pra­xis der Wirt­schafts­in­for­ma­tik.). 

Nur mit einer aus­ge­feil­ten IT-Infra­struk­tur kann das Mana­ge­ment die ange­st­reb­ten Her­aus­for­de­run­gen (z. B. Anbin­dung des neuen Labor-/RIS-/PACS-Sys­tems an das Kran­ken­haus­in­for­ma­ti­ons­sys­tem (KIS)) geziel­ter und effi­zi­en­ter errei­chen. Das IT-Sicher­heits­ma­na­ge­ment hat sicher­zu­s­tel­len, dass die benö­t­ig­ten und rele­van­ten tech­ni­schen Maß­nah­men defi­niert und umge­setzt wer­den. Dazu gehört auch, Sys­teme und Pro­zesse so zu gestal­ten, dass die hohen Sicher­heits­stan­dards ein­ge­hal­ten wer­den. Meist füh­ren ein­ge­rich­tete Sicher­heits­stan­dards (z. B. Zwei-Fak­tor-Authen­ti­fi­zie­rung) bei den Anwen­dern auf­grund ihrer Kom­ple­xi­tät und umständ­li­cher bedi­e­nungs­weise zu Unzu­frie­den­heit. Die Bedürf­nisse der ein­zel­nen Anwen­der dür­fen des­halb hier nicht ver­nach­läs­sigt wer­den. Sie soll­ten ent­sp­re­chend sen­si­bi­li­siert und geschult wer­den.

Die IT und vor allem der Bereich IT-Sicher­heit haben lei­der immer noch das Image des „Kos­ten­t­rei­bers“, wenn sie nicht als pri­märe Pro­zesse (Kern­ge­schäft) in Unter­neh­men ver­an­kert sind. Diverse Cyber-Angriffe auf Kran­ken­häu­ser haben in den letz­ten Jah­ren gezeigt, wie stark ver­wund­bar und abhän­gig die Kran­ken­häu­ser von ihren IT-Sys­te­men sind. Zum Bei­spiel erfolgte ein Cyber-Angriff (Wan­naCry) auf zumin­dest ein Kran­ken­haus in Deut­sch­land und ver­schlüs­selte auf den IT-Sys­te­men rele­vante Daten (Arti­kel bei die WELT, Ver­öf­f­ent­licht am 27.10.2016: „Wie ein Cyber-Angriff fast eine Kli­nik lahm­legt“). Dies hat dazu geführt, dass geplante Ope­ra­tio­nen an dem betref­fen­den Tag nicht durch­ge­führt wer­den konn­ten, weil das Kran­ken­haus­in­for­ma­ti­ons­sys­tem nicht zur Ver­fü­gung stand und somit die Ope­rateure nicht auf die rele­van­ten Daten zug­rei­fen konn­ten. Sollte ein Scha­dens­fall ein­t­re­ten (eine Daten­panne oder ein Cyber­an­griff), kön­nen im ungüns­tigs­ten Fall Kos­ten in Mil­lio­nen­höhe anfal­len. Des­halb sollte das Mana­ge­ment im Kran­ken­haus die IT und ins­be­son­dere die IT-Sicher­heit als „stra­te­gisch-tech­ni­sche-Not­wen­dig­keit“ anse­hen und ent­sp­re­chend Inves­ti­tio­nen in die­sem Bereich täti­gen.
 
 



nach oben