Sichere Krankenhaus-IT: Welche Vorgabe darf es sein?

Softwarefehler, gelangweilte Informatikstudenten, Stromausfälle, erpressbare Mitarbeiter, organisierte Kriminalität bis hin zum Terrorismus – Krankenhaus-IT kennt viele Gefahren. In den wenigsten Häusern konnten die Sicherheitsstandards mit der rasanten Entwicklung ihrer Informationstechnologien Schritt halten.

Von Maria Thalmayr 
  • Sichere Krankenhaus IT

    Jeder gelangweilte Informatikstudent kann sich heute in die intimsten Bereiche eines Krankenhauses hacken, so die Einschätzung von Experten.

     

Die DIN EN 80001 zur Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte enthalten, könnte der IT-Sicherheit im Krankenhaus einen normativen Rahmen geben. Auch wenn diese Norm bislang die Schnittstelle zwischen Medizintechnik und Informationstechnik fokussiert – der Titel lässt Raum für mehr, für eine Ausdehnung auf das gesamte Netzwerk mit allen angebundenen Systemen und Anlagen. Verwirrung stiftet, dass sie nicht die einzige Richtlinie ist, die das tut. Es gibt viele Regelwerke, die in irgendeiner Form das Thema Risikomanagement für die Informationstechnologie mit behandeln oder tangieren und Raum für mehr lassen (COBIT, ITIL, ISO 17 799, …). Welche Vorgaben sollen nun für die Krankenhaus-IT maßgeblich und gültig sein? Diese Frage wird in der Sicherheitsszene kontrovers diskutiert und jeweils so beantwortet, wie es unter den gegebenen Umständen am besten passt.

Die IT-Verantwortlichen wünschen sich hier mehr Klarheit und deutlichere Vorgaben. Vor allem brauchen sie für ihre Arbeit Schwellenwerte, Kennzahlen, Indikatoren – nicht technischer Natur wohlgemerkt; was hier zu tun ist, wissen sie selbst. Was den IT-Leuten und auch den Technikverantwortlichen im Krankenhaus fehlt, sind klare Ansagen von Seiten des Managements, wo die Grenze zwischen noch tolerierbaren und nicht mehr tragbaren Risiken liegen soll. Welche Ansprüche stellt der Betreiber eines Krankenhauses an die Verfügbarkeit und Sicherheit seiner (informations-)technischen Performance? Wann soll ein Geschehen eskaliert werden? Vielen Managern ist nicht klar, dass IT-Sicherheit durchaus zu ihren Obliegenheiten gehört. Sie glauben, dass sie sich nicht im Detail und schon gar nicht im Alltag um die IT kümmern müssten – ein unter Umständen folgenschwerer Irrtum. Tun sie es nicht, haften sie, und nicht allein der IT-Verantwortliche, gegenüber dem Unternehmen, seinen Anteilseignern, Kunden und Geschäftspartnern.

Und noch etwas: Risikomanagement ist im Augenblick für viele Krankenhäuser ein Schwerpunktthema, IT dabei ein durchaus nicht zu vernachlässigender Teilaspekt. Ohne die Schnittstelle zwischen IT und Medizintechnik bereits konkret durch die Norm DIN EN 80001 geregelt zu wissen – die Zusammenarbeit derer, die für IT und derer, die für Medizin- und Haustechnik verantwortlich zeichnen, ist nicht nur für die Sicherheit von in Netzwerke eingebundenen Technischen Anlagen und Geräte unerlässlich. Sie sollte im Dienste der Sache deshalb eigentlich längst selbstverständlicher und gelebter Alltag sein. In erster Linie geht es dabei doch um die Zusammenarbeit von Menschen und erst im zweiten Schritt um die sichere Verzahnung unterschiedlicher Funktionsbereiche und Technologien. Die erforderliche Kooperationsbereitschaft und das Aufeinanderzugehen lassen sich durch eine Norm wohl nur schwer regeln.

Mehr über kma Das Gesundheitswirtschaftsmagazin

JETZT KENNENLERNEN

LESENSWERT

Qualitätsmanagement in der Arztpraxis
Eberhard Knopp, Jan KnoppQualitätsmanagement in der Arztpraxis

Leitfaden für ein schlankes QM-Handbuch-auch geeignet für DIN EN 15224 (ISO 9001) und QEP

EUR [D] 99,99Zum Warenkorb hinzufügenInkl. gesetzl. MwSt.

Unternehmen Krankenhaus
Andreas Goepfert, Claudia B. ConradUnternehmen Krankenhaus

EUR [D] 49,99Zum Warenkorb hinzufügenInkl. gesetzl. MwSt.

Entlassmanagement
Marie-Luise MüllerEntlassmanagement

Vernetztes Handeln durch Patientenkoordination

EUR [D] 39,99Zum Warenkorb hinzufügenInkl. gesetzl. MwSt.