Smart Hospitals – Sichere Digitalisierung bayerischer Krankenhäuser
26 Februar 2020
Digitalisierung und technische Innovationen ermöglichen zahlreiche neue Wege zur Verbesserung der Gesundheitsversorgung. Gleichzeitig bergen sie neue Gefahren, wie jüngst beispielsweise durch vermehrt auftretende bundesweite Infektionen mit Ransomware in mehreren Krankenhäusern deutlich wurde. Krankenhäuser arbeiten bereits verstärkt an der Problematik; eine im Projekt Smart Hospitals erarbeitete Sammlung praxisnaher Lösungen soll dabei helfen, das Sicherheitsniveau weiter zu verbessern.
Autoren: Julia Hofmann, Prof. Wolfgang Hommel, Dr. Uwe Langer, Prof. Jasmin Riedl, Michael Steinke
Motivation und Problematik
Alltägliche Abläufe in Krankenhäusern sind mittlerweile so komplex geworden, dass sie ohne durchgängige IT-Unterstützung nicht mehr effizient funktionieren: Von der Patientenaufnahme über die Stationsverwaltung und Logistik bis zur Abrechnung kommen spezialisierte Softwaresysteme zum Einsatz. Im Bereich Digitalisierung ist der Gesundheitssektor einer der größten Wachstumsmärkte: Elektronische Patientenakten, die Fernüberwachung chronisch Erkrankter, Assistenzroboter für chirurgische Eingriffe und viele weitere technische Innovationen finden immer weitere Verbreitung und sind nach ihrer erfolgreichen Einführung kaum noch wegzudenken. Mit der Abhängigkeit von der IT steigen aber auch die Anforderungen an die IT-Sicherheit in Krankenhäusern. In den letzten Jahren sind beispielweise international zahlreiche Fälle bekannt geworden, in denen Angreifer umfangreiche Patientendaten ausspähen konnten. Auch in Deutschland wurden schon mehrere Krankenhäuser Opfer von weitreichenden IT-Ausfällen, die auf Schadsoftware zurückzuführen waren. Terminverschiebungen für chirurgische Eingriffe, Aufnahmestopps für neue und ein großer Mehraufwand bei der Versorgung der stationären Patienten gehörten zu den Folgen.
Die gesellschaftliche Relevanz des Themas IT-Sicherheit spiegelt sich dabei auch im IT-Sicherheitsgesetz und den sogenannten KRITIS-Verordnungen wider. Ab einem Schwellenwert von 30.000 vollstationären Fällen pro Jahr sind Krankenhäuser dazu verpflichtet, die Umsetzung von IT-Sicherheitsmaßnahmen nachzuweisen und IT-Sicherheitsvorfälle zu melden. Zugleich führen viele Besonderheiten von Krankenhäusern dazu, dass eine Vielzahl von etablierten Standard-Sicherheitsmaßnahmen nicht so einfach anwendbar sind. Umfasst ein medizinisches Großgerät wie ein Kernspintomograph beispielsweise auch einen Windows-PC zur Steuerung des Geräts und Datenspeicherung, so darf auf diesem oftmals keine zusätzliche Software – beispielsweise ein Virenscanner – installiert werden, weil der Verlust der Zulassung droht. Die Krankenhäuser sehen sich mit der Herausforderung konfrontiert, mit beschränkten personellen Ressourcen nicht nur den laufenden Betrieb zu meistern, sondern auch die Digitalisierung voranzubringen und die Bemühungen um die IT-Sicherheit weiter zu verstärken.
Zielsetzung und Vorgehensweise im Projekt
Im Rahmen des vom Bayerischen Staatsministerium für Gesundheit und Pflege geförderten Projekts Smart Hospitals erarbeitet die Universität der Bundeswehr München innerhalb eines Zeitraums von 3 Jahren moderne, unmittelbar praktisch anwendbare Lösungsbausteine zur Absicherung der komplexen IT-Landschaften in Krankenhäusern. Statt branchenübergreifender allgemeiner Handlungsempfehlungen entstehen dabei Hand in Hand mit der Zielgruppe detailliert ausgearbeitete Musterlösungen, die beim Status Quo und den aktuellen Planungen zur weiteren Digitalisierung der bayerischen Krankenhäuser ansetzen. Dazu wurde zunächst eine breite quantitative Befragung unter den rund 400 Krankenhäusern in Bayern durchgeführt, um die allgemeine landesweite Lage anhand wichtiger Kenngrößen und Charakteristika zu ermitteln. Die Ergebnisse dieses Teils können öffentlich eingesehen werden.
Zur Präzisierung und Priorisierung der Themen für die erstellten Lösungsbausteine wurden nach Charakteristika wie Versorgungsauftrag, Träger und Regionalproporz ausgewählte Krankenhäuser im Rahmen einer Begehung vor Ort besucht und qualitative Interviews mit Schlüsselrollen aus der IT, der Ärzteschaft und dem Pflegepersonal sowie der Geschäftsführung durchgeführt. Unter Berücksichtigung der identifizierten Gemeinsamkeiten und Unterschiede entsteht ein Maßnahmenkatalog, der nach Falltypen aufgebaut ist und die erforderlichen Voraussetzungen, den Ablauf von der Planung über die Umsetzung bis zum Regelbetrieb und Beispiele für die praktische Anwendung sowie Hinweise zu typischen Problemen und Stolpersteinen umfasst. Ein Kernziel ist dabei die gezielte Aufbereitung der Inhalte für das IT-Personal in Krankenhäusern: Lösungsbausteine dürfen nicht nur für IT-Sicherheitsexperten verständlich sein. Sie müssen auch über klar definierte Schnittstellen einfach an die konkrete, eigene IT-Umgebung angepasst werden können und das gesamte Spektrum von Standardsystemen – wie E-Mail-Servern über typische Krankenhausmanagementsoftware bis zu medizinischen Großgeräten – abdecken.
Erkenntnisse
Die bisherigen Ergebnisse der Analyse im Projektvorhaben weisen darauf hin, dass sich bayerische Krankenhäuser in ihrer Situation stark unterscheiden und Schwerpunkte realisierter Maßnahmen von Haus zu Haus variieren. Dennoch kämpfen praktisch alle Krankenhäuser beispielsweise mit akutem Mangel an personellen und finanziellen Ressourcen, Akzeptanz von Sicherheitsmaßnahmen bei Nutzern im anspruchsvollen medizinischen Betrieb und dem Einsatz möglichst pragmatischer Lösungen in komplexen IT-Infrastrukturen. Die bayerischen Krankenhäuser nehmen die durch die Digitalisierung auftretenden Gefährdungen und Sicherheitsvorfälle sehr ernst und handeln bestmöglich. Der Fokus liegt dabei in der Praxis auf der Schließung von Einfallstoren fataler Schadsoftware. Der im Projekt erarbeitete Maßnahmenkatalog wird Lösungen für bestehende Probleme aufzeigen und bei Krankenhäusern bereits etablierte, wirksame Maßnahmen weitergeben (best practices), damit alle Häuser gleichermaßen von Stärken anderer Einrichtungen profitieren können.
Mehr Informationen zum Projekt sowie Ergebnisse können auf der Projektwebsite eingesehen werden.
Titelbild: © Siegfried Brunner