COMPLEX - Visus Technology Transfer GmbH
COMPLEX - Visus Technology Transfer GmbH
COMPLEX - Visus Technology Transfer GmbH
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>COMPLEX</strong> | IT-SICHERHEIT<br />
Der kommende Prozessstandard<br />
ISO/IEC 80001<br />
beschreibt die Vorgehensweise,<br />
wie<br />
Medizinprodukte gegen<br />
Viren, Würmer und Hacker<br />
abgesichert werden.<br />
28 EHEALTHCOM<br />
gen wird vonden Herstellern gegenwärtigjedochnicht<br />
umgesetzt. Andererseits<br />
sind die Kliniken nicht in der Lage, die<br />
Netze komplett abzuschotten und<br />
gleichzeitig den betrieblichen Anforderungen<br />
an die IT-Infrastruktur nachzukommen.<br />
Folglichmüssen Gegenmaßnahmen<br />
gefunden werden, die den<br />
Anforderungen und Möglichkeiten beider<br />
Parteien gerecht werden.<br />
WENN SICHERHEITSRISIKEN in<br />
medizinischen Netzwerken bestehen,<br />
sollten IT-Sicherheitsverantwortliche mit<br />
Bedacht vorgehen, um<br />
nicht die Betriebserlaubnis<br />
für die Medizinprodukte<br />
zu verlieren.<br />
Eine vorschnelle<br />
Vorgehensweise kann<br />
enorme Kosten erzeugen,<br />
etwa wenn der<br />
Hersteller den zertifizierten<br />
Zustand wiederherstellen<br />
muss,<br />
nachdem die IT-Abteilung<br />
ein infiziertes System„entwurmt“,<br />
alle Betriebssystem-Patches installiert<br />
und „zur Sicherheit“ nocheinen Virenscanner<br />
installiert hat. Denn die Aktualisierung<br />
des Betriebssystems kann unbekannte<br />
Nebeneffekte erzeugen: So<br />
können zum Beispiel Graustufenänderungen<br />
nach einer neuen Grafikbibliothek<br />
auf einer radiologischen Befun-<br />
dungsworkstation auftreten. Ein Virenscanner<br />
kann wiederum die Ausführung<br />
vonProgrammen verhindern und arbeitet<br />
oft mit einer so hohen Systemlast,dass<br />
anderen Anwendungen nicht mehr genügend<br />
Ressourcen zur Verfügung stehen.<br />
Liefert ein Messplatz zum Beispiel<br />
falsche Ergebnisse, weil der Virenschutz<br />
täglichsämtliche Festplatten scannt,dann<br />
wird der Hersteller des Medizinprodukts<br />
die Verantwortung für nicht autorisierte<br />
Veränderungen am System ablehnen.<br />
Es ist also eine differenziertere Vorgehensweise<br />
notwendig, die individuell<br />
auf die technischen, organisatorischen<br />
und personellen Möglichkeiten<br />
eines Krankenhauses abgestimmt ist.<br />
Bei der Absicherung vernetzter Medizinprodukte<br />
hat sichdie folgende Vorgehensweise<br />
bewährt:<br />
Identifizierung der Medizinprodukte<br />
im Netzwerk: Die Netzwerkemüssen<br />
durchforstet werden, um die Medizinprodukte<br />
zu identifizieren und den Projekten<br />
entsprechend dem Geräteverzeichnis<br />
zuzuordnen.<br />
Schulung der IT-Abteilung: Die IT-Abteilung<br />
muss sichinSachen Medizinproduktgesetz<br />
informieren und selbständig<br />
Entscheidungen treffen können.<br />
Entwicklung einer Absicherungsstrategie<br />
für Medizinprodukte: Das Krankenhaus<br />
muss eine Gesamtstrategie für<br />
die Absicherung der vernetzten Medizintechnik<br />
entwickeln.<br />
Aufbau eines Absicherungskatalogs:<br />
Es muss ein Absicherungskatalog erstellt<br />
werden, der technische Standardmaßnahmen<br />
zur Absicherung der MPG-Systeme<br />
vorschlägt. Diese werden auchbei<br />
Neuanschaffungen im Dialog mit dem<br />
Hersteller angewendet.<br />
Absicherung der Medizinprodukte:<br />
Schließlichfolgt die konsequente Absicherung<br />
der Medizinprodukte. Gleichzeitig<br />
müssen die Systeme für die IT relevant<br />
dokumentiert werden.<br />
Diese Vorgehensweise wird weitestgehend<br />
vomkommenden Prozessstandard<br />
ISO/IEC 80001 abgebildet. An der<br />
Schaffung dieses Standards beteiligen<br />
sichauchdeutsche Hersteller und Krankenhausvertreter.Sie<br />
treffen sichregel-<br />
mäßig in der Arbeitsgruppe 811.3.2 der<br />
DKE (Deutsche Kommission Elektrotechnik<br />
Elektronik Informationstechnik im<br />
DIN und VDE). In ihren Gesprächen diskutieren<br />
sie darüber,wie künftig medizintechnische<br />
Systeme in Krankenhäusern<br />
vernetzt werden können und wie<br />
ein Risikomanagement- und Integrationsprozess<br />
im Krankenhaus gestartet<br />
werden kann.<br />
DIE LÖSUNG besteht in der Beauftragung<br />
eines Spezialisten, der als Integrationsmanager<br />
den Integrationsprozess<br />
anstößt und überwacht. Durchgeführt<br />
wird dieser Prozess hingegen wie<br />
bisher vonden Projekt- und Produktverantwortlichen,<br />
aber eben abgesichert unter<br />
den Risiko-Leitlinien der Klinik. Neben<br />
den Sicherheitsaufgaben behandelt<br />
der Prozessstandard auchweitere wichtige<br />
Kenngrößen vonNetzwerken und<br />
regelt die Vorgehensweise bei der Integration<br />
vonMedizinprodukten. So ist die<br />
Frage der im Netz verfügbaren Dienstgüte,<br />
insbesondere die Bandbreite und die<br />
Verfügbarkeit bestimmter Netzbereiche,<br />
vorder Integration eines Medizinprodukts<br />
in das Netzwerk zu klären. Wenn<br />
beispielsweise die Backup-Lösung eines<br />
Klinikums neben einer PACS-Serverumgebung<br />
platziert wird, und beide dieselben<br />
Netzwerkressourcen verwenden,<br />
dann steht für das PACS eine drastisch<br />
reduzierte Netzwerkbandbreite zur Verfügung,<br />
waszuProblemen beim Workflow<br />
führen könnte. Zurzeit ist das Nebeneinander<br />
der unterschiedlichen<br />
Anwendungen im Netzwerk nochsolange<br />
ohne Bedeutung, bis massiveFehler<br />
analysiert werden. Zukünftig soll der<br />
Standard dabei helfen, solche Probleme<br />
im Vorfeld zu vermeiden.<br />
EINE MASSIVE INFEKTION mit<br />
Schadprogrammen ist grundsätzlich<br />
möglich, ganz gleichobdas Medizinprodukt<br />
abgesichert wurde oder nicht. Dann<br />
ist ein Krisenmanagement erforderlich,<br />
welches umso effektiver ist, je besser es<br />
vorbereitet wurde: Dazu gehört beispielsweise,<br />
dass die Verträge und die komplette<br />
Dokumentation der Medizinproduk-<br />
FOTO: SHUTTERSTOCK