COMPLEX - Visus Technology Transfer GmbH

Weitere Magazine

Empfehlungen

Info

COMPLEX | IT-SICHERHEIT Der kommende Prozessstandard ISO/IEC 80001 beschreibt die Vorgehensweise, wie Medizinprodukte gegen Viren, Würmer und Hacker abgesichert werden. 28 EHEALTHCOM gen wird vonden Herstellern gegenwärtigjedochnicht umgesetzt. Andererseits sind die Kliniken nicht in der Lage, die Netze komplett abzuschotten und gleichzeitig den betrieblichen Anforderungen an die IT-Infrastruktur nachzukommen. Folglichmüssen Gegenmaßnahmen gefunden werden, die den Anforderungen und Möglichkeiten beider Parteien gerecht werden. WENN SICHERHEITSRISIKEN in medizinischen Netzwerken bestehen, sollten IT-Sicherheitsverantwortliche mit Bedacht vorgehen, um nicht die Betriebserlaubnis für die Medizinprodukte zu verlieren. Eine vorschnelle Vorgehensweise kann enorme Kosten erzeugen, etwa wenn der Hersteller den zertifizierten Zustand wiederherstellen muss, nachdem die IT-Abteilung ein infiziertes System„entwurmt“, alle Betriebssystem-Patches installiert und „zur Sicherheit“ nocheinen Virenscanner installiert hat. Denn die Aktualisierung des Betriebssystems kann unbekannte Nebeneffekte erzeugen: So können zum Beispiel Graustufenänderungen nach einer neuen Grafikbibliothek auf einer radiologischen Befun- dungsworkstation auftreten. Ein Virenscanner kann wiederum die Ausführung vonProgrammen verhindern und arbeitet oft mit einer so hohen Systemlast,dass anderen Anwendungen nicht mehr genügend Ressourcen zur Verfügung stehen. Liefert ein Messplatz zum Beispiel falsche Ergebnisse, weil der Virenschutz täglichsämtliche Festplatten scannt,dann wird der Hersteller des Medizinprodukts die Verantwortung für nicht autorisierte Veränderungen am System ablehnen. Es ist also eine differenziertere Vorgehensweise notwendig, die individuell auf die technischen, organisatorischen und personellen Möglichkeiten eines Krankenhauses abgestimmt ist. Bei der Absicherung vernetzter Medizinprodukte hat sichdie folgende Vorgehensweise bewährt: Identifizierung der Medizinprodukte im Netzwerk: Die Netzwerkemüssen durchforstet werden, um die Medizinprodukte zu identifizieren und den Projekten entsprechend dem Geräteverzeichnis zuzuordnen. Schulung der IT-Abteilung: Die IT-Abteilung muss sichinSachen Medizinproduktgesetz informieren und selbständig Entscheidungen treffen können. Entwicklung einer Absicherungsstrategie für Medizinprodukte: Das Krankenhaus muss eine Gesamtstrategie für die Absicherung der vernetzten Medizintechnik entwickeln. Aufbau eines Absicherungskatalogs: Es muss ein Absicherungskatalog erstellt werden, der technische Standardmaßnahmen zur Absicherung der MPG-Systeme vorschlägt. Diese werden auchbei Neuanschaffungen im Dialog mit dem Hersteller angewendet. Absicherung der Medizinprodukte: Schließlichfolgt die konsequente Absicherung der Medizinprodukte. Gleichzeitig müssen die Systeme für die IT relevant dokumentiert werden. Diese Vorgehensweise wird weitestgehend vomkommenden Prozessstandard ISO/IEC 80001 abgebildet. An der Schaffung dieses Standards beteiligen sichauchdeutsche Hersteller und Krankenhausvertreter.Sie treffen sichregel- mäßig in der Arbeitsgruppe 811.3.2 der DKE (Deutsche Kommission Elektrotechnik Elektronik Informationstechnik im DIN und VDE). In ihren Gesprächen diskutieren sie darüber,wie künftig medizintechnische Systeme in Krankenhäusern vernetzt werden können und wie ein Risikomanagement- und Integrationsprozess im Krankenhaus gestartet werden kann. DIE LÖSUNG besteht in der Beauftragung eines Spezialisten, der als Integrationsmanager den Integrationsprozess anstößt und überwacht. Durchgeführt wird dieser Prozess hingegen wie bisher vonden Projekt- und Produktverantwortlichen, aber eben abgesichert unter den Risiko-Leitlinien der Klinik. Neben den Sicherheitsaufgaben behandelt der Prozessstandard auchweitere wichtige Kenngrößen vonNetzwerken und regelt die Vorgehensweise bei der Integration vonMedizinprodukten. So ist die Frage der im Netz verfügbaren Dienstgüte, insbesondere die Bandbreite und die Verfügbarkeit bestimmter Netzbereiche, vorder Integration eines Medizinprodukts in das Netzwerk zu klären. Wenn beispielsweise die Backup-Lösung eines Klinikums neben einer PACS-Serverumgebung platziert wird, und beide dieselben Netzwerkressourcen verwenden, dann steht für das PACS eine drastisch reduzierte Netzwerkbandbreite zur Verfügung, waszuProblemen beim Workflow führen könnte. Zurzeit ist das Nebeneinander der unterschiedlichen Anwendungen im Netzwerk nochsolange ohne Bedeutung, bis massiveFehler analysiert werden. Zukünftig soll der Standard dabei helfen, solche Probleme im Vorfeld zu vermeiden. EINE MASSIVE INFEKTION mit Schadprogrammen ist grundsätzlich möglich, ganz gleichobdas Medizinprodukt abgesichert wurde oder nicht. Dann ist ein Krisenmanagement erforderlich, welches umso effektiver ist, je besser es vorbereitet wurde: Dazu gehört beispielsweise, dass die Verträge und die komplette Dokumentation der Medizinproduk- FOTO: SHUTTERSTOCK
»Wir haben eine restriktive Security-Politik« Wiesichdie Sana-Kliniken gegen Computerschädlinge schützen, erläutert RAINER SCHLIENZ, Leiter des Betreiberzentrums Konzernanwendungen bei der Sana IT Services GmbH. Mit welcher Strategie haben Sie es geschafft, die von Ihnen betreuten Sana-Kliniken seit 15 Jahren virenfrei zu halten? Eine Sicherheitsstrategie umfasst immer eine Vielzahl exakt aufeinander abgestimmter Maßnahmen. IT-Sicherheit bedeutet bei Sana modernste Technik mit definierten Vorgehenskonzepten, die vonunseren eigens hierzu ausgebildeten IT- Sicherheitsspezialisten präzise umgesetzt werden. Und diese Securitiy-Experten sitzen bereits ab der ersten Planung eines IT-Vorhabens mit am Tisch. Wie sichern Sie sich gegen das Risiko ab, das von Computern ausgeht, die dem Medizinproduktegesetz unterliegen? An dieser Stelle arbeiten wir Hand in Hand mit der Sana-Medizintechnisches Servicezentrum GmbH, der konzerneigenen Gesellschaft für Medizintechnik. In der te zur Verfügung stehen. Auch muss die IT-Abteilung mental auf diese Ausnahmesituationvorbereitet werden, damit sie nicht in Panik gerät und sofort mit dem Einspielen vonPatches beginnt. In diesem Fall würde –ohne Genehmigung durchden Hersteller –die Haftung für Schäden auf die Klinik übergehen. Ist der Ernstfall eingetreten, sollte die IT-Abteilung vorrangig die Geschäftsführung darüber informieren. Denn nur mit derRückendeckung durchdie Geschäftsführung können die Verantwortlichkeiten geklärt werden. Dabei lautet die zentrale Fragestellung: Hat der Hersteller versäumt, sein Produkt abzusichern oder hat das Krankenhaus das Produkt entgegen der Empfehlungen des Herstellers in das Kliniknetzwerk integriert? Im Anschluss daran muss die IT-Abteilung Kontakt mit dem Hersteller aufnehmen, um die möglichen Abwehrmaßnahmen zu besprechen: Praxis kommen wir aber nicht umhin, zusätzliche Schutzmechanismen zur Absicherung der betroffenen Geräte zu implementieren. Dabei müssen wir in der Regel an anderer Stelle als am abzusichernden Gerät ansetzen. Wie schützen Sie sich gegen die Gefahr, die von Laptops und USB-Speichermedien ausgeht? Wirbetreiben für die vonSana IT Services betreuten Kliniken eine sehr restriktive Politik. Sana Notebooks können prinzipiell nicht vom Anwender administriert werden und lassen sich nur in das Sana-Netz einbinden. Genausowenig ist es möglich,ein fremdes Gerät unautorisiert in einem Netzwerk der Sana IT Services GmbH zu betreiben. In Einzelfällen können wir für ausgewählte Geschäftsvorfälle eine Freigabe von Datenlaufwerken oder den Einsatz vonUSB-Speichermedien nicht umgehen. Hier setzen wir auf Echtzeitscanner,Personal Firewalls und Application White Lists, die wir stets auf dem neuesten Stand halten. (Interview: Dr.Michael Lang) Die Qualitätssicherungsabteilung des Herstellers soll die sicherheitskritischen Patches schnellstmöglicheiner Überprüfung unterziehen. Andere Sicherheitsmaßnahmen wie etwaVirenschutz oder Firewalling sollten ebenfalls mit dem Herstellerdiskutiert werden. Auch ein autonomer Betrieb des Medizinprodukts ohne Netzwerk sollte erörtert werden. Parallel zur Kommunikation mit dem Hersteller sollte die IT-Abteilung permanent die Aktivitäten des Schädlings analysieren und den Wurm aus dem Kommunikationsnetz eliminieren. Im schlimmsten Fall führt die Infektion zum Ausfall wichtiger medizinischer Systeme, und der Hersteller kann keine Gegenmaßnahmen anbieten. Dann helfen nur nochdrastische Maßnahmen: Befreiung vomSchädling und Aktualisierung mit Patches Funktionsprüfung durchfachkundiges Personal Kennzeichnung, dass das System kein Medizinprodukt gemäß dem Medizinproduktegesetz ist und nur nochinNotfällen auf eigene Gefahr anzuwenden ist. Fazit: Nur mit einem erfolgreichen Krisenmanagement ist eine regelkonforme Wiederinbetriebnahme der Systeme innerhalb weniger Tage möglich. Und nur eine Manöverkritik nachAbschluss der Maßnahmen kann zu Verbesserungen im Netzwerk führen. JOCHEN KAISER ist hauptamtlicher IT- Sicherheitsbeauftragter des Klinikums Erlangen. Kontakt: jochen.kaiser@ ukerlangen.de EHEALTHCOM 29
Seite 1 und 2: www.e-health-com.eu Nr. 1|2009 EUR
Seite 3 und 4: FOTO: LINKS UNTEN: MICHAEL HUDLER;
Seite 5 und 6: 26 Wenn’s imIntranet brennt, weil
Seite 7 und 8: FOTOS: LINKS: FRAUNHOFER IMS; RECHT
Seite 9 und 10: FOTOS: LINKS: SHUTTERSTOCK; RECHTS
Seite 11 und 12: FOTO: RECHTS: SHUTTERSTOCK EINIGUNG
Seite 13 und 14: GRAFIK RECHTS: OLIVER WEISS; FOTO L
Seite 15 und 16: „Die Leonardo-Figur steht in eine
Seite 17 und 18: Auch im Streit um die Freiwilligkei
Seite 19 und 20: Im Reigen der Akteure gibt es derze
Seite 22 und 23: COMPLEX | MEDIZINTOURISMUS 22 EHEAL
Seite 24 und 25: COMPLEX | MEDIZINTOURISMUS 24 EHEAL
Seite 26 und 27: COMPLEX | IT-SICHERHEIT ALARM IM KL
Seite 30 und 31: COMPLEX | conhIT BRANCHENTREFFEN Vo
Seite 32 und 33: COMPLEX | conhIT In diesem Jahr ist
Seite 34 und 35: COMPLEX | ANWENDERBERICHT EFFIZIENT
Seite 36 und 37: COMPLEX | CeBIT BEGREIFBARE eHEALTH
Seite 38 und 39: COMPLEX | ELEKTRONISCHE FALLAKTE ES
Seite 40 und 41: COMMUNITY | PORTRÄT DIE SPÜRNASE
Seite 42 und 43: COMMUNITY | PORTRÄT »Wir werden e
Seite 44 und 45: COMMUNITY | FINANZKRISE DIE KRISE A
Seite 46 und 47: COMMUNITY | DEBATTE 46 EHEALTHCOM N
Seite 48 und 49: COMMUNITY | AUS DEN VERBÄNDEN Deut
Seite 50 und 51: COMMUNITY | AUS DEN VERBÄNDEN Bund
Seite 52 und 53: COMMUNITY | AUS DEN VERBÄNDEN 52 E
Seite 54 und 55: COMMUNITY | AUS DEN VERBÄNDEN TMF
Seite 56 und 57: COMPETENCE | PATIENTENAKTEN Informa
Seite 58 und 59: COMPETENCE | PATIENTENAKTEN Abb. 2-
Seite 60 und 61: COMPETENCE | IHE-PROFILE 60 EHEALTH
Seite 62 und 63: COMPETENCE | TERMINOLOGIE UCUM -sta
Seite 64 und 65: COMPETENCE | STUDIENÜBERBLICK 64 E
Seite 66 und 67: COMPASS | ADVERTORIAL eHealth-Syste
Seite 68 und 69: COMPASS | AUS DEN UNTERNEHMEN »Rau
Seite 70 und 71: COMPASS | FIRMENVERZEICHNIS 70 EHEA
Seite 72 und 73: COMPASS | FIRMENVERZEICHNIS 72 EHEA
Seite 74 und 75: COMPASS | SERVICE TERMINE KONGRESSE
Seite 76 und 77: COMPASS | SERVICE BÜCHER 76 EHEALT
Seite 78 und 79:
ANZEIGE COMPASS | SERVICE WWW STAND
Seite 80 und 81:
Jürgen Sembritzki ist tot. Er star
Seite 82 und 83:
PERSPEKTIVEN MEHR ALS NUR TECHNIK D
Seite 84:
IS+ ACS ©Carestream Health, Inc. 2
Alle anzeigen

COMPLEX - Visus Technology Transfer GmbH

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?