Andreas Lockau, Vorstandsvorsitzender des KH-IT e.V. und Leiter IT und Medizintechnik der Niels-Stensen-Kliniken, Osnabrück. Foto: Niels-Stensen-Kliniken
In anderen Branchen, in der Unterhaltungsindustrie aber auch im „Smart Home“, ist es seit Jahren selbstverständlich, Geräte und Software zu vernetzen. In der Medizin, im Krankenhaus, scheint es ein zäher Prozess zu sein. Woran liegt es?
Das hat verschiedene Gründe. Zum einen ist die Vorgehensweise von IT, Medizintechnik oder auch Betriebstechnik ganz unterschiedlich, das führt zu Interessenkonflikten. Auch die Budgets sind unterschiedlich geplant.
Anderseits zeigen genug Beispiele, dass es gerade an der Zusammenarbeit von IT und Medizintechnik in der vernetzten Welt kein Weg vorbeiführt: Alles wird angebunden und in der Patientenakte gespeichert.
Von außen betrachtet scheinen Medizintechnik und IT ganz unterschiedliche Welten zu sein. Wie kann man diese unter einen Hut bringen?
Beide Berufsgruppen unterscheiden sich tatsächlich. Die Philosophie der Betreuung ist manchmal unterschiedlich. Beide denken serviceorientiert zum Wohle der Kolleginnen, Kollegen und der Patienten im Krankenhaus. Nur lange Zeit sind die übergreifenden Themen wie Vernetzung, Gesetze oder zentrales Datenmanagement von beiden Seiten nicht mitbedacht worden, das ist in der Historie bedingt. Medizingeräte müssen auch vollständig alleine funktionsfähig sein und anderseits waren die IT-Programme nie so nah am Patienten, dass diese gefährdend werden können. Das hat sich mittlerweile gewandelt.
Beide Bereiche können durchaus zusammenwirken, man kann sie „unter einen Hut bringen“: durch Projekte, die nur gemeinsam einen Mehrwert erzeugen und durch viel Zusammenarbeit bei kleineren Umstellungen und Anbindungen. Eine gleiche Herangehensweise über Projektbewertung, Projektplanungen und Umsetzungen helfen ebenfalls.
Immer wieder ist vom Zusammenschmelzen von Medizintechnik und Krankenhaus-IT die Rede. Wie eng sind beide Bereiche in der Branche (und in Ihrem Haus) bereits verzahnt?
Bei uns in Osnabrück gehören IT und Medizintechnik schon seit mehreren Jahren zusammen, das war nicht immer einfach. Durch viele gemeinsame Aufgaben ist eine gute Verzahnung erfolgt.
Ich bin der Meinung, dass das der einzig richtige Weg ist. Auch hier ist die Nähe beider Bereiche und ihrer Mitarbeiter wichtig. Wer miteinander kommuniziert, versteht sich besser.
Die Branche ist da eher zwiegespalten. Ich habe das Gefühl, die einen finden das genau richtig, IT und MT eng auch unter einer Führung zu organisieren, andere sehen das eher als zwei getrennte Abteilungen.
Sind diesem Prozess Grenzen gesetzt?
Kurz und knapp: Nein. Die eigentlichen medizinisch-pflegerischen Prozesse eines Krankenhauses erfordern ein immer engeres Zusammenwachsen. IT und MT sind wie Geschwister: Auf gemeinsamen Wegen, auch wenn sie sich nicht immer lieben.
Sind die jeweiligen gesetzlichen Anforderungen kompatibel? Wie gelingt es, die besonderen Anforderungen an geltende Gesetzesvorgaben zu erfüllen?
Die gesetzlichen Anforderungen waren lange sehr unterschiedlich, doch mit der Betriebssicherheit, den dazugehörenden Gesetzen, Normen etc. nähern sich die Bereiche von beiden Seiten an. IT setzt vermehrt Software ein, die der MDR (medical device regulation, früher MPG) unterliegt, und die Medizintechnik bekommt mit der Herstellersoftware und Anbindung ein Vernetzungsthema, das die IT-Sicherheit einhalten muss.
Macht die Verschmelzung von IT und Medizintechnik die Klinik anfälliger für Cyberkriminalität?
Ein klares JEIN, denn die sogenannte Angriffsfläche wird größer, doch diese ist sofort mit Organisationsstrukturen, Erkennungstools, technischen Einstellungen und Ausfallszenarien wieder einzuschränken. Nicht weniger Aufwand, doch es gibt dafür Lösungen.
Was bedeutet die vernetzte Medizintechnik für das Risikomanagement?
Das Risikomanagement muss breiter gedacht werden, doch auch hier - wie bei der Cyberkriminalität - muss das ganzheitlicher betrachtet werden. Wir sprechen hier über den Allgefahrenansatz im Risikomanagement. Man kann Gefahren nicht strikt nach Bereichen trennen. Denn es gibt viele Risiken aus allen möglichen Bereichen, die den Betrieb eines Krankenhauses stören können: Das betrifft die IT bzw. MT, dazu gehört aber beispielsweise auch Telekommunikation, Strom, Druckluft oder das Abwassersystem.
Ist es möglich, Medizintechnik-Software per Cyberattacke anzugreifen und die Funktion lebenserhaltender Technik zu stören?
Theoretisch ist das möglich, aber die Hürden sind sehr hoch. Auf beiden Seiten wird mit Technik und Organisationsabläufen aufgerüstet, so dass die Gefährdung des Patienten nicht automatisch steigt. Wichtig ist hier ein durchgehendes Betriebsmanagement mit Updates, Tests und Ausfallszenarien.
Cybersicherheit ist in den Kliniken, aber auch in den Medien und in der Öffentlichkeit stark im Fokus. Dabei darf aber nicht vergessen werden, dass es viele andere Bereiche gibt, die die Arbeitsfähigkeit eines Krankenhauses massiv beeinträchtigen können. Aber auch, wenn IT und Medizintechnik sicher und reibungslos kaufen, kann das Krankenhaus für seine kritischen Geschäftsprozesse ein großes Problem beispielsweise mit der Hygiene oder beim Abwasser bekommen. Deshalb ist das ganzheitliche Denken im Risikomanagement so wichtig.
Wo sollte das Risikomanagement für technische bzw. IT-Risiken organisatorisch in der Betriebsführung angesiedelt sein?
Die eine Lösung habe ich auch nicht. Wir setzen für die erkannten und durch KRITIS dokumentierten Risiken das gleiche Werkzeug ein, das vom Qualitätsmanagement für das sonstige Risikomanagement genutzt wird. So werden alle (und weitere) Risiken an einer Stelle gesichtet, bewertet und bearbeitet.
Auch hier kommt zum Tragen, dass Digitalisierung kein reines IT-Thema ist, sondern im gesamten Kontext der Organisation betrachtet werden muss.
Das Gespräch führte Katrin Rüter, Chefredakteurin das Krankenhaus