Kliniken und andere Gesundheitsvorrichtungen verstehen sich heute in erster Linie als Geschäftsunternehmen. Das zeigt sich nicht nur an dem rasanten Vormarsch der privaten Krankenhäuser in Deutschland, deren Marktanteile ständig größer werden, sondern auch an der Art und Weise, wie die interne Organisation aufgebaut ist. Wenn sich alles dem Umsatz- und Gewinnprinzip unterordnen muss, betrifft das auch die IT-Abteilung.
Konkret: IT wird als Mittel oder Hebel zur Steigerung des Geschäftserfolgs verstanden, so wie alle anderen Unternehmensabteilungen auch. Investitionen werden am Budget gemessen und sie sollen sich unmittelbar lohnen. Logisch in dieser Sichtweise, dass sich nicht alles unter diese strengen Kategorien subsumieren lässt. Zum Beispiel Backup, Archivierung oder Disaster Recovery (DR) und Business Continuity (BC). Nötige Investitionen unterbleiben deshalb oft, weil kein kurzfristiger Nutzen herauszuspringen scheint.
Weltweite Studie
BridgeHead, britischer Anbieter von Management-Software, hat in einer weltweit angelegten Studie herausgefunden, dass DR und BC zu den Sorgenkindern der Healthcare-IT gehören. Hier bestehe akuter Handlungsbedarf, allein schon deshalb, weil die zu speichernden Datenmengen gegenüber dem Vorjahr wieder deutlich angestiegen seien. Dies bekundeten 65 Prozent der 158 Befragten.
Nur 26 Prozent gaben sogar an, in ihrem Unternehmen über robuste, getestete und ausprobierte Tools und Szenarien für Disaster Recovery zu verfügen. Damit sieht es in den Healthcare-Institutionen ähnlich (schlecht) aus wie in der übrigen IT-Anwenderlandschaft.
Und genauso wie dort bekunden die IT-Verantwortlichen, liebend gerne mehr in diesen Bereich investieren zu wollen. Die befragten Krankenhäuser sagen außerdem, dass sie mehr Kontrolle über die gespeicherten Aufnahmen in PACS-Lösungen (Picture Archive and Communication Systems) haben möchten. Diese Daten müssen nicht nur über Archivprogramme jederzeit wieder aktivierbar sein, sie bedürfen außerdem des besonderen Schutzes im Katastrophenfall. Nur so lässt sich eine langfristige Versorgung der Patienten garantieren.
Leitfaden gegen die Datenkatastrophe
Ein Ausweg aus dieser Situation könnte sein, besser über die Speicherorte und die Wertigkeit der vorhandenen Informationen Bescheid zu wissen. Ständiges Monitoring und persönliches Eingreifen je nach Bedrohungsgefahr könnte dazu beitragen, rechtzeitig Gegenmaßnahmen zu ergreifen.
Um zumindest in Deutschland besser vorbereitet zu sein, will der Dienstleister Adesso zusammen mit dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) und weiteren Partnerunternehmen einen "praxisorientierten Leitfaden für das Risikomanagement in Krankenhäusern" erarbeiten. Adesso: "So sollen kritische IT-Infrastrukturen in Zukunft besser abgesichert sein."
Adesso und Partner können sich auf den "Nationalen Plan zum Schutz der Informationsinfrastrukturen", den die Bundesregierung im Juli 2005 als übergreifende Strategie zur IT-Sicherheit verabschiedet hat, berufen. Demnach zählen Krankenhäuser zu den sogenannten "Kritischen Infrastrukturen (KRITIS), bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten".
Daher seien ein Ausbau und eine Detaillierung des Risiko- und Krisenmanagements der Krankenhäuser im Bereich IT notwendig, so dass eine einheitliche Risikobewertung und -vorsorge für alle Aufgabenbereiche unter Einschluss der IT vorgenommen werden könne.
Laut Adesso berücksichtigt der neue Leitfaden unter dem Titel "Risikoanalyse Krankenhaus IT" (RiKrIT) anders als frühere Ansätze "auch teilweise oder komplette Ausfälle der IT innerhalb eines Krankenhauses". Externe Krisenfälle würden bereits über Katastrophenpläne abgedeckt.
Erfahrungen aus der Praxis
Bei Adesso heißt es ferner: "Das Unfallkrankenhaus Berlin (ukb) beteiligt sich als einer der Partner des BSI an der Erstellung des Leitfadens und stellt sich als technologisch fortgeschrittenes Krankenhaus für die praktisch orientierte Ausarbeitung der Vorgehensweise zur Verfügung." Man könne so am Beispiel des ukb die Abhängigkeiten zwischen den fachlichen Kernprozessen und der IT identifizieren, die Gefährdung der Patienten bei IT-Ausfällen bewerten und somit kritische Punkte aufdecken.
Das Fraunhofer-Institut für Sichere Informationstechnologie arbeitet ebenfalls an dem Projekt mit. Es wird verantwortlich für die Erstellung eines Leitfadens sein, "der auch von IT-fremden Personen in seinen Inhalten" in die Praxis umzusetzen sei. Der Leitfaden soll bis Ende Juli 2012 fertiggestellt und veröffentlicht werden.