Prägend für die Leistungsfähigkeit eines Krankenhauses ist in der heutigen Zeit eine Infrastruktur, die professionellen Ansprüchen genügt. Dazu gehört auch eine rechtzeitige und regelmäßige Überprüfung aller Bestandteile von Hardware bis Software und Netzwerkanbindungen. Das Universitätsklinikum Münster (UKM) hat dies frühzeitig erkannt und sich für die Durchführung einer Schwachstellenanalyse der IT-Systeme entschieden.
Dabei geht es auch um übergeordnete Zielvorstellungen, oft umschrieben als Alignment zwischen Business und IT. So dienen die IT-Infrastrukturen in Krankenhäusern in erster Linie der Patientenversorgung. Diese soll aber auch immer mehr wirtschaftlichen Grundsätzen unterliegen, ausdrücklich niedergelegt in verschiedenen Reformen des Gesundheitswesens. Eine dynamische Anpassung an neue Standards oder weitere gesetzliche Regelungen sowie eine schnelle Reaktion bei Notfällen sind dabei unabdingbar.
Heute sind fast alle Bereiche des Klinikbetriebes – von der Versorgung der Patienten über die medizinischen Geräte bis zu den unterstützenden Sub-Systemen und der Verwaltung – von der IT abhängig. Dies birgt zugleich diverse Risiken. Verkürzt gesagt: Ohne eine funktionierende IT droht der Krankenhausbetrieb zusammenzubrechen. Die IT-Verantwortlichen sollten sich der potenziellen Gefahren stets bewusst sein und Lösungen zu deren Minimierung bereitstellen, selbst wenn dafür zusätzlich Ausgaben anfallen.
"Im laufenden Tagesgeschäft ist es allerdings nicht einfach, den Überblick über die gesamte IT-Infrastruktur zu behalten", meint hierzu Hendrik Kortebusch, IT-Business Consultant bei der Janz IT AG, die beim UKM die Durchführung der Schwachstellenanalyse verantwortete. Kortebusch fügt hinzu: "Denn die Herausforderungen steigen vehement."
Das Potenzial von Schwachstellen in der Krankenhaus-IT nehme, so der Consultant, unter anderem aufgrund von folgenden Entwicklungen zu:
-
Die Datenmengen wachsen unaufhaltsam,
-
sensible Patientendaten sollen digital und
-
zentral verwaltet werden (elektronische Patientenakte), Arbeitsprozesse werden über Stationen, Fachabteilungen sowie Kliniken hinaus koordiniert.
Moderne IT = Risikominderung eingeschlossen
Dies alles habe langfristig Auswirkungen auf die Speicherkapazität, die Verfügbarkeit der digitalen Informationen, die Datensicherheit, die Netzwerke und die EDV-Verwaltung. Dazu steige die Zahl der Nutzer sowie der benötigten Anwendungen, so dass IT-Lösungen immer komplexer und die Aspekte des IT-Risikomanagements vielseitiger werden.
Als eines der größten Krankenhäuser für Maximalversorgung Deutschlands behandelt das Universitätsklinikum Münster mit seinen 7.200 Mitarbeitern jährlich rund 46.000 stationäre Patienten und betreut ein Einzugsgebiet weit über das Münsterland hinaus. Die IT-Infrastruktur des Klinikums ist entsprechend der verschiedenen internen Anforderungen – Geschäftsführung, Verwaltung, Forschung, Ärzte und Pflegepersonal – aufgebaut und soll durch den neuen Geschäftsbereich Informationstechnologie organisatorisch und technisch stetig weiterentwickelt werden.
Momentan verwaltet die IT-Abteilung zwei Rechenzentren mit über 300 Servern und 80 Datenbanken für mehr als 6.000 Nutzer. Damit die Patienten jederzeit versorgt sind und von aktuellen Forschungsergebnissen profitieren, müssen sowohl die IT-Umgebung als auch die medizinische Technik ständig verfügbar sein. Das bedeutet, dass potenzielle Risiken auf ein Minimum reduziert und im Notfall passende Lösungsstrategien vorliegen müssen.
Mit Hilfe einer ausführlichen Schwachstellenanalyse lassen sich die IT-Gefahren im täglichen Klinikbetrieb identifizieren und konkret definieren. Die daraus resultierenden Erkenntnisse bilden die Grundlage für Maßnahmen zur Beseitigung der möglichen Risiken. Ziel ist es, dass die IT die medizinischen und wirtschaftlichen Klinikprozesse so effektiv unterstützt, dass wichtige Anwendungen rund um die Uhr zur Verfügung stehen und eine kontinuierliche IT-Sicherheit gewährleistet ist.
Die IT-Umgebung muss also in einem solchen Umfang ausgelegt sein, dass sie eine hohe Ausfallsicherheit und Verfügbarkeit sowie umfangreichen Datenschutz aufweist. Hierbei spielen nicht nur die technischen Gegebenheiten des Rechenzentrums eine große Rolle, sondern auch die baulichen, wie Brandschutz, Zutrittsschutz, Kühlung und Stromversorgung. Auf allen Ebenen sollten alternative Konzepte vorhanden sein, was auch die Vorhaltung gewisser finanzieller Reserven einschließt. Auf technischer Ebene bieten zum Beispiel Thin Provisioning bei Storage oder Server-Virtualisierung ausreichend Kapazitäten für unvorhergesehene Fälle von Erweiterung oder Skalierung.
Risikoanalyse muss Ziele definieren
Damit die Analyse der Server-, Speicher-, Netzwerk- und virtualisierten Infrastruktur des UKM produktive Ergebnisse liefert, definierten die IT-Verantwortlichen zusammen mit den Janz-Consultants drei Hauptziele:
-
1. Aufnahme der Risiken hinsichtlich ihrer Verfügbarkeit und Technologie
-
2. Erstellung eines Maßnahmenkataloges zur Risikominimierung
-
3. Entwicklung eines Konzeptes zur Umsetzung der Maßnahmen inklusive einer Kostenabschätzung.
Für die Betrachtung der Rechenzentrums-Infrastruktur wurde mit der Schnabel AG ein weiterer Partner hinzugezogen, um die bauliche Substanz und die Elektro- und Klimatechnik zu analysieren.
"Zuerst erfolgt bei einer Schwachstellenanalyse die umfangreiche Aufnahme des Ist-Zustandes", erklärt Kortebusch das Verfahren. "Erst nach der Ansicht und Prüfung der Systeme lassen sich mögliche Risiken und konkrete Handlungsanweisungen ableiten." Bei der sukzessiven Aufnahme sämtlicher IT-Bereiche müssten im ersten Schritt Fragen geklärt werden wie zum Beispiel: Wo bestehen Abhängigkeiten innerhalb der Umgebung? Wie sind die Systeme aktuell konfiguriert? Welche Risiken ergeben sich aus dem Ist-Zustand? Welche Auswirkungen resultieren aus ihnen? Im zweiten Schritt werden dann die Gefahren priorisiert und Schutzmaßnahmen sowie Handlungsempfehlungen erarbeitet.
Im Falle des UKM waren durch eine optimierte Konfiguration der IT-Komponenten Leistungszugewinne und mehr Ausfallsicherheit möglich. Darin inbegriffen sind auch eine ausgeglichene Verteilung der Server-Systeme auf beide Rechenzentren sowie eine Erweiterung der Speicherstrategie hinsichtlich einer Spiegelung, was die Desaster-Toleranz erhöht.
Mit dieser Strategie gliedert das UKM eine Vielzahl seiner Geschäftsprozesse und IT-Services in Wiederanlaufklassen. Das heißt, dass nach einem IT-Ausfall genau festgelegt ist, welche Leistungen als erstes wieder zur Verfügung stehen müssen. Auf diese Weise ist auch im Notfall eine zuverlässige Versorgung der Patienten gewährleistet.