Speziell in der von Digitalisierung durchdrungenen heutigen Zeit sind Gesundheitseinrichtungen auf sichere IT-Systeme angewiesen, um den täglichen Betrieb zu gewährleisten. Von der Patientenverwaltung bis hin zur medizinischen Bildgebung spielen Rechenzentren eine zentrale Rolle. Auch der Aspekt der digitalen Dokumentation von Befunden oder E-Rezepten, die fachgebietsübergreifend eingesehen werden können, um so im Idealfall eine über den Tellerrand blickende Diagnostik und individuell abgestimmte Therapien zu ermöglichen, werden immer bedeutungsvoller. Doch mit dem steigenden Grad der Digitalisierung geht auch die Gefahr der Handlungsunfähigkeit im Falle einer Störung der IT einher. Aus diesem Grund sollten sich Kliniken und Krankenhäuser zukunftsorientiert aufstellen und vorbeugende Maßnahmen ergreifen, um größere Schäden zu vermeiden.

Ein ausgeklügeltes IT-Risikomanagement legt hierfür eine gute Basis und umfasst die Identifikation, Bewertung und Kontrolle vorherrschender Risikofaktoren. Sie hat das Ziel, potenzielle Bedrohungen und deren Negativfolgen zu minimieren und eine möglichst unterbrechungsfreie IT aufrechtzuerhalten. Um in der Krankenhaus IT ein solch hohes Sicherheitslevel zu erzielen ist daher im ersten Step eine Risikoanalyse notwendig.

Wo drückt der Schuh?

Bei der Vorbereitung, Durchführung und Auswertung der Risikoanalyse sowie der Behandlung von IT-Abhängigkeiten trägt die Krankenhausleitung die Verantwortung für das Risikomanagement und zeichnet somit auch für dessen Umsetzung verantwortlich. „Der souveräne Umgang mit Gefahren im Umfeld der Krankenhaus-IT erfordert ein hohes Maß an Aufmerksamkeit und gut strukturierte Maßnahmen. Eine professionelle IT-Risikoanalyse als erstes Werkzeug der Wahl, ermöglicht es, Gefahren frühzeitig zu erkennen“, weiß Susanne Back, Managing Partner der DeRZ – Deutsche Rechenzentren GmbH mit Sitz in Siegen und ergänzt: „Eine akribische Risikobewertung bildet die Grundpfeiler der anschließenden Maßnahmenplanung, um die Beeinträchtigungen der IT im Falle eines Ereignisses gering zu halten“. Angemessene Vorkehrungen zum Schutz der IT-Infrastruktur eines Krankenhauses umfassen beispielsweise die Bewertung aller relevanten Prozesse, bei denen ein Ausfall der unterstützenden IT-Anwendungen schwerwiegende Folgen hätte. Darüber hinaus werden die Komponenten der IT-Infrastruktur untersucht, die für den störungsfreien Betrieb dieser Abläufe unerlässlich sind. Hinzu kommt die Identifikation möglicher Bedrohungen und Schwachstellen, die den Betrieb von kritischen IT-Komponenten gefährden können. Die Risikoanalyse zeigt damit auf, an welchen Stellen anzusetzen ist, um die Verfügbarkeit der kritischen Prozesse eines Krankenhauses möglichst unterbrechungsfrei sicherzustellen und bietet wichtige Entscheidungsgrundlagen, wenn es um die Auswahl geeigneter Sicherheitsmaßnahmen geht.

„Grundsätzlich ist bereits ein wichtiger Schritt getan, wenn Rechenzentren technisch modern aufgestellt sind – denn dann sind sie in jedem Fall für die Anforderungen im Ernstfall gerüstet, die aus der vorangegangenen Analyse hervorgehen. Das A und O stellen sichere Systeme dar, die eine optimal strukturierte IT-Notfallplanung erst möglich machen und in der Lage sind, die Prozesse unterbrechungsfrei aufrechtzuerhalten beziehungsweise diese schnell wiederherzustellen“, erklärt Susanne Back. Denn Krankenhäuser sind aufgrund ihrer Relevanz für das Wohlergehen der Bevölkerung Teil der ‚Kritischen Infrastrukturen‘ (KRITIS). Aus diesem Grund sind sie verpflichtet, die Verfügbarkeit ihrer Dienstleistungen sicherzustellen.

Risiken ausloten im Sinne der Versorgungssicherheit

Speziell in Gesundheitseinrichtungen ist eine durchdachte IT-Notfallplanung daher essenziell, damit keine Folgen für die Patientenversorgung entstehen. Darüber hinaus kann auch eine Eingliederung des IT-Notfallmanagements in das übergeordnete allgemeine Risikomanagement eines Krankenhauses erfolgen. Auf diese Weise können Notfallprotokolle und Vorgehensweisen übernommen werden. Im IT-Notfallplan sind unter anderem Kommunikationsketten, Verantwortlichkeiten, Anweisungen hinsichtlich technischer und organisatorischer Handlungen sowie Handlungsempfehlungen für diverse Notfallszenarien enthalten. Ziel ist es, die Kontinuität der Kernprozesse zu gewährleisten und Vorkehrungen zur Notfallbewältigung zu treffen. Die intensive Auseinandersetzung mit den dafür erforderlichen Ressourcen bildet hierfür die Grundlage. Dabei umfasst das Notfallmanagement in diesem Bereich nicht nur die Informationstechnik als solche, sondern unter anderem auch die Bewältigung von Stromausfällen. Abgesehen von einem Notfallwiederherstellungsplan muss selbstverständlich eine regelmäßige Datensicherung erfolgen.

Gesundheitseinrichtungen stehen vor vielen Herausforderungen, wenn es um die Implementierung von IT-Notfallplänen geht - darunter begrenzte Mittel, komplexe IT-Infrastrukturen und sich ständig ändernde Bedrohungen. Daher macht es Sinn, in moderne Lösungen zu investieren, um die IT-Sicherheit allgemein zu erhöhen. Zudem empfiehlt sich, externe Experten in die Planungen mit einzubeziehen und auf deren Know-how und Erfahrungen zurückzugreifen und so ein optimales Ergebnis zu erzielen. Nicht zuletzt sind regelmäßige Schulungen hilfreich, um die Maßnahmen für den Notfall immer wieder zu trainieren, Prozessabläufe zu verinnerlichen und die Wirksamkeit regelmäßig auf den Prüfstand zu stellen.