In Anbetracht immer komplexer werdender Datenmengen und IT-Netze, istdie Überwachung und Identifizierung von Sicherheitslücken eigentlich nur mit Hilfe entsprechender Informationstechnologie möglich. So werden IT-Netze künftig automatisiert verwaltet und überwacht. Das macht eine Konsolidierung notwendig, besonders, wenn sich Krankenhäuser zusammenschließen und ihre Managementsysteme gemeinsam verwalten möchten. In Punkto Datenverfügbarkeit hilft ein einheitliches, herstellerunabhängiges Archiv. Mit dieser Zentralisierung steigt jedoch auch die Risikoanfälligkeit. Umso wichtiger ist es für die Kliniken, sich um eine ausreichende IT-Sicherheit zu kümmern.

Defizite erkennen und beseitigen

In Bezug auf das Risikomanagement arbeiten die meisten deutschen Krankenhäuser schon auf einem relativ hohen Niveau. Dennoch ist das Thema so wichtig, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) sich dessen bereits angenommen hat und dazu den Leitfaden „Schutz kritischer Infrastrukturen: Risikoanalyse kritischer Krankenhaus-IT“ herausgegeben hat. Darin werden u.a. Analysemethoden beschrieben, sowie Nutzen und Grenzen der IT-Risikoanalyse aufgezeigt. Ziel ist, die Krankenhäuser in die Lage zu versetzen Risiken zu erkennen und tätig zu werden, wo es notwendig ist. Dabei helfen kann die Beschäftigung mit Fragen wie „Sind die Mitarbeiter Ihrer Einrichtung für den sicheren Umgang mit kritischer Informationstechnik geschult?“ oder „Werden in Ihrer Einrichtung ausreichende finanzielle und personelle Ressourcen für den IT-Betrieb und dessen Absicherung bereitgestellt?“ Die Beantwortung gibt erste Hinweise auf bestehende Lücken und zeigt, wo Handlungsbedarf besteht.

Integration technischer Geräte in das Netzwerk

Ein Bereich, der beim Thema IT-Sicherheit immer wieder zur Sprache kommt ist die Integration technischer Geräte in das IT-Netzwerk. Dieses Thema wird in dem Leitfaden jedoch nur am Rande behandelt. Es gibt zwar eine DIN-Norm (EN 80001-1), die sich mit der Anwendung des Risikomanagements für IT-Netzwerke mit integrierten Medizinprodukten befasst, in Deutschland ist diese jedoch noch nicht gesetzlich bindend. Das größte Problem besteht darin, dass sich die Informationstechnik viel schneller entwickelt als die Medizintechnik. So passiert es nicht selten, dass Krankenhäuser Geräte angeschafft haben, für die es irgendwann keine Updates mehr gibt. Die Folge: Hier entstehen Sicherheitslücken. Krankenhäuser sollten diese im besten Fall voraussehen und frühzeitig Lösungen zur Risikominimierung entwickeln.