Wie steht es um das IT-Risikomanagement? Eine Studie der Beratungsfirma PWC zeigt, dass das Gefahrenbewusstsein nicht groß ist und wenige Kliniken auf Ausfälle vorbereitet sind. Was ist Ihr Eindruck?
Gärtner: Die zentralen Risiken für vernetzte Medizinprodukte heißen Netzwerkausfall und Malware. Stellen Sie sich vor, Sie gehen mit unklaren Brustschmerzen in die Klinik. Der Arzt will ein EKG schreiben, doch das EKG-Aufzeichnungsgerät, ein PC, ist von Malware aus dem Netzwerk befallen. Er kann kein EKG schreiben. Also muss sich vor der Beschaffung jemand Gedanken machen, was passiert, wenn ein solches System plötzlich ausfällt. Könnte jemand wegen eines nicht diagnostizierten Herzinfarkts zu Schaden kommen? Das ist Risikomanagement. Es findet leider viel zu selten statt.

Hiller: Ein klassisches Beispiel ist der Alarm im Notfall. Jemand muss ihn hören. Da das Personal auf einer normalen Station nicht im Zimmer ist, versucht man, ihn mit anderen Systemen zu vernetzen. Da fängt das Risiko an. Der Alarm geht auf irgendwelche Kabelwege in irgendwelche zentralen Strukturen über, heutzutage über Netzwerk-Hubs, meistens ins Dienstzimmer, wo sie in leichte Alarme, mittlere und schwere Alarme gestaffelt werden. In der Regel funktionieren die Systeme. Aber wenn sich die Pflegekräfte im Nachbarzimmer treffen und einen Alarm überhören, reichen Sekunden, um jemanden in eine lebensbedrohliche Situation zu bringen.

Dann liegt es aber nicht an der IT, sondern daran, dass die Pflegekräfte gemeinsam den Raum verlassen.
Mögel: Die technischen Fehler sind eine Geschichte, Anwenderfehler sind jedoch ebenso gravierend. Allzu leicht wiegen sich Krankenhäuser in Sicherheit, weil sie über ein elektronisches Überwachungssystem verfügen.

Gärtner: Wenn eine Klinik solche Dinge einführt, sollten sich die Berufsgruppen vorher hinsetzen und überlegen: Was kann passieren? Gibt es Situationen, in denen ein Patient durch einen Ausfall eines Medizinprodukts oder nicht durchdachte Prozesse gefährdet werden kann? Stellen Sie sich vor, der Arzt und die Schwester müssen nachts auf einer Station einen Patienten mit Asystolie reanimieren. Plötzlich geht der Alarm bei einem anderen Patienten los, der 100 Meter weiter weg liegt. Was sollen sie jetzt tun? Deshalb umfasst die DIN 80001 auch Prozessrisiken.

Diese gab es aber schon immer.
Gärtner: Ja, aber jetzt gibt es massive Personalreduzierung; die Bindung der Mitarbeiter an die Stationen wird aufgebrochen. Es gibt Geschäftsführer, die sagen: Wir setzen die Leute dort ein, wo die Arbeit ruft – und zwar mit Personalsteuerung über mobile Kommunikationsgeräte wie Smartphones. Einige Stationen sind nachts nicht mehr besetzt. Dorthin kommt nur jemand, wenn ein Alarm losgeht.

Aber dann gibt es doch auch noch den klassischen Geräteausfall?
Hiller: Beispielsweise eine Intensivstation, die komplett papierlos arbeitete. Eines Nachts war plötzlich ein ganz banales Steckernetzteil eines Hubs (Signalverteiler im Netzwerk, Anm. d. Red.), der zehn Stockwerke tiefer irgendwo im Keller schlummerte, defekt. Es wurden keine Daten mehr übertragen, die Bildschirme waren schwarz. Es wurde dann ein Rekorder geschaffen, ein PC, der ständig PDFs schrieb mit Informationen über die Medikation, die Einstellung vom Beatmungsgerät und so weiter und so fort. Jetzt gibt es dort zumindest ein Back-up. Doch darauf kommt man oft erst, wenn schon etwas passiert ist.

Aber was macht der Anwender bei einem Systemausfall? Muss es auf allen Stationen einen Drucker geben, um Parameter ausdrucken zu können?
Hiller: Das ist eine Möglichkeit. Die lautet: Redundanz. Ein klassisches Medizinprodukt mit lebenserhaltender Funktion arbeitet immer redundant. Das geht gar nicht anders. Eine ganz normale Perfusor-Spritzenpumpe etwa hat zwei Platinen, zwei Prozessoren, alles in doppelter Ausführung.

Erlauben Sie mir, auf die berüchtigte Malware zu sprechen zu kommen. War sie es nicht, die die DIN 80001 getriggert hat?
Gärtner: Es gab zwischen 2005 bis 2007 relativ viel Malware in den Kliniken. Während meiner früheren Tätigkeit im Krankenhaus brachten viele Patienten CDs mit Bildern ihrer Hausärzte mit, die mit Viren verseucht waren. Zusammen mit einem Kollegen aus der IT haben wir dann die niedergelassenen Ärzte aufgesucht und ihnen dabei geholfen, ihre IT-Netze von Malware zu bereinigen, um das Problem an der Wurzel zu lösen. Malware kann ein ganzes Kliniknetz lahm legen; die Radiologie, das PACS – alles. In solchen Fällen geht es um hunderttausende Euros, um Patienten, die Sie verlegen müssen, und um Notfälle, die sie nicht versorgen können.

Wie passiert so etwas? Durch Cyber-Kriminalität?
Gärtner: Betriebssysteme können eine Eintrittspforte sein. Ein Beispiel ist Windows XP, das nicht mehr supportet wird, weshalb Hacker leichter eindringen und etwa ein PACS-System blockieren können. Es gibt Cyber-Kriminelle, die auch vor Krankenhäusern nicht Halt machen, aber keine Klinik redet darüber. In den USA wurden Fälle bekannt, nach denen vereinzelte Krankenhausketten erpresst wurden, indem man ihre Daten verschlüsselt und nur gegen Zahlung einer hohen Summe wieder frei gegeben hat. Dann gibt es noch eine viel profanere Ursache für Malware: Mitarbeiter – so habe ich es selbst erlebt – bringen private Sticks mit und installieren Fremdsoftware ohne Kontrolle durch die IT-Abteilung – und am nächsten Morgen laufen zwei Linksherzkatheter-Messplätze nicht, weil die Rechner verseucht sind. Da hilft nur eine rigide Zugangssperre zum internen Netzwerk und zertifizierte Sticks.

Nun kommen wir allmählich zu den Lösungen – wie sieht es mit den Patches aus – sind die sinnvoll?
Hiller: Nein, Patch-Management ist nicht die Universalmaßnahme für alle Fälle, dies kann so weit gehen, dass eine als Medizinprodukt deklarierte Software dies gar nicht erlaubt. In diesen Fällen dürfen Sie nicht einen Widerstand auf der Hardware-Seite und nicht ein Bit und ein Byte auf der Software-Seite verändern.

Wenn Sie so etwas machen, haben Sie ein neues Medizinprodukt geschaffen. Das heißt, Sie müssen wieder das komplette Konformitätsbewertungsverfahren für dieses Gerät absolvieren mit 17-sprachiger Bedienungsanleitung und so weiter und so fort.

Aber ein PACS-System darf doch gepatcht und verändert werden?
Hiller: In diesem Bereich arbeitet man mit Betriebssystemmodulen, die von Windows freigegeben sind. Aber der Hersteller würde sagen: Ich muss es zuerst umfänglich prüfen. Die Firma würde den einen Patch freigeben – nach drei oder sechs Monaten.

Dann ist Patch-Management keine Allzweckwaffe. Effektiver ist sicherlich, wenn Krankenhäuser sich von ihrem Windows XP trennen – sofern sie noch damit arbeiten.
Mögel: Wir haben in unseren Häusern noch einige Geräte, die auf Windows XP laufen, die werden aber nicht mehr in Netzwerke eingebunden. So schnell wird man die nicht los. Ehrlich gesagt, werden sie fast keine Klinik in Deutschland finden, in der es Windows XP in der einen oder anderen Form nicht noch gibt.

Herr Gärtner, Sie schreiben in einem Beitrag, ein DIN-konformes Risikomanagement sei sehr aufwendig ...
Gärtner: Ja, der Aufwand ist sehr hoch, weil diese Norm sehr abstrakt und komplex geworden ist. Es gibt zur DIN EN 80001-1 sogenannte Technical Reports, die als Leitfaden eine Hilfestellung bei dem Aufbau eines Risikomanagements geben sollen. Ich empfehle, die Norm als Impuls zu verstehen und zu nutzen, um initial zu fragen: Wo habe ich vernetzte Medizinprodukte, deren Verfügbarkeit und Sicherheit sehr hoch sein muss? Wo laufen kritische Prozesse wie zum Beispiel im Bereich WLAN-Verfügbarkeit oder der Übertragung zeitkritischer Alarme bei der Patientenüberwachung? Hier hilft ein Risikomanagement mit der Grundnorm DIN EN 80001-1 und den Technical Reports 80001-2-3 über WLAN-Anwendung und 80001-2-5 über die Alarmintegration.

Womit sollte ein kleines Krankenhaus anfangen?
Mögel: Das Verständnis für das Problem muss in der Klinikleitung angesiedelt sein. Sie kann es der Medizintechnik-Abteilung nicht allein überlassen, denn die sitzt am kürzeren Hebel. Außerdem ist eine Bewertung mithilfe von Experten nötig, um die wichtigste Frage zu klären: Wo liegt das Hauptgefährdungspotenzial im Haus? Eine kleine Klinik, die keine großen Netzwerke betreibt, ist sicherlich schneller zu analysieren als in einem großen Universitätsklinikum, in der viele Netzwerke betrieben werden und miteinander verknüpft sind.

Worauf muss die Geschäftsführung beim Risikomanagement konkret achten?
Hiller: Sie muss darauf achten, dass es standardisierte Prozesse gibt. Das beginnt beim Einkauf von Medizintechnik und IT. Der Einkäufer muss sich zusammensetzen mit den Ärzten, den Pflegekräften, der Hygiene-Verantwortlichen, ITlern, Medizintechnikern und dem Klinikmanagement. Dieser Arbeitskreis muss im Vorfeld die Risiken bewerten, welche beim Vernetzen von Medizinprodukten entstehen können. So wird schon in der Beschaffungsphase ein Standard geschaffen, der viel Geld spart.

Wie lässt sich Geld sparen?
Gärtner: Wenn die Beschaffung mit der Medizintechnik und IT nicht abgestimmt ist, ist durchaus mit 20 Prozent Mehrkosten zu rechnen. Netzwerkbelastungen, Prioritätsalarme, Quality of Service – diese Dinge werden häufig vorher nicht besprochen. Wenn das Gerät dann integriert ist, müssen die Probleme mit viel Aufwand, Geld und Verdruss nachträglich geregelt werden. Ein Krankenhaus, das eine Million ausgibt für ein CT, muss unter Umständen mit 200.000 Euro Mehrkosten rechnen, weil etwa die Strahlenschutzberechnung des Raumes nicht berücksichtigt wurde und das veraltete IT-Netzwerk erneuert werden muss.

So etwas passiert tatsächlich?
Gärtner: Ja, sehr häufig, jeden Tag. In vielen Krankenhäusern hat der Arzt Entscheidungshoheit, er schickt seinen Wunsch an die Geschäftsleitung, die ihn an den Einkauf weiterleitet. Und am Schluss steht die Medizintechnik ratlos vor dem Gerät und ruft nach externer Hilfe. Diese Experten sollen es dann an einem Nachmittag eben mal einbinden. Aber das funktioniert nicht. Risikomanagement heißt auch sauberes Projektmanagement, dies bedeutet, dass jemand die Verantwortung übernimmt, die Vorbereitungen und die Installation plant und sich um die Schnittstellen kümmert. So lassen sich garantiert bis zu 20 Prozent einsparen, die Krankenhäuser häufig ausgeben müssen, weil plötzlich ungeplante und nicht erkannte Mehrkosten aufkommen.

Mögel: Es sind deutliche Einsparungen möglich, das ist auch meine Erfahrung. Das funktioniert bei Sana und anderen privaten Klinikketten, weil wir einen strategischen Einkauf haben, der mit medizintechnischem Know-how besetzt ist und sich mit der IT-Tochtergesellschaft kurzschließt.

Hiller: Ich gebe Ihnen ein simples Beispiel: Ein Einkäufer besorgt ein Ultraschallgerät für 150.000 Euro. Den Preis kann er nicht weiter verhandeln, Abstriche bei der Ausstattung kann er auch nicht machen, weil der Chefarzt klare Vorgaben formuliert. Doch ein Einkäufer, der weiß, was im späteren Klinikeinsatz noch für Extras bei der Vernetzung des Geräts mit einem Datenmanagement auf die Klinik zukommen, wird zum Hersteller sagen: „Aber die Dicom-Schnittstelle ist bitteschön noch mit drin.” Dieser eine Satz spart der Klinik um die 10.000 Euro.

Gibt es zur DIN Gerichtsurteile?
Hiller: Nein, aber wenn die Norm in die Hände eines Staatsanwalts gerät, ist es schärfer als alle Skalpelle, die in einer Klinik in der Schublade liegen.

Wie sieht es mit den Haftpflichtversicherern aus?
Gärtner: Die Versicherungen fragen zunehmend nach IT-Risikomanagement, zum Beispiel – ich habe es selbst erlebt – nach einem Patch-Management von Betriebssystemen. Die Versicherer verstehen Nicht-Patchen als ein Risiko, das nicht mehr abgedeckt ist. Im Umkehrschluss: Hat das Haus ein Problem mit Malware auf einem nicht gepatchten Medizinproduktesystem, und wird im Zusammenhang damit ein Patient geschädigt, kann eine Versicherung Leistungen ablehnen.

Antwi-Schultze-Lebenstedt: Bisher haben die Versicherer ja hauptsächlich auf das klinische Risikomanagement geschaut. Aber jetzt, da die IT in Verbindung mit den Medizinprodukten sehr häufig die Basis für Diagnose und Therapie darstellt, ist damit zu rechnen, dass die Haftpflichtversicherer hier genauer schauen.

Gibt es so etwas wie das CIRS eigentlich auch für die IT?
Hiller: Ja, wenn ein Patient durch ein Medizinprodukt zu Schaden gekommen ist oder hätte kommen können, sind die Kliniken verpflichtet, das dem BfArM, dem Bundesinstitut für Arzneimittel- und Medizinprodukte, zu melden. Doch das passiert kaum.

Besteht die Pflicht auch bei einem Rechner-Problem etwa bei einem Ausfall von Windows-XP?
Gärtner: Es ist ein meldepflichtiger Vorfall, wenn der Rechner mit einem Medizinprodukt zusammenarbeitet – ein Beispiel ist der Zentralrechner auf der Intensivstation. Denn es stellt eine massive Gefährdung der Patientensicherheit dar, wenn der Zentralrechner ausgefallen ist. Was dann zu tun wäre, müsste man in Arbeitsanweisungen hinterlegen. Alle diese Probleme sind real; ich habe in den letzten 24 Monaten vier Gerichtsgutachten wegen Patiententod in Verbindung mit vernetzten Medizinprodukten und angeblich fehlerhafter Alarmierung erstellen müssen. Und: Ich begleite zurzeit mehrere Krankenhäuser beim Risikomanagement im Bereich der Alarmierung. Hier passieren die meisten Zwischenfälle. Durch die Ökonomisierung der Medizin, durch massiven Stellenabbau und den verstärkten Einsatz von Netzwerken, IT und mobilen Kommunikationsgeräten haben wir leider wieder mehr Zwischenfälle mit Patientenschaden.

Ist es vorteilhaft, wenn eine Person sowohl für IT als auch für Medizintechnik verantwortlich ist?
Mögel: Jein. Ich könnte Ihnen einige Kliniken nennen, in denen es per Beschluss einen Zusammenschluss von Medizintechnik und IT gab – heute sind dort IT und MT mehr getrennt denn je, auch wenn sie sich jetzt unter einer Führung befinden. Die Mitarbeiter bekämpfen sich und arbeiten teilweise gegeneinander. Wichtig ist viel mehr, dass sich IT- und MT-Mitarbeiter gegenseitig die Bälle zuspielen. So machen wir es bei Sana, weil wir festgestellt haben, dass es unwesentlich ist, ob die Abteilungen zu organisatorischen Einheiten verschmolzen sind. Viel wichtiger ist, dass sie vernünftig miteinander arbeiten, sprechen und letztendlich eine funktionale Einheit bilden. Wir haben ein gemeinsames Projektmanagement zwischen Sana IT und Sana Medizintechnischem Servicezentrum. Wir gehen Projekte gemeinsam an, schauen, wer welche Ressourcen hat, sodass auch mal ein MT-Mitarbeiter ein „IT-lastigeres Problem” übernimmt oder umgekehrt.

Antwi-Schultze-Lebenstedt: Interessanterweise gibt es in unseren Risikomanagement-Kursen immer mehr Medizintechniker, die ein Zusatzstudium in der IT absolviert haben. Viele haben sogar neben ihrem MT-Studium ein kleines IT-Unternehmen aufgebaut. Die Grenzen scheinen also zu verschwimmen – zumindest bei den unter 30-Jährigen.

Hiller: Darf ich an dieser Stelle ein Rezept empfehlen: Am besten ist eine Matrixorganisation – für jedes Thema bildet sich ein Experten-Tandem aus einem ITler und einem Medizintechniker. Zwei sind für die PACS-Systeme zuständig, zwei für die Ultraschallsysteme und so weiter und so fort. Mit einer solchen Matrix kann man nur gewinnen. Denn man braucht einen Medizintechniker und einen ITler, weil der eine nicht weiß, was ein VMware Server ist, und der andere den Begriff Ableitstrom nicht kennt.

Da wir bei Rezepten sind: Wie würden Sie für unsere Leser die Message-to-go zusammenfassen?
Gärtner: Die Geschäftsführung sollte für Beschaffungen von vernetzten Medizinprodukten einen Prozess etablieren und durchsetzen, mit dem alle beteiligten Berufsgruppen die Beschaffungen abstimmen und planen. So können nicht nur die finanziellen Auswirkungen sauber geklärt werden: Es lässt sich auch im Vorfeld das Risikomanagement anstoßen. Für die Umsetzung der Beschaffung und Installation komplexer, vernetzter Medizinprodukte sollte dann ein Projektleiter verantwortlich sein, der zugleich das Risikomanagement mit den beteiligten Berufsgruppen durchführen kann. Das bedeutet, ein Projektmanagement mit Risikomanagement einzuführen beziehungsweise vorhandene Organisationsstrukturen und -prozesse auszubauen. Das ist Aufgabe der Geschäftsleitung. Mit dieser Formulierung kann man ihr die Strategie vorgeben. Punkt. Kommen Sie nicht mit Tabellen, Risiken, Aktenordnern – das liest kein Mensch.

Hiller: Der Vorteil dieser Strategie: Der Geschäftsführer ist frei von fahrlässigem Verhalten. Er kann durchatmen.

Gärtner: Oder wollen Sie es kürzer? Risikomanagement? Chefsache! Das wäre doch eine tolle Überschrift.