Die Probleme sind bekannt: Weitgehend offen ist noch immer, wie wir die Netze ordentlich gestalten sollen. Wir wissen nicht genau, welche Qualifikationen auf Seite der IT-Mitarbeiter erforderlich sind. Und immer wieder müssen wir mit Herstellern Diskussionen führen, um überhaupt die nötigen Integrationsinformationen für das Netzwerk zu bekommen. Die Krankenhausleitungen versuchen die Schwierigkeiten jedoch auf fast immer auf gleiche Weise zu lösen: Gibt es Probleme zwischen Medizintechnik und der IT, ist eine der ersten Reaktionen meistens, die beiden Abteilungen zu vereinen. In der Regel versucht man, die kleinere Abteilung, oft die Medizintechnik, der größeren, der IT, zuzuordnen. Diese Zusammenlegung findet allerdings meist in erster Linie auf dem Papier statt. Spannungen bleiben da nicht aus. Aus Sicht der IT sind die neuen Kollegen aus der Medizintechnik oft keine „echten ITler”, da sie nicht das gemeinsame Kriterium der ITler erfüllen, sich also nicht ausreichend mit IT auskennen. Die Kollegen aus der Medizintechnik wiederum beschweren sich oftmals über die Kollegen aus der IT, etwa dass diese „abkürzen” und Projekte unsauber gestalten.

Statt die Medizintechnikabteilung einfach in die IT zu integrieren, wäre es besser, die beiden Abteilungen würden fusionieren und die Möglichkeit haben, sich tatsächlich einander anzunähern. Das funktioniert aus Sicht der Beteiligten dann, wenn die Zusammenarbeit am Ende erfolgreicher als bisher gelingt. Wenn also Probleme an der Schnittstelle wegfallen, Aufgaben besser und schneller gelöst werden können als vorher. Der KPI (Key Performance Indicator) dafür ist übrigens die Vermischung der beiden Gruppen beim Mittagessen oder in der Pause: Reden sie nun miteinander oder nicht?

Die medizintechnische Kompetenz der IT
Wie gut kann die IT nun ihrerseits Medizintechnik? Dies ist nicht nur eine Frage der technischen Expertise. Vielmehr geht es darum, wie exakt die IT arbeitet. Und ob tatsächlich eine Kompatibilität zu einem sauberen Ingenieurbetrieb gegeben ist. Klare Kennzeichen dafür sind, dass die Verteilerschränke für das Netzwerk ordentlich geführt werden, dass die IT in Projekten auf die Bedürfnisse der Medizintechnik eingeht und dass man in der Lage ist, ein gemeinsames Verzeichnis der vernetzten Systeme und vernetzen Medizingeräte zu führen.

Der Bereich der Medizintechnik/IT wird oftmals mit der Norm IEC80001-1 in Verbindung gebracht. Ihr offizieller Titel lautet: „Risikomanagement von Netzwerken, an die Medizinprodukte angeschlossen werden”. Doch die Norm war leider von Anfang an weder das, was der Anwender wollte und brauchte. Der Anwender, damals vertreten durch zwei Visionäre eines privaten Klinikkonzerns, wollte eine Norm, die vorgibt, wie Medizintechnik konkret zu schützen ist, zum Beispiel durch die Aufteilung in Netze. Die ursprüngliche Idee war damals, Netze je nach Kritikalität zu unterteilen in Klasse A, B und C und diese dann mehr oder weniger sicher zu implementieren. Stattdessen ging man einen anderen Weg. Man kopierte das Verfahren der Hersteller auf die Anwender. Was nun entstand war eine dynamische Risikomanagementnorm.

Das Ergebnis kennen wir: Die Vorgehensweise und die Nebenbedingungen sind so komplex, dass die Norm kaum anwendbar ist. Ich gestehe das als jemand, der selbst am Entstehen dieser Norm mitgewirkt hat, nicht gern. Aber sie ist kein Erfolg. Etwas Anderes zu behaupten, wäre einfach falsch.

Standardisierung als Lösung
Die Strategie „Absicherung vernetzter Medizintechnik” ist vielleicht grundsätzlich falsch aufgebaut. Sie ist so konstruiert, dass sie den Spezialfall zuerst sieht. Also den Fall, dass eine Medizintechnik-ans-Netz-Baustelle so kompliziert ist, dass ein dynamisches Risikomanagement nötig ist – und damit ein langwieriges Verfahren und einen Risikomanager. Aber das ist bei einfachen Fällen, bei engagierten Medizintechnikern oder IT-Mitarbeitern, die mehr Sicherheit wollen und oft mit begrenzten Möglichkeiten arbeiten, keine praktikable Lösung. Hier wären einfache Vorgaben wertvoller. Etwa der Aufbau sicherer medizinischer Netze, getrennt vom medizinischen Versorgungsnetz. Und die Bereitstellung von Firewall-Regeln und Patches durch den Hersteller.

Plädoyer für standardisierte Verfahren
Damit könnte man wahrscheinlich einen Großteil der medizintechnischen Systeme gut absichern. Erweitern wir das zu einem Verfahren, wo Standardfälle durch Standardverfahren und Spezialfälle durch Risikomanagement abgewickelt werden, ergibt sich eine klare Unterscheidung zwischen medizintechnischen Geräten und komplexen Systemen (siehe Grafik Seite 67).Die Absicherung der vernetzten Medizintechnik sollte mit eigenem Personal durchführbar sein. Risikomanagementspezialisten, die es ohnehin kaum gibt, sollten nur bei komplexen Projekten hinzugezogen werden müssen. Durch standardisierte Verfahren könnten wir eine Robustheit und Sicherheit durch bekannte Sicherheitstechnik gewährleisten. Das wäre kostengünstig und hätte eine breite Machbarkeit. Und auch eine termingerechte Durchführung wäre nicht mehr so schwierig, weil nicht unnötig lang auf kreative Prozesse und Widersprüche dazu gewartet werden müsste.

Grenzen der Absicherung
Die nächste Frage, die sich in dem Zusammenhang stellt, ist: Sollen wir den potentiellen Ausfall einer Medizintechnik durch organisatorische Ersatzprozesse abfedern? Diese entstehen bei einem Risikomanagementprozess mit dem Ziel, Restrisiken zu senken. Vor dem Hintergrund, dass die Pflege eine Fachausbildung, Zusatzausbildung und Kenntnisse beziehungsweise eine Einweisung in die verschiedenen medizintechnischen Systeme erfordert, ist dies allerdings kritisch zu sehen. Müsste für jedes dieser Systeme noch ein Ersatzverfahren erdacht, geschult und eintrainiert werden, geraten wir in einen neuen Zielkonflikt von Machbarkeit, Bezahlbarkeit und Risikoästhetik. Hier gilt es, abzuwägen und vorsichtig zu handeln. Denn jedes Mehr an Last und Pflichten in der Pflege erhöht die Komplexität und damit erneut die Fehleranfälligkeit.

Die hohen Nebenkosten der ISO-Norm
Wenn eine Norm wie die IEC 80001-1 ein ISO oder IEC-Standard ist, dann wird darüber nicht nur bei der DKE/DIN in Frankfurt beraten, sondern auch auf Treffen auf der ganzen Welt. Dort treffen sich Delegierte der Landesorganisationen, um die Inhalte der Norm zu diskutieren und auszuhandeln. Kritiker bezeichnen das internationale Standardisierungsgremium ISO (International Standards Organization) daher auch spöttisch als „International Sightseeing Organization” – weil die Tagungsorte der Sitzungen auf der ganzen Welt stattfinden. Teilnehmer, die nachhaltig die Normierung beeinflussen wollen, müssen dieser Standardisierungs-Maschinerie zwangsläufig hinterher reisen. Für Medizintechnik-Hersteller ab einer bestimmten Größe mag das möglich sein. Sie haben die finanziellen und die personellen Ressourcen, um die strategischen Interessen des Herstellers bei der Standardisierung/Normierung mit einzubringen. Doch welches Krankenhaus hat schon die Mittel, einen Mitarbeiter an drei bis vier internationalen Standardisierungs-Events teilnehmen zu lassen, wenn dafür jeweils 3.000 bis 5.000 Euro Reisekosten anfallen?

Die Lösung dafür kann nur sein, dass wir unsere Vertretungsorganisationen (wie die Krankenhausgesellschaften) in die Pflicht nehmen, uns noch intensiver bei Standards zu vertreten. Hier sind die Klinikgeschäftsführer gefordert. Sie müssen das Risiko „schleichende Gesetzgebung durch Normen” erkennen, eine Strategie festlegen und die Krankenhausgesellschaften mit dem Mandat versehen, eine professionelle Vertretung auch in technischen Fragen aufzubauen und zu betreiben. Die jetzt schon vorhandenen Aktivitäten buhlen um die engen Personalressourcen in diesem Bereich und haben am Ende des Tages oft das Nachsehen.

Die IEC 80001-1 steht jetzt nach fünf Jahren turnusgemäß zur Überprüfung und Neuordnung an. Wirken wir mit und bringen uns mit ein. Und idealerweise kommt dann ein sinnvoller Standard „Zuerst Einsatz von Standardverfahren, erst danach Risikomanagement” dabei heraus.