Gemeinsam mit dem deutschen Bundesamt für Sicherheit in der Informationstechnologie und mehreren Partnerunternehmen erarbeitet Adesso einen praxisorientierten Leitfaden für das Risikomanagement in Krankenhäusern. So sollen kritische IT-Infrastrukturen in Zukunft besser abgesichert sein. [...]
Die IT spielt mittlerweile auch in Krankenhäusern eine dominierende Rolle; nicht nur in der Verwaltung, sondern auch unmittelbar im medizinischen Bereich. Beispielsweise ist der Zugriff auf Dokumentationen nur noch über die IT möglich. Die Sicherheit der IT-Infrastruktur ist daher heute essenziell für die Versorgung der Patienten. Nach dem Nationalen Plan zum Schutz der Informationsinfrastrukturen, den die deutsche Bundesregierung im Juli 2005 als übergreifende Strategie zur IT-Sicherheit verabschiedet hat, zählen Krankenhäuser zu den so genannten Kritischen Infrastrukturen (KRITIS), „bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten.“ Daher ist ein Ausbau und eine Detaillierung des Risiko- und Krisenmanagements der Krankenhäuser im Bereich IT notwendig, so dass eine einheitliche Risikobewertung und -vorsorge für alle Aufgabenbereiche unter Einschluss der IT vorgenommen werden kann.
Vor diesem Hintergrund wird nun ein neuer, praxisorientierter Leitfaden für die Absicherung der für die Patientenversorgung kritischen IT-Infrastrukturen in deutschen Krankenhäusern erarbeitet. Er soll den Risikomanagern der Krankenhäuser die notwendigen Informationen und Handlungsanleitungen zur Verfügung stellen und sich methodisch in die Risikopläne anderer Bereiche der Kliniken einfügen. Anders als die früheren Ansätze berücksichtigt der neue Leitfaden unter dem Titel „Risikoanalyse Krankenhaus IT“ (RiKrIT) auch teilweise oder komplette Ausfälle der IT innerhalb eines Krankenhauses. Externe Krisenfälle werden bereits über Katastrophenpläne abgedeckt.
Das Unfallkrankenhaus Berlin (ukb) beteiligt sich als einer der Partner des Bundesamts für Sicherheit in der Informationstechnologie (BSI) an der Erstellung des Leitfadens und stellt sich als technologisch fortgeschrittenes Krankenhaus für die praktisch orientierte Ausarbeitung der Vorgehensweise zur Verfügung. So werden am Beispiel des ukb die Abhängigkeiten zwischen den fachlichen Kernprozessen und der IT identifiziert, die Gefährdung der Patienten bei IT-Ausfällen bewertet und somit kritische Punkte aufgedeckt. Im Ergebnis soll eine leicht verständliche Beschreibung dieser Vorgehensweise in den Leitfaden aufgenommen werden; ergänzend werden in einem Maßnahmenkatalog auch konkrete Handlungsempfehlungen berücksichtigt. Der neue IT-Leitfaden stützt sich auf die im BSI-Standard 100-3 beschriebene Vorgehensweise zur Risikoanalyse, ergänzt den bestehenden Risikoleitfaden für Krankenhäuser und richtet sich speziell an Anwender, beispielsweise Risikomanager, die selbst nicht aus der IT kommen.
Mit der Erstellung wurde ein Konsortium um den IT-Dienstleister Adesso AG beauftragt, dem auch das Fraunhofer-Institut für Sichere Informationstechnologie und das Beratungshaus Ehealth Experts GmbH angehören. Adesso übernimmt im Projekt mit Spezialisten für Governance, Risk und Compliance die Projektleitung, die Risikoanalyse und die Erstellung des Maßnahmenkataloges. Ehealth Experts bündelt das Know-how von Experten für Informationstechnologie und Gesundheitswesen und übernimmt im Projekt die Analyse und Modellierung der Prozesse. Das Fraunhofer-Institut für Sichere Informationstechnologie bringt seine Kompetenz und Erfahrung in praktischer IT-Sicherheit in das Projekt ein und ist verantwortlich für die Erstellung eines verständlichen Leitfadens, der auch von IT-fremden Personen in seinen Inhalten umgesetzt werden können soll. Der Leitfaden wird bis Ende Juli 2012 fertiggestellt und dann veröffentlicht. (pi)
Be the first to comment