Anfängliches Misstrauen

Auch in Braunschweig ist die elektronische Patientenakte mit anderen Prozessen eng vernetzt - und die Absicherung aller mit diesem System verbundenen internen Prozesse deshalb unabdingbar. Zu den Maßnahmen, die ergriffen wurden, gehören ein hausweites Virenschutzkonzept sowie die Absicherung der Server bis hin zur Brandschottung. Organisatorisch galt es, sicherzustellen, dass die Mitarbeiter auf eventuelle Notfallmaßnahmen vorbereitet sind - beispielsweise bei einem Virenbefall oder dem unbefugten Eindringen in das klinikinterne Datennetz.

"In der IT waren wir es bisher gewohnt, vieles mal eben auf Zuruf zu machen", erinnert sich Seidel: "Jetzt mussten wir uns darauf einstellen, den gesamte Betrieb nach klaren, fest definierten Regeln ablaufen zu lassen." Das sorgte nicht unbedingt für Begeisterung bei den IT-Mitarbeitern. Nach anfänglichen Vorbehalten ("Das ist zu umständlich, dauert zu lange.") ließen sie sich jedoch davon überzeugen, dass die neuen Verfahren auch im Alltag von Vorteil sind. Die Verpflichtung auf schriftliche Protokolle half zum Beispiel, aus Fehlern zu lernen, sprich: in ähnlichen Fällen später schneller die richtigen Maßnahmen abzuleiten. Eventuelle Auffälligkeiten ließen sich zudem besser mit früheren Fällen vergleichen. Die IT-Abläufe wurden nachvollziehbarer und transparenter.

Neben der direkten Unterstützung des Geschäftsführers und der Betriebsleitung bezeichnet Seidel die Einsicht und die Motivation der Mitarbeiter, gewohnte Abläufe in Frage zu stellen, als entscheidend für die Wirksamkeit der neuen IT-Sicherheits-Organisation. Der CIO plädiert in diesem Zusammenhang für dafür, sich der Hilfe durch einen externen Ratgeber zu bedienen. Allerdings müsse man dessen Ratschläge aber auch ernst nehmen: "Ein Coach kann auf kritische Punkte hinweisen, aber nicht die Abhilfe forcieren."