Das Universitätsklinikum Hamburg-Eppendorf (UKE) gilt als das modernste Klinikum Europas. Dort werden bereits heute alle Prozesse elektronisch abgewickelt. Doch diese Medaille hat auch eine Kehrseite: Das Klinikum ist mehr als andere abhängig von der Verfügbarkeit der IT-Systeme. Wie kann der CIO da noch ruhig schlafen? - Indem er sich bestätigen lässt, dass er alles Notwendige getan hat.

Vor allem die Ablösung der papierbasierenden durch die elektronische Patientenakte hat die IT-Verfügbarkeit in den Mittelpunkt des Interesses gerückt: "Wir müssen die Verfügbarkeit und Stabilität der IT-Systeme jederzeit gewährleisten", bestätigt Peter Gocke, Geschäftsbereichsleiter Informationstechnologie des UKE. Deshalb habe sich sein Bereich der Sicherheits-Zertifizierung nach ISO 27001 auf Basis des IT-Grundschutz unterzogen. Die internationale Norm gibt ein Informations-Sicherheits-Management-System (ISMS) vor, mit dem sichergestellt werden soll, dass normierte Abläufe dauerhaft eingehalten werden.

Das ISO-Zertifikat fungiert damit quasi als offizieller Nachweis dafür, dass das Klinikum alles Notwendige unternommen hat. um für die Informationssicherheit zu sorgen. Aus Sicht des CIO gibt es zu diesem Weg keine Alternative.

Was ist ein ISMS?

Das UKE umfasst heute mehr als 80 interdisziplinär zusammenarbeitende Kliniken, Polikliniken und Institute in 14 Zentren. Es bieten 1.500 Betten und nimmt jährlich etwa 55.000 Patienten stationär auf. IT-Systeme wie das Workflow-orientierte Krankenhausarbeitsplatzsystem KAS/Soarian von Siemens oder das SAP-Modul IS-H steuern alle Arbeitsabläufe. Zudem verwalten sie die Stammdaten der Patienten. Auch die technische Infrastruktur mit den 100 Servern, den Netzelementen und mehreren Tausend Clients zählen zum sicherheitskritischen "Informationsverbund elektronische Patientenakte".

Das Wesen des Sicherheits-Management-Systems erläutert Gocke so: "Bei der Einführung eines ISMS geht es nicht vorrangig um den Schutz gegen Viren oder Trojaner, sondern um die dauerhafte Absicherung organisatorischer Abläufe im medizinischen und informationstechnischen Bereich."

Als wesentliche Voraussetzungen für ein funktionierendes Informations-Sicherheits-Management-System sieht der IT-Chef:

• eine zentrale IT-Organisation,

• qualitätsgesicherte Softwaresysteme,

• Verzicht auf Eigenentwicklungen,

• standardisierte Prozesse und

• die Akzeptanz durch die Mitarbeiter.

Das Klinikum profitiert auch davon, dass die Zusammenarbeit zwischen den Bereichen besser läuft. Dafür sorgen die standardisierten Abläufe und definierten Schnittstellen. Was schwarz auf weiß geschrieben steht sowie kontrolliert, aktiv umgesetzt und laufend verbessert wird, führt zu verlässlicheren Prozessen.

Regelmäßige IT-Visite

Der Blick für die Anforderungen der Anwender wurde durch eine regelmäßige "IT-Visite" geschärft. Ein wechselndes Team von acht bis neun IT-Mitarbeitern geht regelmäßig durch alle Bereiche des Klinikums, um mit vor Ort über die tatsächliche Nutzung der Systeme zu sprechen. So lassen sich alle Mitarbeiter des 80-köpfigen IT-Teams durch den persönlichen Kontakt auf den Anwenderbedarf einstimmen.

Der CIO des UKE verbucht die Einführung des Informations-Sicherheits-Management-Systems als glatten Erfolg: "Wir profitieren nachhaltig davon." Für die IT sei da ISMS eine wichtige Absicherung: "Als CIO tu ich mich jetzt leichter, die Kosten der IT zu rechtfertigen." Kosten und Nutzen seien transparenter geworden. Zudem lasse sich nachweisen, dass die Maßnahmen notwendig für die Geschäftsprozesse seien: "Wir können die Risiken jetzt sicher managen und agieren nicht von Maßnahme zu Maßnahme, sondern haben alles Notwendige im System verankert. Damit schlafe ich auch ruhiger."

Henning Kopp vom Bundesamt für Sicherheit in der Informationstechnik bestätigter Auditor und Leiter Information Security bei der DS Data Systems A GmbH, empfiehlt allen Institutionen im Gesundheitswesen, sich intensiver mit möglichen Risiken und empfehlenswerten Schutzmaßnahmen auseinanderzusetzen: "Für die Informationssicherheit im Gesundheitswesen wird weniger getan, als die inzwischen gewonnene Bedeutung der IT tatsächlich erfordert. Störungen und Ausfälle belegen, dass sich viele Verantwortliche des hohen Risikos nicht ausreichend bewusst sind." Die Folgen dieser Nachlässigkeit sieht Kopp in unzureichender Verfügbarkeit der Systemes woie mangelnder Vertraulichkeit und Integrität der Informationen.

Premiere in Braunschweig

2008 wurde mit dem Städtischen Klinikum Braunschweig erstmals einem Klinikum bescheinigt, dass zentrale Komponenten seiner IT-Sicherheits-Organisation den strengen Sicherheitsanforderungen der ISO-Norm 27001 gerecht werden. Mit 17 Kliniken, elf selbständigen klinischen Abteilungen und sechs Instituten deckt das Krankenhaus nahezu das komplette Fächerspektrum der Medizin ab. Es bietet 1.425 Planbetten, in denen pro Jahr mehr als 56.000 Patienten stationär behandelt werden.

"Generell hat die Zertifizierung und deren Vorbereitung die Gesamtsicherheit enorm erhöht," fasst Christoph Seidel, Geschäftsbereichsleiter IT und Unternehmensentwicklung sowie CIO des Klinikums, seine Erfahrungen zusammen: "Wir haben die Sicherheitsrichtlinien formuliert, uns intensiv mit den Prozessen auseinandergesetzt und das Sicherheitsbewusstsein des Managements erhöht."

Seidel bestätigt, was schon sein Amtskollege Gocke vom UKE sagt: Wenn ein unabhängiger Dritter bestätige, dass für die IT-Sicherheit alles Notwendige getan werde und nach dem aktuellen Stand der Technik umgesetzt sei, schaffe das auch eine persönliche Absicherung.

Anfängliches Misstrauen

Auch in Braunschweig ist die elektronische Patientenakte mit anderen Prozessen eng vernetzt - und die Absicherung aller mit diesem System verbundenen internen Prozesse deshalb unabdingbar. Zu den Maßnahmen, die ergriffen wurden, gehören ein hausweites Virenschutzkonzept sowie die Absicherung der Server bis hin zur Brandschottung. Organisatorisch galt es, sicherzustellen, dass die Mitarbeiter auf eventuelle Notfallmaßnahmen vorbereitet sind - beispielsweise bei einem Virenbefall oder dem unbefugten Eindringen in das klinikinterne Datennetz.

"In der IT waren wir es bisher gewohnt, vieles mal eben auf Zuruf zu machen", erinnert sich Seidel: "Jetzt mussten wir uns darauf einstellen, den gesamte Betrieb nach klaren, fest definierten Regeln ablaufen zu lassen." Das sorgte nicht unbedingt für Begeisterung bei den IT-Mitarbeitern. Nach anfänglichen Vorbehalten ("Das ist zu umständlich, dauert zu lange.") ließen sie sich jedoch davon überzeugen, dass die neuen Verfahren auch im Alltag von Vorteil sind. Die Verpflichtung auf schriftliche Protokolle half zum Beispiel, aus Fehlern zu lernen, sprich: in ähnlichen Fällen später schneller die richtigen Maßnahmen abzuleiten. Eventuelle Auffälligkeiten ließen sich zudem besser mit früheren Fällen vergleichen. Die IT-Abläufe wurden nachvollziehbarer und transparenter.

Neben der direkten Unterstützung des Geschäftsführers und der Betriebsleitung bezeichnet Seidel die Einsicht und die Motivation der Mitarbeiter, gewohnte Abläufe in Frage zu stellen, als entscheidend für die Wirksamkeit der neuen IT-Sicherheits-Organisation. Der CIO plädiert in diesem Zusammenhang für dafür, sich der Hilfe durch einen externen Ratgeber zu bedienen. Allerdings müsse man dessen Ratschläge aber auch ernst nehmen: "Ein Coach kann auf kritische Punkte hinweisen, aber nicht die Abhilfe forcieren."