Medizinprodukte und IT-Netzwerke
IEC 80001 in der Praxis
Die technische Ausstattung einer Klinik erlebt derzeit einen radikalen Umbruch. Immer mehr Medizinprodukte - vom Blutdruckmessgerät über Röntgen- oder Ultraschallgeräte bis hin zum Kernspintomografen - fügen sich in eine vernetzte Umgebung zusammen mit klassischen IT-Systemen ein. Doch daraus ergeben sich auch Risiken, für deren Bewältigung die neue Norm IEC 80001 ein Rahmenwerk bietet. Doch was sind eigentlich die Ziele und Inhalte der Norm, und wie lässt sie sich in die Praxis umsetzen?
Bei der Norm IEC 80001 handelt es sich um ein Rahmenwerk für das Risikomanagement von IT-Netzwerken, an die Medizinprodukte angeschlossen werden. Zielgruppe sind dabei weniger die Hersteller als vielmehr die Betreiber, also die Kliniken als Anwender der Medizinprodukte. Durch die Einführung eines Risikomanagements sollen Gefahren für Patienten und Dritte frühzeitig identifiziert und wo möglich reduziert werden, die aus dem Betrieb von Medizinprodukten in IT-Netzwerken resultieren. Diese Gefahren können dabei unterschiedliche Ursachen haben:
- Es könnte zu Ausfällen oder Fehlfunktionen kommen (Schutzziele
- »Safety« und »Effectiveness«) und
- Personen könnten absichtlich einen Schaden verursachen (Schutzziel »Security«).
Zur Veranschaulichung sollen zwei Beispiele dienen. Ein Medizinprodukt überwacht einen Patienten auf einer Intensivstation und alarmiert das Krankenhauspersonal über die Verschlechterung seines Zustandes, indem über das Netzwerk ein Primäralarm ausgelöst wird. Sollte genau in diesem Moment das Netzwerk nicht zur Verfügung stehen, ist das Leben des Patienten in Gefahr. Oder, um die »Security« zu illustrieren, werden auf der Auswertestation eines Ultraschallgeräts Untersuchungsergebnisse verarbeitet.
Damit könnten Unberechtigte unter Umständen Zugang zu diesen Informationen erlangen. Die Umsetzung der IEC 80001 ist in erster Linie eine Frage von Prozessen und deren Etablierung in der jeweiligen Klinik. Doch wie kann eine solche Umsetzung in der Praxis aussehen? Muss jede Klinik das Rad neu erfinden? Wie können die unterschiedlichen Beteiligten am Prozess (vom Hersteller über den Risikomanager und die IT bis hin zum Anwender des Medizinprodukts) unter einen Hut gebracht werden? Und rollen hier ungeahnte Aufwände auf die Verantwortlichen zu, die sie mit bestehenden Ressourcen gar nicht bewältigen können?
Effiziente Umsetzung der Norm
Diesen Fragen ist Secaron nachgegangen. Letztlich müssen die Prozesse zur jeweiligen Klinik passen, in der sie gelebt werden, und aus diesem Grund wird es DEN Prozess nicht geben. Dennoch kann man sich an Best-Practise-Ansätzen orientieren. Die Norm fordert unter anderem die Analyse, Bewertung und aktive Steuerung von Risiken.
Wird dies für jedes Medizinprodukt einer Klinik jeweils individuell durchgeführt, ist dies mit erheblichem Aufwand verbunden. Aus diesem Grund sieht der Best-Practise-Ansatz zunächst eine standardisierte Erstrisikobewertung vor, um damit eine Priorisierung innerhalb des Risikomanagements und eine Reduzierung des Aufwands zu erreichen.
Hierfür wurden insgesamt drei Fragebögen entwickelt, die entweder durch den Hersteller oder den Projektleiter der Klinik ausgefüllt werden müssen. Damit kann mit geringem Aufwand für alle Beteiligten festgestellt werden, ob von dem Medizinprodukt überhaupt ein erhöhtes Risiko ausgehen kann oder ob einige wenige Standardmaßnahmen für den Betrieb ausreichen. Die Kriterien für diese Entscheidung sind dabei beispielsweise:
- Wurden beim Hersteller gewisse Normen eingehalten (Fragebogen Hersteller)?
- Welche Schnittstellen hat das Medizinprodukt, und wie wichtig sind die Informationen beispielsweise für die Behandlung eines Patienten (Fragebogen Komplexität der Umgebung)?
- Wie erfolgt die regelmäßige Aktualisierung des Betriebssystems (Fragebogen Netzwerksicherheit)?
Für den Fall, dass aus allen Fragebögen hervorgeht, dass kein erhöhtes Risiko zu erwarten ist, muss der Projektleiter lediglich bestätigen, dass gewisse Standardmaßnahmen für einen sicheren Betrieb umgesetzt wurden (schlanker Prozess).
Andernfalls werden im Rahmen von Workshops die mit dem Betrieb des Medizinprodukts verbundenen Risiken identifiziert und bewertet, und es werden gegebenenfalls Maßnahmen zu deren Reduktion erarbeitet (detaillierter Prozess).
Dieser Ablauf ist in Bild 1 dargestellt. Doch wie sieht es nun mit der Frage nach dem Aufwand im Alltag aus? Wie in jedem Prozess gibt es auch hier viele Routinetätigkeiten, die weitgehend standardisiert und automatisiert werden können. Dazu zählen beispielsweise
- der Versand und die Auswertung der Fragbögen,
- das Nachhalten von Terminen (z.B. Ausfüllen der Fragebögen oder der Umsetzung von Maßnahmen) sowie nicht zuletzt
- das Reporting aus den einzelnen Prozessen zur Steuerung des Risikomanagements.
Das passende Tool
Für die Unterstützung der Prozesse gibt es auf dem Markt eine ganze Reihe von Werkzeugen. Für die Abbildung der Best-Practise-Ansätze fiel die Wahl aufgrund der Flexibilität und des umfangreichen Contents auf die »Archer eGRC Solutions« der Firma RSA (Bild 2).
Archer eGRC Solutions ist einerseits eine flexible Plattform, mit der individuell Daten erfasst und Workflows abgebildet werden können, und andererseits eine Reihe von Datenmodellen und Workflows beispielsweise aus den Bereichen Risiko-, Policy-oder Incident-Management, die individuell angepasst und durch eigene Lösungen ergänzt werden können.
Diese Lösungen bilden die Basis für die Abbildung der Best-Practise-Ansätze in der IEC 80001.
Der hier vorgestellte Ansatz wurde komplett in Archer integriert.
Die Fragebögen sind dabei so konzipiert, dass einzelne Fragen nur bei Bedarf eingeblendet werden.
Es erfolgt eine automatische Auswertung der Ergebnisse in Form von Charts, die sich individuell zu sogenannten Dashboards zusammenstellen lassen.
In Bild 3 und Bild 4 sind beispielhaft die Stammdaten eines Projekts zur Einführung eines Medizinprodukts dargestellt nebst einer Übersicht über die erstellten Fragebögen und deren Teilergebnisse.
Generell ist es nicht sinnvoll, ein Managementsystem als Insellösung zu konzipieren.
Auch ein Risikomanagementsystem nach IEC 80001 kann beispielsweise in Prozesse des IT-Betriebs (ITIL) oder in Prozesse zur Behandlung von Sicherheitsvorfällen (Security Incident Management) integriert werden.
Damit lässt sich ein umfassendes Bild rund um die Medizinprodukte in IT-Netzwerken um viele weitere Aspekte ergänzen, um eine gesamthafte Steuerung der Informationssicherheit oder gar der IT (Stichwort Governance) zu etablieren.
Über den Autor:
Lars Rudolff ist Management Consultant der Secaron AG.
Als Unternehmensberatung in allen Fragen der Informationssicherheit setzt das Unternehmen höchste Priorität darauf, mit ihren Kunden ein adäquates, wirtschaftlich sinnvolles Sicherheitsniveau festzulegen. Die Secaron AG hilft sowohl bei der Umsetzung organisatorischer als auch technischer Maßnahmen, um so die Geschäftsprozesse der Kunden im Rahmen der Möglichkeiten sicher ablaufen zu lassen.
Lesen Sie mehr zum Thema
