MethodPDF Available

Maßnahmen und Kennzahlen zur Einführung, Umsetzung und Evaluierung eines Risikomanagements für IT-Netzwerke, die medizintechnische Geräte beinhalten

Authors:

Abstract

Hintergrund und Ziele: Der Vernetzung von medizintechnischen Geräten in einem Krankenhausnetzwerk (medizinischen IT-Netzwerk) kommt eine zunehmend größer werdende Bedeutung zu. Neben den zahlreichen Vorteilen für eine moderne, effektive und sichere Patient:innenversorgung entstehen dadurch aber auch potentielle IT-Gefährdungen wie technische Ausfälle, unbefugte Handlungen, Kompromittierungen von Daten oder Funktionen, vorsätzliche Handlungen oder organisatorische Fehler. Krankenhäuser müssen daher ein Risikomanagement für medizinische IT-Netzwerke einrichten (med. IT-Risikomanagement), um diesen Gefahren zu begegnen. Die Norm EN 80001-1 stellt den derzeitigen Stand der Technik für ein solches Risikomanagement dar. Häufig beschreiben Personen, die mit der Umsetzung eines Risikomanagements nach EN 80001-1 betraut werden, dass die Norm wie auch deren Ergänzungsnormen (Technical Reports) keine konkreten und praxisrelevanten Maßnahmen zur Umsetzung anbieten und auch keine Kennzahlen zur Evaluierung der umgesetzten Maßnahmen. Der vorliegende Katalog möchte zur Lösung dieses Praxisproblems beitragen. Abgrenzung zur EN-80001: Dieser Katalog verfolgt grundsätzlich dieselben Schutzziele wie die EN 80001-1 (Sicherheit von Personen, Effektivität klinischer Prozesse, Daten- und Systemsicherheit). Im Unterschied zur Norm werden im vorliegenden Katalog konkretere und praxisrelevante Umsetzungsmaßnahmen vorgestellt sowie Kennzahlen, mit denen die Maßnahmen evaluiert werden können. Außerdem beschreibt der Katalog für jede Maßnahme und Kennzahl, welche Bedeutung diese für das med. IT-Risikomanagement hat und mit welchen Ressourcenaufwänden bei der Umsetzung zu rechnen ist. Die Inhalte dieses Katalogs basiert dabei auf den Ergebnissen einer empirischen Studie sowie den persönlichen Erfahrungen des Autors. Verwendung des Katalogs Der vorliegende Maßnahmen- und Kennzahlenkatalog ist ein Hilfsmittel zur Erstellung einer Risikomanagementakte, mit der ein IT-Risikomanagement für vernetzte medizintechnische Geräte in einem Krankenhausnetzwerk umgesetzt und evaluiert werden kann. Der Katalog kann als unterstützendes Hilfsmittel bei der Umsetzung der Norm EN 80001-1 betrachtet werden. Basierend auf den Ergebnissen der Studie, die diesem Katalog zugrunde liegt, wird durch die Umsetzung aller angeführten Maßnahmen eine wesentliche Konformität mit der Norm EN 80001-1 erreicht.
Maßnahmen und Kennzahlen
zur Einführung, Umsetzung und Evaluierung eines
Risikomanagements für IT-Netzwerke, die
medizintechnische Geräte beinhalten
von
Univ.-Ass. DI Dr. Stefan Leber, MBA
UMIT TIROL Private Universität für Gesundheitswissenschaften,
Medizinische Informatik und Technik
Institut für Medizinische Informatik
Eduard-Wallnöfer-Zentrum 1
A-6060 Hall in Tirol
Erstellt: September 2017
Aktualisiert: April 2022
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 2 -
Kontakt
Univ.-Ass. DI Dr. Stefan Leber, UMIT TIROL – Institut für Medizinische Informatik, Eduard Wallnöfer-
Zentrum 1, A - 6060 Hall in Tirol, Österreich, Mail: stefan.leber@umit-tirol.at
Hinweise
Dieses Werk ist lizenziert unter der Creative Commons LizenzCC BY-NC-SA 4.0. Für Details zu dieser
Lizenz und Ihren Nutzungsrechten besuchen Sie bitte: http://creativecommons.org/licenses/by-nc-sa/4.0/
Bei jeder Veröffentlichung, welche auf dieses Dokument verweist, ist folgende Quelle anzugeben:
Leber S., Ammenwerth E.
Maßnahmen und Kennzahlen zur Einführung, Umsetzung und Evaluierung eines
Risikomanagements für IT-Netzwerke, die medizintechnische Geräte beinhalten. UMIT TIROL, 2022, Hall
in Tirol.
https://iig.umit-tirol.at/index.php/en/publications
Hintergrund und Ziele des Katalogs
Der Vernetzung von medizintechnischen Geräten in einem Krankenhausnetzwerk (medizinischen IT-Netzwerk)
kommt eine zunehmend größer werdende Bedeutung zu. Neben den zahlreichen Vorteilen für eine moderne,
effektive und sichere Patient:innenversorgung entstehen dadurch aber auch potentielle IT-Gefährdungen wie
technische Ausfälle, unbefugte Handlungen, Kompromittierungen von Daten oder Funktionen, vorsätzliche
Handlungen oder organisatorische Fehler. Krankenhäuser müssen daher ein Risikomanagement für medizinische
IT-Netzwerke einrichten (med. IT-Risikomanagement), um diesen Gefahren zu begegnen. Die Norm EN 80001-
1 stellt den derzeitigen Stand der Technik für ein solches Risikomanagement dar.
Häufig beschreiben Personen, die mit der Umsetzung eines Risikomanagements nach EN 80001-1 betraut
werden, dass die Norm wie auch deren Ergänzungsnormen (Technical Reports) keine konkreten und
praxisrelevanten Maßnahmen zur Umsetzung anbieten und auch keine Kennzahlen zur Evaluierung der
umgesetzten Maßnahmen. Der vorliegende Katalog möchte zur Lösung dieses Praxisproblems beitragen.
Abgrenzung zur EN-80001
Dieser Katalog verfolgt grundsätzlich dieselben Schutzziele wie die EN 80001-1 (Sicherheit von Personen,
Effektivität klinischer Prozesse, Daten- und Systemsicherheit). Im Unterschied zur Norm werden im
vorliegenden Katalog konkretere und praxisrelevante Umsetzungsmaßnahmen vorgestellt sowie Kennzahlen, mit
denen die Maßnahmen evaluiert werden können. Außerdem beschreibt der Katalog für jede Maßnahme und
Kennzahl, welche Bedeutung diese für das med. IT-Risikomanagement hat und mit welchen
Ressourcenaufwänden bei der Umsetzung zu rechnen ist. Die Inhalte dieses Katalogs basiert dabei auf den
Ergebnissen einer empirischen Studie1 sowie den persönlichen Erfahrungen des Autors.
Verwendung des Katalogs
Der vorliegende Maßnahmen- und Kennzahlenkatalog ist ein Hilfsmittel zur Erstellung einer
Risikomanagementakte, mit der ein IT-Risikomanagement für vernetzte medizintechnische Geräte in einem
Krankenhausnetzwerk umgesetzt und evaluiert werden kann.
Der Katalog kann als unterstützendes Hilfsmittel bei der Umsetzung der Norm EN 80001-1 betrachtet werden.
Basierend auf den Ergebnissen der Studie1, die diesem Katalog zugrunde liegt, wird durch die Umsetzung aller
angeführten Maßnahmen eine wesentliche Konformität mit der Norm EN 80001-1 erreicht.
1 Der vorliegende Katalog basiert auf einer empirischen Studie. Ein Teil dieser Studie wurde veröffentlich unter:
Leber, S., & Ammenwerth, E. (2017). Identification of measures and indicators for the IT security of networked medical devices: A delphi
study. Studies in Health Technology and Informatics, 243. https://doi.org/10.3233/978-1-61499-808-2-147
Für weitere Details sowie für Informationen zur gesamten Studie kontaktieren Sie bitte: stefan.leber@umit-tirol.at
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 3 -
Glossar
Begriff
Bedeutung*
Informationssicherheit
Vertraulichkeit, Verfügbarkeit und Integrität von medizinischen Daten und
Informationen
Med. IT-Netzwerk IT-Datennetz in einem Krankenhaus zum Austausch von elektronischen
Daten zwischen medizintechnischen Geräten/Systemen untereinander
und/oder klinischen Informationssystemen (z.B. PACS, KIS)
Med. IT-RisikomanagerIn
Risikomanagerin oder Risikomanager für das med. IT-Netzwerk
Med. IT-Risikomanagement Alle Maßnahmen zur Erkennung, Analyse, Bewertung, Überwachung und
Kontrolle von Risiken, die durch die Vernetzung von medizintechnischen
Geräten oder Systemen mit einem med. IT-Netzwerk passieren können
Oberste Leitung
Leitung eines Krankenhauses (z.B. Geschäftsführung, Kollegiale Führung)
Schutzziele Mindestens zu erreichendes Sicherheitsniveau für die Informationssicherheit,
die Patientensicherheit und die Prozesseffektivität
Vernetzungsservice
Dienst, der durch ein med. IT-Netzwerk zur Verfügung gestellt oder
ermöglicht wird (z.B. Bilddatenarchivierung, Alarmübertragung,
Telemedizin, etc.)
Vernetzungszweck
Grund, warum ein medizintechnisches Gerät oder System mit dem med. IT-
Netzwerk verbunden ist (z.B. Archivierung von Bilddaten, Empfang von
Patientenstammdaten, Übermittlung von Alarmen, etc.)
Alpen Klinikum
Namen eines fiktiven Krankenhauses, welches bei der beispielhaften
Erklärung mancher Maßnahmen angeführt wird
* im Kontext des vorliegenden Maßnahmen- und Kennzahlenkatalogs
Symbolerklärung
Sowohl bei den Maßnahmen-, wie auch bei den Kennzahlenbeschreibungen werden folgende Symbole
verwendet:
Symbol

Die diesem Katalog zugrundeliegende Dissertation hat ergeben, dass diese
Maßnahme oder Kennzahl von sehr großer Bedeutung für das med. IT-Risikomanagement ist
Die diesem Katalog zugrundeliegende Dissertation
Maßnahme oder Kennzahl von wichtiger Bedeutung für das med. IT-Risikomanagement ist und
Die Schwierigkeit bei der Umsetzung der Maßnahme bzw. bei der Berechnung der
Die Umsetzung der Maßnahme bzw. die Berechnung der Kennzahl ist einfach, weil ein
* finanzielle, personelle, organisatorische, physische und/oder technologische Ressourcen
Herkunft der Inhalte
Variablen
Quellen
Maßnahmen, Kennzahlen und Priorität
Diese Hauptvariablen basieren auf empirischen Daten, die
ausschließlich mit wissenschaftlicher Methoden
erhoben und
ausgewertet wurden. Das Gleiche gilt für die Beziehungen
zwischen den Maßnahmen und Kennzahlen, sowie die
Prioritätsklassen.
Schwierigkeiten,
Umsetzungsempfehlungen, Beispiele,
kritische Erfolgsfaktoren, Output,
Rollen, Hintergrund, Zielwerte
Diese Variablen basieren auf den Interpretationen, Erfahrungen
und Deutungen des Forschers, der diesen Maßnahmen- und
Kennzahlenkatalog verfasst und die zugrundeliegende Studie
durchgeführt hat.
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 4 -
Inhaltsverzeichnis
Teil I Maßnahmen
Maßnahmenkategorie 1
: Organisation - 5 -
Maßnahmenkategorie 2
: Risikoerfassung - 25 -
Maßnahmenkategorie 3
: Risikoanalyse - 33 -
Maßnahmenkategorie 4
: Risikominimierung - 41 -
Maßnahmenkategorie 5
: Restrisiken - 51 -
Maßnahmenkategorie 6
: Konfigurations- und Änderungsmanagement - 55 -
Teil II Kennzahlen
Kennzahlenkategorie 1
: Leistungsfähigkeit des Risikomanagements - 60 -
Kennzahlenkategorie 2
: Effektivität der Vernetzung - 65 -
Kennzahlenkategorie 3
: Beschaffenheit der technischen Infrastruktur - 71 -
Kennzahlenkategorie 4
: Vorsätzliche Handlungen - 75 -
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 5 -
Maßnahmenkategorie 1
Organisation (ORG)
Überblick
Mithilfe folgender Maßnahmen kann das IT-Risikomanagement für vernetzte Medizintechnik organisiert werden.
ID
Maßnahme
Priorität
Komplexität
Seite
ORG1.1
Externe Gesetze und Bestimmungen müssen berücksichtigt werden

- 6 -
ORG1.2
IT
-Services (Vernetzungszwecke) der medizintechnischen Geräte
müssen geschult werden
- 7 -
ORG1.3
IT
-Standards und Rahmenwerke (COBIT, ITIL, etc.) müssen
integriert werden
- 8 -
ORG2.1.1
Eine fachlich qualifizierte Risikomanagerin/
Ein fachlich
qualifizierter Risikomanager muss benannt werden
- 9 -
ORG2.1.2
Rollen und Aufgaben
der Risikomanagerin/des Risikomanagers
müssen eindeutig festgelegt werden

- 10 -
ORG2.1.3
Rollen und Aufgaben der Hersteller
Innen müssen
unmissverständlich geklärt werden

- 11 -
ORG2.1.4
Rollen/Aufgaben d. AnwenderInnen müssen definiert werden
- 12 -
ORG2.1.5
Eine verantwortliche Leitung muss bestimmt und eingesetzt
werden

- 13 -
ORG2.1.6
Alle möglichen Stakeholder müssen identifiziert und aufgeklärt
werden
- 14 -
ORG2.2
Wirkungs
- und Geltungsbereiche müssen definiert werden

- 15 -
ORG2.3
Risikomanagementprozesse müssen entwickelt und umgesetzt
werden

- 16 -
ORG2.4
Risikomanagementaktivitäten müssen regelmäßig reflektiert
werden

- 17 -
ORG3.1
Schnittstelle zwischen Medizintechnik und IT
-Abteilung muss
sichergestellt werden

- 18 -
ORG3.2
Ein unternehmensweit abgestimmter Beschaffungsprozess für
vernetzte medizintechnische Geräte muss etabliert werden

- 19 -
ORG3.3
Berichtwesen an die verantwortliche Leitung muss umgesetzt
werden
- 20 -
ORG4.1
Eine Risikomanagementakte muss angelegt werden

- 21 -
ORG4.2
Alle vernetzten medizintechnischen Geräte/Systeme müssen
erfasst und dokumentiert werden


- 22 -
ORG4.3
Eine vollständige Netzwerkbeschreibung und
-dokumentation
muss geführt werden

- 23 -
ORG4.4
Dokumentenlenkung muss eingeführt werden
- 24 -
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 6 -
ORG1.1 – Externe Gesetze und Bestimmungen müssen berücksichtigt werden
Priorität:

Schwierigkeit:
Zweck der Maßnahme:
Der Nachweis über die Einhaltung relevanter Gesetze und Bestimmungen dient
als unbestreitbare Rechtfertigung für die Einführung und Umsetzung des med.
IT-Risikomanagements.
Umsetzungsempfehlung
:
Ein Krankenhausträger hat gemäß der Rechtsprechung sogenannte
Verkehrssicherungspflichten. Dies bedeutet, dass Krankenhausträger sämtliche
Vorkehrungen treffen müssen um Gefahren von Dritten abzuwenden, welche
bei bestimmungsgemäßer oder -widriger Benutzung drohen. Eine Verletzung
dieser Pflichten wird als Organisationsverschul- den gesehen.
Es sollten daher vorrangig jene Gesetze und Bestimmungen identifiziert und in
der Risikomanagementakte angeführt werden, die das IT-Risikomanagement für
vernetzte Medizintechnik als Möglichkeit definieren, um Gefahren von Dritten
abzuwenden.
Anhand folgender einschlägiger Fachliteratur können weitere relevante
normative und gesetzliche Vorgaben identifiziert werden:
Dt. Krankenhausgesellschaft eV.
Anwendung des Risikomanagements für
IT-Netzwerke, die Medizinprodukte beinhalten
. Dt. Krankenhaus
Verlagsgesellschaft mbH. Düsseldorf 2011.
A. Gärtner.
Band 5 - Medizinische Netzwerke und Software als
Medizinprodukt
. TÜV Media GmbH. Köln 2010.
A. Gärtner.
Verteile Alarmsysteme
. TÜV Media GmbH. Köln 2016.
Beispiele für externe Gesetze und Bestimmungen, die auf die Notwendigkeit eines med. IT-
Risikomanagements verweisen:
Medizinproduktegesetz (MPG) und Medizinproduktebetreiberverordnung (MPBV)
DIN EN ISO 14971
DIN EN 60601-1
DIN EN 62366
Kritischer Erfolgsfaktor:
Zugang zu einschlägiger Fachliteratur, Budget für Literatur;
Rollen:
Med. IT-RisikomanagerIn / Team
Output:
In der Risikomanagementakte werden jene normativ-gesetzlichen Vorgaben
angeführt und begründet, die aus Sicht des Unternehmens für das med. IT-
Risikomanagements relevant sind.
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 7 -
ORG1.2IT-Services (Vernetzungszwecke) der medizintechnischen Geräte müssen geschult werden
Priorität
:
Schwierigkeit
:
Zweck der Maßnahme
:
Die Anwendung eines Medizinprodukts muss gemäß Medizinproduktegesetzt
und Medizinproduktebetreiberverordnung geschult werden. Des weiteren muss
der Schulungsnachweis lückenlos dokumentiert und archiviert werden. Dies
betrifft auch jene Funktionen, die aufgrund der Vernetzung mit dem IT-
Netzwerk ermöglicht werden (Vernetzungsservices).
Umsetzungsempfehlung
:
Eine systematische
Schulung über die Anwendung der Vernetzungsservices
muss mit den betroffenen AnwenderInnen organisiert werden. Außerdem ist zu
klären, wie die Schulungsnachweise dokumentiert und archiviert werden sollen.
Es wird empfohlen Richtlinien und Standard Operating Procedures (SOPs) zu
definieren, welche die Einschulung von Med
izinprodukten und deren
Dokumentation regeln.
Beispiel:
Ein Ultraschallgerät wird zum Zwecke der Bilddatenarchivierung mit dem med. IT-Netzwerk
vernetzt. Auf einem Schulungsprotokoll wird mit Unterschrift dokumentiert, dass die
AnwenderInnen das Versenden von Ultraschallbildern auf diesem Gerätetyp gelernt hat. Das
Schulungsprotokoll wird eingescannt und im elektronischen Gerätebuch archiviert.
Kritischer Erfolgsfaktor:
Abstimmung mit beteiligten Stakeholdern (z.B. verantwortliche klinische
NutzerIn
, QM, klinisches Risikomanagement, Übernahmestelle in
Medizintechnik, etc.)
Rollen:
Med. IT-RisikomanagerIn / Team
Output
:
In der Risikomanagementakte ist geregelt, wie
die Einschulung auf
Vernetzungsservices umgesetzt und dokumentiert wird. In der Dokumentation
zum betroffenen Medizingerät sind die Einschulungen archiviert.
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 8 -
ORG1.3IT-Standards und Rahmenwerke (COBIT, ITIL, etc.) müssen integriert werden
Priorität
:
Schwierigkeit
:
Zweck der Maßnahme
:
Durch die Anwendung national und international bewährter
Methoden und
Vorgehensweisen kann sichergestellt werden, dass allgemein gültige Standards
und Rahmenwerke in die Realisierung des med. IT-Risikomanagements
einfließen. Dadurch steigt die Vergleichbarkeit der Maßnahmen. Viele dieser
Standards und Rahmenwerke bilden auch den aktuellen „Stand der Technik“,
der u.a. von relevanten Gesetzen oder Bestimmungen gefordert werden könnte.
(vgl. ORG1.1)
Umsetzungsempfehlung
:
Es sollen leistungsfähige und international anerkannte IT-Standards und
Best
Practise
Methoden bei der Umsetzung des med. IT-Risikomanagements
berücksichtigt werden. Hinsichtlich der IT-Sicherheit und dem IT-
Risikomanagement werden folgende Standards und Rahmenwerke empfohlen:
COBIT
ITIL
ISO/IEC 2700x
BSI Grundschutz
Das Anwendungsspektrum erstreckt sich über alle Prozesse des med. IT-
Risikomanagements. Insbesondere bei der Risikoerfassung (vgl. ERF7
) und
Risikobeherrschung (vgl. Maßnahmenkategorie MIN) hat sich die Integration
von Standards und Rahmenwerke bewährt.
Beispiel:
Aus den Gefährdungskatalogen des BSI-Grundschutzkatalogs können jene
Gefährdungen adaptiert
werden, die auch für das Risikomanagement vernetzter Medizintechnik relevant sind: z.B.
Gefährdungskatalog G 4 - Technisches Versagen Gefährdung G 4.7 - Defekte Datenträger.
Das Gleiche gilt für die zugehörigen Maßnahmen, die der BSI-Grundschutzes zu den jeweiligen
Gefährdungen empfiehlt.
Kritischer Erfolgsfaktor:
Ausreichend Zeit für Recherche und Adaption
Rollen:
Med. IT-RisikomanagerIn / Team
Output:
Dokumentation in der Risikomanagementakte jener IT-Standards und
Rahmenwerke, die beim med. IT-Risikomanagement verwendet werden.
Abhängig vom Verwendungszweck der IT-Standards und Rahmenwerke
existieren weitere Outputs (z.B. Gefährdungskatalog basierend auf dem BSI-
Grundschutzkatalog).
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 9 -
ORG2.1.1 – Eine fachlich qualifizierte Risikomanagerin/Ein fachlich qualifizierter Risikomanager
muss benannt werden
Priorität:
Schwierigkeit:
Zweck der Maßnahme
:
Da die organisatorischen und fachlichen Aufgaben im med. IT-
Risikomanagement sehr komplex sind, soll nur eine ausreichend qualifizierte
Person oder Personengruppe berufen werden.
Umsetzungsempfehlung:
Die Geschäftsführung muss eine Person oder Gruppe als med. IT-
RisikomanagerIn
bestimmen. Diese Person oder Personen müssen eine
einschlägige fachliche Qualifikation nachweisen:
Fundierte Kenntnisse in Medizintechnik und Medizininformatik
(vorzugsweise Studium)
Fundierte Kenntnisse in IT-Sicherheit und IT-Risikomanagement
Grundlagenkenntnisse betriebswirtschaftlicher und klinischer Prozesse und
relevanter gesetzlicher Grundlagen
Grundlagenkenntnisse wesentlicher Normen der Medizintechnik
Von entscheidender Bedeutung ist die Weisungsfreiheit der med. IT-
Risikomanagerin/des med. IT-Risikomanagers. Daher wird empfohlen die Stelle
als Stabsstelle zu etablieren.
Beispiel von Hard Skills in einer Stellenbeschreibung:
Studium der Medizintechnik oder Medizininformatik
Langjährige Berufserfahrung im Bereich Medizintechnik und/oder Krankenhaus IT
Sehr gute Kenntnisse im IT-Projekt- und Risikomanagement
Kenntnisse in den Rechtsbereichen MPG, MPBV sowie den Normen ISO 2700x und EN
80001-1
Sehr gute Englisch- und Deutschkenntnisse
Beispiel der Organisation eines med. IT-Risikomanagementteams:
Im „Alpen-Klinikum“ ist das Risikomanagementteam als Stabsstelle innerhalb der IT-Abteilung
organisiert. Der Chief Security Officer (CSO), eine IT-Netzwerkexpertin
, der Risikomanager und
die Qualitätsmanagerin der Medizintechnik bilden das med. IT-Risikomanagementteam.
Kritischer Erfolgsfaktor:
Unterstützung der Geschäftsführung/Krankenhausleitung
Rollen
:
LeiterIn Medizintechnik und/oder IT
Geschäftsführung/Krankenhausleitung
Output
:
Qualifizierter RisikomanagerIn
/ qualifiziertes Risikomanagementteam wurde
von der Krankenhausleitung benannt.
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 10 -
ORG2.1.2 – Rollen und Aufgaben der Risikomanagerin/des Risikomanagers müssen eindeutig
festgelegt werden
Priorität:

Schwierigkeit:
Zweck der Maßnahme
:
Eine klare Aufgaben- und Kompetenzbeschreibung
der Risikomanagerin/des
Risikomanagers bildet eine entscheidende Grundlage für das Funktionieren des
med. IT-Risikomanagements.
Umsetzungsempfehlung
:
Die Risikomanagerin/Der Risikomanager stellt eine zentrale Figur dar und muss
neben einem klaren Auftrag mit ausreichenden Befugnissen gegenüber internen
und externen Stakeholdern ausgestattet werden (z.B. Weisungsbefugnisse für
risikominimierende Maßnahmen).
Die Aufgaben und Kompetenzen müssen von der Geschäftsführung eindeutig
und so detailliert wie möglich definiert werden.
Dies umfasst insbesondere
folgende Kriterien:
Verantwortungsbereich
Aufgabenspektrum
Pflichten
Rechte
Aufgabenbeschreibung der med. IT-Risikomanagerin im “Alpen-Klinikum”:
Gesamtverantwortung für den Risikomanagementprozess
Entwicklung, Einführung und Betrieb des med. IT-Risikomanagements
Management von Anbindungen, Übersiedelungen und Außerbetriebnahmen von vernetzten
Medizingeräten
Autorisierung von Änderungen im med. IT-Netzwerken
Berichtspflicht an die Krankenhausleitung
Weisungsbefugnis im Rahmen des Aufgabenspektrums
Kritischer Erfolgsfaktor:
Sehr gute Kenntnisse über das potentielle Aufgabenprofil einer med.
Risikomanagerin/eines med. Risikomanagers
Geschäftsführung/Krankenhausleitung definiert und unterstützt das
Aufgaben- und Kompetenzenprofil der med. Risikomanagerin/des med. IT-
Risikomanagers
Rollen
:
LeiterIn Medizintechnik und/oder IT
Geschäftsführung/Krankenhausleitung
Output
:
Aufgabenprofil der med. Risikomanagerin/des med. IT-Risikomanagers wird in
der Risikomanagementakte eindeutig beschrieben.
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 11 -
ORG2.1.3 – Rollen und Aufgaben der HerstellerInnen müssen unmissverständlich geklärt werden
Priorität:

Schwierigkeit:
Zweck der Maßnahme:
Die HerstellerInnen eines Medizinprodukts tragen die gesetzliche
Verantwortung sämtliche Informationen zu potentiellen Gefährdungen, die im
Rahmen der Vernetzung des Medizinprodukts auftreten können,
angeben zu
müssen. Diese Angaben stellen eine unverzichtbare Grundlage jeder med. IT-
Risikoanalyse dar. Ein funktionierender Kommunikations- und
Informationsfluss mit den HerstellerInnen
ist für den sicheren Betrieb des
Medizinprodukts somit von entscheidender Bedeutung.
Umsetzungsempfehlung
:
Die Rolle der HerstellerInnen von Medizinprodukten muss über den gesamten
Lebenszyklus des Medizinprodukts klar geregelt, definiert und kommuniziert
werden. Von besonderer Bedeutung dabei ist die Abstimmung hinsichtlich aller
Informationen, die für den med. IT-Risikomanagementprozess (z.B.
Risikoerfassung) und den Betrieb des Medizinprodukts (z.B. Service) wichtig
sind. Hierfür wird eine Verantwortlichkeitsvereinbarung mit folgenden Inhalten
empfohlen:
Namen und Kontakte der Vertragspartner dokumentieren
Aktivitäten und Aufgaben der Beteiligten definieren
Liste der betroffenen Geräte/Systeme festlegen
Begleitdokumente zu den Geräten/Systemen festlegen
Kontakte für das Notfallmanagement dokumentieren
Beispiel:
Im “Alpen-Klinikum” wird bei
Anschaffungen vernetzbarer Medizingeräte von den Einkäufern der
Medizintechnik mit den HerstellerInne
n schriftlich vereinbart, dass folgende Informationen
zwingend beigelegt werden müssen:
CE-Zertifikat und eine Beschreibung der Risikoklasse
Kontaktliste von Ansprechpartnern bei Vorfällen und im Servicefall
Bereitstellung von Begleitdokumenten (Bedienungsanleitung, Technische Spezifikation,
etc.)
Beantworteter IT-Fragebogen (vgl. ERF1 HerstellerInnen
nach möglichen Risiken bei
der IT-Vernetzung ihres Medizinprodukts befragen)
Kritischer Erfolgsfaktor:
Verständnis und Bewusstsein der HerstellerInnen
Unterstützung durch die Krankenhausleitung bei der Einforderung der
Verantwortlichkeitsvereinbarung
Rollen
:
Med. IT-RisikomanagerIn / Team
HerstellerInnen
Output:
Unterzeichnete Verantwortlichkeitsvereinbarung
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 12 -
ORG2.1.4 – Rollen und Aufgaben der AnwenderInnen müssen definiert werden
Priorität
:
Schwierigkeit
:
Zweck der Maßnahme
:
Insbesondere bei der Erhebung potentieller Risiken für die Prozesseffektivität
und Patientensicherheit sind die klinischen AnwenderInnen
von erhöhter
Bedeutung (vgl. ERF2 AnwenderInnen befragen, welche Risiken durch den
Ausfall eines Vernetzungsservice entstehen können).
Dessen Rollen und Aufgaben
müssen daher eindeutig definiert und
unternehmensweit vereinbart werden.
Umsetzungsempfehlung:
In Abstimmung mit den zuständigen Verantwortlichen, der ärztlichen Leitung
des Krankenhauses sowie der Leitung der Pflege, müssen folgende Kriterien
definiert werden:
In welchen Prozessen des med. IT-Risikomanagements soll und kann die
klinische Anwenderin/der klinische Anwender integriert werden?
In welcher Form können die klinischen NutzerInnen zum med. IT-
Risikomanagement beitragen?
Welche klinischen NutzerInnen dürfen berücksichtigt werden?
In welchem Ausmaß dürfen die klinischen NutzerInnen miteinbezogen
werden?
Die getroffenen Vereinbarungen müssen in der Risikomanagementakte
dokumentiert und von den Verantwortlichen unterzeichnet werden.
Beispiel - Auszug aus der Richtlinie des Alpen-Klinikums" zur Umsetzung des med. IT-
Risikomanagements nach EN 80001-1:
[...] In Abstimmung mit dem ärztlichen Direktor [...] und der Pflegedirektorin [...] wurde vereinbart,
dass zur Identifikation potentieller Risiken für Patienten und klinische Prozesse die klinischen
AnwenderInnen im Rahmen einer mündlichen Befragung vom med. IT-Risikomanager
berücksichtigt
werden sollen. Die Befragung soll max. 20 Minuten dauern und in standardisierter
Form (z.B. Interviewleitfaden) erfolgen. [...]
Kritischer Erfolgsfaktor:
Verständnis, Bereitschaft und Bewusstsein der klinischen AnwenderInnen
Unterstützung durch die Krankenhausleitung (Leitung Ärzte und Pflege)
Rollen:
Med. IT-RisikomanagerIn / Team
Verantwortliche klinische AnwenderInnen
Output:
Schriftliche Vereinbarung in der Risikomanagementakte über die Rollen und
Aufgaben der klinischen AnwenderInnen
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 13 -
ORG2.1.5 – Eine verantwortliche Leitung muss bestimmt und eingesetzt werden
Priorität:

Schwierigkeit:
Zweck der Maßnahme:
Ohne Gesamtverantwortung ist das med. IT-Risikomanagement bedeutungslos,
denn nur die verantwortliche Organisation kann die med. IT-
Risikomanagerin/den med. IT-
Risikomanager benennen und mit
entsprechenden Aufgaben und Befugnissen ausstatten, alle notwendigen
Prozesse des med. IT-Risikomanagements umsetzten (lassen),
sowie die
rechtliche Verantwortung für das gesamte Risikomanagement (z.B. Akzeptanz
von Restrisiken) zu übernehmen. Ohne Unterstützung der Geschäftsführung ist
ein med. IT-Risikomanagement kaum umsetzbar.
Umsetzungsempfehlung
:
Die Geschäftsführung bzw. Krankenhausleitung
muss die Funktion der
(obersten) Leitung und somit die Gesamtverantwortung für das med. IT-
Risikomanagement tragen. Die oberste Leitung ist verantwortlich für:
die Erstellung einer Richtlinie, die alle Prozesse des
Risikomanagements definiert,
die Definition von Kriterien für akzeptable Restrisiken
die Benennung einer med. IT-Risikomanagerin/eines med. IT-
Risikomanagers
die Bereitstellung notwendiger Ressourcen
und die Verteilung von
Befugnissen.
die Verknüpfung mit den Unternehmenszielen
die Sicherstellung der Wirksamkeit des med. IT-Risikomanagements
und die Überprüfung von Ergebnissen
BeispielAuszug aus einer Risikomanagementakte des „Alpen-Klinikums“:
[...] Die Rolle der obersten Leitung gemäß der Norm EN 80001-
1 übernimmt die Kollegiale
Führung [...] Die oberste Leitung überträgt die Verantwortung der Prozessentwicklung und
umsetzung an die med. IT-Risikomanagerin
. Alle erhöhten Risiken müssen der obersten Leitung
vorgestellt werden. Alle von der med. IT-Risikomanagerin als gering oder mitte
l eingestuften
Risiken sind automatisch akzeptable Restrisiken. [...]
Kritischer Erfolgsfaktor:
Verständnis und Bereitschaft der Krankenhaus- oder Organisationsleitung
Rollen:
Krankenhausleitung oder Geschäftsführung
Output
:
In der Risikomanagementakte muss eine oberste Leitung benannt und deren
konkrete Aufgaben müssen definiert sein.
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 14 -
ORG2.1.6 – Alle möglichen Stakeholder müssen identifiziert und aufgeklärt werden
Priorität
:
Schwierigkeit
:
Zweck der Maßnahme
:
Durch die Aufklärung jener Personen, die einen direkten oder indirekten Nutzen
vom med. IT-Risikomanagement haben, steigt deren Verständnis
an den
Prozessen des med. IT-Risikomanagements mitwirken zu dürfen/müssen.
Umsetzungsempfehlung
:
Für die unterschiedlichen Stakeholder (z.B. PatientInnen, ÄrztInnen,
Pflegekräfte, HerstellerInnen, LieferantInnen, TechnikerInnen,
Krankenhausleitung, etc.) müssen unterschiedliche Möglichkeiten gefunden
werden, diese über die Relevanz des Themas „IT-
Sicherheit in der
Medizintechnik“ zu informieren.
Im Kern steht dabei die Frage, welchen Nutzen das med. IT-Risikomanagement
für die jeweilige Person hat.
Beispiel:
Informationen zum med. IT-Risikomanagement werden im Intranet des „Alpen-Klinikums“ dem
Personal zugänglich gemacht werden. Der Nutzen für die jeweiligen Berufsgruppen wird dort
transparent und verständlich abgebildet:
Patienten: Das med. IT-
Risikomanagement soll dazu beitragen, dass Patienten vor unnötigen
med. Interventionen und Verletzungen geschützt werden.
Medizinisches Krankenhauspersonal: Das med. IT-
Risikomanagement soll dazu beitragen,
dass die Durchführbarkeit medizinischer Prozesse gewährleistet wird und sämtliche
Tätigkeiten effektiv unterstützt werden.
Technisches Krankenhauspersonal & MedizinprodukteherstellerInnen: Das med. IT-
Risikomanagement liefert Rahmenbedingungen für Beschaffungs-, Installations-, Wartungs-
und Instanthaltungsprozesse.
Unternehmens- und Krankenhausleitung: Das med. IT-
Risikomanagement ist ein Werkzeug
des strategischen Managements und dient dazu das Unternehmen vor
Schaden zu bewahren
sowie das Krankenhaus bei wesentlichen Geschäftstigkeiten zu unterstützen.
Kritischer Erfolgsfaktor:
Schlüssige Erklärungen, welchen Nutzen die jeweiligen Stakeholder vom med.
IT-Risikomanagement haben.
Rollen:
Med. IT-RisikomanagerIn / Team
Output:
Den Stakeholdern angepasstes Aufklärungsmaterial.
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 15 -
ORG2.2 – Wirkungs- und Geltungsbereiche müssen definiert werden
Priorität
:

Schwierigkeit
:
Zweck der Maßnahme
:
Der Wirkungs- und Geltungsbereich des med. IT-
Risikomanagements muss
eindeutig und unmissverständlich definiert werden. Alle am Risikomanagement
beteiligten Personen müssen wissen, in welchen Situationen (z.B.
Beschaffungsprozess) und räumlichen Bereichen (z.B. Kliniken) das med. IT-
Risikomanagement angewandt werden muss.
Umsetzungsempfehlung
:
In einem eigenen Kapitel in der Risikomanagementakte müssen folgende
Angaben zum Wirkungs- und Geltungsbereiche definiert werden:
Beschreibung des med. IT-Netzwerks
Standort oder Standorte
Zeitrahmen
Verantwortlichkeiten
BeispielAuszug aus einer Risikomanagementakte des „Alpen-Klinikums“:
[...] Die Anwendung des Risikomanagements nach EN 80001-1 betrifft prinzipiell das gesamte med.
IT-Netzwerk und somit auch alle Standorte dieser Betreibergesellschaft. Der Begriff medizinisches
IT-Netzwerk steht dabei für alle Netzwerke, in die Medizinprodukte (gem. Medizinprodukte-
Gesetz) eingebunden sind. Im Falle des „Alpen-Klinikums“
, wo keine physische Trennung in
unterschiedliche Netzwerke existiert, betrifft dies das gesamte IT-Netzwerk.
Laut Beschluss der Geschäftsführung vom 01.01.2013 ist das med. IT-
Risikomanagement nach EN
80001-1 bis auf Widerruf verpflichtend anzuwenden. [...]
Kritischer Erfolgsfaktor:
Wirkungs- und Geltungsbereiche muss mit der obersten Leitung abgestimmt
sein.
Rollen:
Med. IT-RisikomanagerIn / Team
Output:
Ein Kapitel „Wirkungs- und Geltungsbereich“ in der Risikomanagementakte.
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 16 -
ORG2.3Risikomanagementprozesse müssen entwickelt und umgesetzt werden
Priorität:

Schwierigkeit:
Zweck der Maßnahme:
Die Entwicklung und Umsetzung von Prozessen für ein systematisches med. IT-
Risikomanagement ist von elementarer Bedeutung. Ohne strukturierte Prozesse
wäre das Risikomanagement nicht vergleich-, nicht wiederhol-, nicht evaluier-
und auch nicht durchführbar. Etwaige Risiken würden durch das Fehlen von
Prozessdefinitionen und -umsetzungen nicht erkannt und nicht behandelt
werden.
Umsetzungsempfehlung
:
Es müssen folgende Kernprozesse für das med. IT-Risikomanagement
entwickelt und definiert werden:
Risikoerfassung
siehe Maßnahmenkategorie „Risikoerfassung ERF
Risikoanalyse
siehe Maßnahmenkategorie „Risikoanalyse ANA“
Risikominimierung
siehe Maßnahmenkategorie „Risikominimierung MIN“
Risikodokumentation
siehe Maßnahmenkategorien „ERF“, „ANA“ und „MIN
Die Prozessdefinitionen müssen in der Risikomanagementakte dokumentiert
werden.
Beispiel:
Risikoerfassung siehe Maßnahmenkategorie „Risikoerfassung ERF“
Risikoanalyse siehe Maßnahmenkategorie „Risikoanalyse ANA
Risikominimierung siehe Maßnahmenkategorie „Risikominimierung MIN“
Risikodokumentation siehe Maßnahmenkategorien „ERF“, „ANA“ und „MIN“
Kritischer Erfolgsfaktor
:
Entspricht den kritischen Erfolgsfaktoren der Maßnahmenkategorien
„Risikoerfassung ERF“, „Risikoanalyse ANA“
und
„Risikominimierung MIN“.
Rollen:
Med. IT-RisikomanagerIn / Team
Output:
Prozessdefinitionen sind in der Risikomanagementakte dokumentiert.
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 17 -
ORG2.4Risikomanagementaktivitäten müssen regelmäßig reflektiert werden
Priorität:

Schwierigkeit:
Zweck der Maßnahme:
Risikomanagement ist kein einmaliger Prozess, sondern muss ständig angepasst
und verbessert werden. Das gesamte med. IT-
Risikomanagement (Rollen,
Verantwortlichkeiten, Abläufe, Gefährdungskataloge, etc.) muss daher
regelmäßig reflektiert und evaluiert werden, um eventuelles Verbesserungs- und
Entwicklungspotential identifizieren zu können.
Umsetzungsempfehlung
:
Anhand regelmäßiger interner Audits kann das med. IT-Risikomanagement
evaluiert werden.
Hierfür bietet der vorliegende Maßnahmenkatalog eine
bedeutende Grundlage. Beispielsweise könnte geprüft werden, ob und mit
welchem Fortschritt empfohlenen Maßnahmen umgesetzt wurden. Die
Interpretation der zu den Maßnahmen zughörigen Kennzahlen stellt eine weitere
Möglichkeit der Prüfung dar.
Beispiel - Auszug aus einem internen Audits:
Maßnahme
Abgeschlossen
Kennzahl
Entwicklung
ERF1-
HerstellerInnen nach
möglichen Risiken
bei der IT-
Vernetzung ihres
Medizinprodukts
befragen (z.B.
Fragebogen)
100% -
Bei jeder
Integration eines
Medizintechnischen
Geräts wird die
Herstellerin/der
Hersteller anhand
eines systematischen
Fragebogens befragt
Anzahl der
identifizierten
Restrisiken (K19)
Im Jahr 2016
wurden 40
Risikoanalysen
durchgeführt. Dabei
könnten 200 mittlere
und 10 erhöhte
Risiken identifiziert
werden.
Kritischer Erfolgsfaktor:
Entwicklung einer Evaluierungsstrategie (z.B. Checklisten für den internen
Audit).
Rollen:
Med. IT-RisikomanagerIn / Team
Output
:
Dokument für die Risikomanagementakte über den regelmäßigen
Evaluierungsprozess (z.B. interner Audit-Bericht).
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 18 -
ORG3.1Schnittstelle zwischen Medizintechnik und IT-Abteilung muss sichergestellt werden
Priorität:

Schwierigkeit:
Zweck der Maßnahme:
Das med. IT-Risikomanagement ist gemeinsames Interesse der Medizintechnik
und der IT. Es muss daher Wissen aus der Medizintechnik mit jenem aus der IT
verknüpft werden, um vorhandenen und notwendige Synergien bestmöglich
nutzen zu können.
Umsetzungsempfehlung
:
Funktionierende Kommunikation und Schnittstellen müssen etabliert werden.
Hierfür sollten folgende Maßnahmen umgesetzt werden:
Regelmäßige Abstimmungsgespräche (wöchentliche oder monatliche Jour
Fixe)
Entwicklung gemeinsamer IT-Security-Policies / Richtlinien
Gemeinsames Dokumentenmanagement
Gemeinsame Prozessdefinitionen
Aufgaben- und Rollenverteilung regeln
Beispiel:
Im “Alpen-Klinikum”
findet wöchentlich eine Jour Fixe zwischen Medizintechnik und IT statt.
Neben tagesaktuellen Besprechungspunkten
werden geplante Wartungen besprochen, die aktuelle
Bedrohungslage (z.B. Viren, Trojaner, etc.), gemeinsame
Projekte (z.B. Bauprojekte,
Beschaf
fungen, Übersiedlungen, etc.) und notwendige strategische Entscheidungen
(Verantwortlichkeiten, Schnittstellen, Rollen und Aufgaben, Prozesse).
Kritischer Erfolgsfaktor
:
Sehr gute Kommunikation und gegenseitiges Verständnis für die
unterschiedlichen Schwerpunkte von Medizintechnik und IT.
Rollen
:
Med. IT-RisikomanagerIn / Team
IT-Abteilung
Output
:
Prozessdefinitionen, Rollen- und Aufgabentrennung und regelmäßige Meetings
von IT und Medizintechnik werden umgesetzt.
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 19 -
ORG3.2Ein unternehmensweit abgestimmter Beschaffungsprozess für vernetzte medizintechnische
Geräte muss etabliert werden
Priorität:

Schwierigkeit:
Zweck der Maßnahme
:
Die Integration des med. IT-Risikomanagements in den Beschaffungsprozess
von medizintechnischen Geräten/Systemen ermöglich die rechtzeitige
Identifizierung von potentiellen Gefährdungen. Gemeinsam mit den
HerstellerInnen
können dadurch rechtzeitig etwaige Sicherheitsbedenken
besprochen und mögliche Sicherheitslücken geschlossen werden. Im Falle von
nicht vertretbaren hohen Risiken kann von einer Anschaffung abgeraten
werden.
Umsetzungsempfehlung
:
Ein systematischer, abgestimmter und gemeinsamer Beschaffungsprozess kann
etabliert werden, wenn:
alle an der Beschaffung beteiligten Stellen (z.B.
Medizintechnik, IT,
Einkauf, etc.) identifiziert wurden,
die Interessen aller Beteiligen in einem systematischen
Beschaffungsprozess verwirklicht werden,
die Freigabe einer Anschaffung durch das med. IT-Risikomanagement als
Muss-Kriterium in den Beschaffungsprozess integriert wurde.
Beispiel:
Im “Alpen-Klinikum” wird bei jeder Beschaffung eines vernetzbaren medizintechnischen Geräts ein
Fragebogen zur IT-Sicherheit an die HerstellerInnen übermittelt. Der beantwortete Fragebogen wird
vom med. IT-Risikomanagement-Team ausgewertet. Neben zahlreichen andern Kriterien (z.B.
Budget, technische Machbarkeit, etc.) ist die Freigabe der med. IT-Risikomanagerin
entscheidet für
die Anschaffung. Geräte mit erhöhten und nicht beherrschbaren Risiken werden nicht angeschafft
oder angebunden.
Kritischer Erfolgsfaktor:
Abstimmung mit allen an der Beschaffung beteiligten Stellen.
Rollen
:
Med. IT-RisikomanagerIn / Team
Einkauf-Abteilung
IT-Abteilung
Output:
Prozessdefinition für gemeinsamen Beschaffungsprozess sind vorhanden.
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 20 -
ORG3.3Berichtwesen an die verantwortliche Leitung muss umgesetzt werden
Priorität:
Schwierigkeit:
Zweck der Maßnahme:
Die oberste Leitung trägt die Gesamtverantwortung für das med. IT-
Risikomanagement und daher müssen alle Aktivitäten des med. IT-
Risikomanagements berichtet werden
. Schriftliche Berichte stellen die
Grundlage für etwaige Entscheidungen der obersten Leitung dar. Des weiteren
ist die nachvollziehbare Dokumentation aller Risikomanagement-Tätigkeiten
aus rechtlicher Sicht von größter Bedeutung.
Umsetzungsempfehlung
:
Schriftlich dokumentiert und an die oberste Leitung berichtet werden sollten:
Alle Risikoanalysen, die im Rahmen des med. IT-Risikomanagements
erstellt wurden,
Richtlinien, Prozessbeschreibungen und Arbeitsanweisungen, die im
Rahmen des med. IT-Risikomanagements gelten,
Evaluierungen des med. IT-Risikomanagements und
Audits.
Beispiel:
In der Risikomanagementakte des „Alpen-Klinikums“ wird im Rahmen
einer von der
Krankenhausleitung genehmigten Richtlinie zur Umsetzung des med. IT-Risikomanagements
vereinbart, dass alle erhöhten Risiken der obersten Leitung vorgestellt werden müssen. Alle von der
med. IT-Risikomanagerin als gering oder mittel eingestu
ften Risiken sind automatisch akzeptable
Restrisiken. Alle Risikoberichte müssen in elektronsicher Form revisionssicher archiviert werden.
Einmal jährlich muss ein Bericht über die Tätigkeiten im med. IT-
Risikomanagement vorgestellt
werden.
Kritischer Erfolgsfaktor
:
Eine verantwortliche Leitung existiert (vgl.
ORG2.1.5) und Regeln für das
Berichtwesen wurden vereinbart.
Rollen:
Med. IT-RisikomanagerIn / Team
Output:
Vereinbarung mit der obersten Leitung über das Berichtwesen, Berichte;
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 21 -
ORG4.1Eine Risikomanagementakte muss angelegt werden
Priorität:

Schwierigkeit:
Zweck der Maßnahme:
Das Führen einer Risikomanagementakte wird vom Medizinproduktegesetzt
und der Medizinproduktebetreiberverordnung gefordert. Dadurch wird eine
grundlegende Maßnahme zur Gewährleistung
der gesetzlichen
Verkehrssicherungspflichten eingehalten und dies stellt
eine direkte
Geschäftszielunterstützung dar.
Umsetzungsempfehlung
:
Sämtliche Dokumentationen zum med. IT-Risikomanagement sind in der
sogenannten Risikomanagementakte zu erfassen und zu archivieren. Darunter
fällt die Gesamtheit aller Dokumente und Aufzeichnungen, die im Rahmen des
med. IT-
Risikomanagements entstanden sind. Die Form der Dokumentation
(elektronisch oder schriftlich) ist dabei der med. IT-Risikomanagerin/dem med.
IT-Risikomanager überlassen, allerdings wird die elektronische Form
empfohlen. Folgende Inhalte müssen in einer Risikomanagementakte jedenfalls
enthalten sein:
Beschreibung der Risikomanagementprozesse
Rollen und Verantwortlichkeiten
Begleitdokumente zum Medizinprodukt
Beschreibung des med. IT-Netzwerks
Werkzeuge der Risikoanalyse und bewertung
Werkzeuge der Risikobeherrschung
Berichtwesen
Beispiel:
Im „Alpen-Klinikum“
wird die Risikomanagementakte nicht als ein einziges physisches Werk
realisiert, sondern setzt sich aus unterschiedlichen einzelnen Dokumenten zusammen. Zentraler
Ausgangspunkt ist eine von der Krankenhausleitung verabschiedete Richtlinie, welche die zentralen
Rahmenbedingungen des med. IT-
Risikomanagements beschreibt. Rollen, Verantwortlichkeiten,
Werkzeuge der Risikoerfassung und Risikoanalyse, sowie die Umsetzung der einzelnen Prozesse
sind dort im Detail erläutert. Bezüglich detaillierter Beschreibungen des IT-
Netzwerks und des
Information Security Management System (ISMS)
wird hingegen auf die dementsprechenden
Dokumente der IT-
Abteilung verwiesen. Sämtliche Berichte und Risikoanalysen werden wiederum
im elektronischen Gerätebuch archiviert.
Kritischer Erfolgsfaktor
:
Identifizierung der Möglichkeiten wie die Risikomanagem
entakte realisiert
werden kann.
Rollen:
Med. IT-RisikomanagerIn / Team
Output:
Risikomanagementakte
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 22 -
ORG4.2Alle vernetzten medizintechnischen Geräte/Systeme müssen erfasst und dokumentiert
werden
Priorität:

Schwierigkeit:
Zweck der Maßnahme
:
Die Medizinproduktebetreiberverordnung fordert
eine lückenlose
Dokumentation und Beschreibung der Verwendungsbedingungen
(Ort der
Verwendung, Verwendungszeck, Konfigurationen, Schulungsnachweise, etc.)
aller medizintechnischen Geräte oder Systeme.
Umsetzungsempfehlung
:
Alle vernetzen medizintechnischen Geräte und Systeme inkl. ihrer Topologie
im Netzwerk müssen erfasst werden. Folgende Kriterien sollten dabei
dokumentiert werden:
Inventar- oder Equipmentnummer
Gerätekategorie und Gerätetyp
HerstellerIn
IP und MAC
Betriebssystem inkl. Sicherheitsmaßnahmen
Ort (Gebäude, Stockwerk, Raumnummer)
Angebundene Informationssysteme
Beispiel:
Equipment-Nr.
123456
Gerätekategorie
Ultraschallgerät
Gerätetyp
iU22
HerstellerIn
Philips
IP
12.3.456.789
MAC
00:D1:23:45:EB:67
Betriebssystem
Windows 10
Malwareschutz
Gehärtetes Windows 10 Betriebssystem, White-Listing-Verfahren
Ort
Unfallambulanz, Haus A, 1. Stock, Raum 6
Angebunden an
RIS
Kritischer Erfolgsfaktor
:
Ausreichen zeitliche Ressourcen zum Auffinden der Geräte und Zugang zu den
Geräten (z.B. OPs, Reinräume, etc.).
Rollen:
Med. IT-RisikomanagerIn / Team
Output
:
Vollständige Liste aller vernetzter Medizingeräte inkl. Beschreibung der
Topologie.
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 23 -
ORG4.3Eine vollständige Netzwerkbeschreibung und -dokumentation muss geführt werden
Priorität
:

Schwierigkeit
:
Zweck der Maßnahme
:
Eine vollständige Beschreibung des Netzwerks
sowie der damit im
Zusammenhang stehenden IT-Infrastruktur, stellt den aktuellen Standard
dar, der von den Betreibenden eines IT-Netzwerks umgesetzt wird. Bei der
Integration von vernetzbaren Medizingeräten formuliert die
ser Standard
jene Rahmenbedingungen, die unbedingt eingehalten werden müssen.
Umsetzungsempfehlung
:
Für folgende Kriterien muss möglichst genau beschrieben werden, wie
diese umgesetzt werden und welche Rahmenbedingungen hierfür von den
HerstellerInnen
eines vernetzbaren medizintechnischen Geräts oder
Systems beachtet werden müssen:
Hardware
o Storage
o Server
o Speichernetzwerk
Software
o Virtualisierung
o Serverbetriebssysteme
o Datenbanken
o Client
Remotezugang
Beispiel:
Server im “Alpen-Klinikum”
:
Server werden ausschließlich von der IT-Abteilung des „Alpen-Klinikums“ beschafft.
Fremdgeräte
werden nur in begründeten und von der IT genehmigten Ausnahmefällen
betrieben. Virtualisierte Serverinstanzen werden physischer Hardware vorgezogen.
Datenbanken im “Alpen-Klinikum”
:
Die IT-Abteilung des „Alpen Klinikum“ präferiert und erlaubt folgende Datenbanken:
Oracle (ab 18c)
MySQL (ab 8.0)
Kritischer Erfolgsfaktor:
Zugang zu den benötigten Informationen ist gegeben.
Rollen:
Med. IT-RisikomanagerIn / Team
Output
:
Vollständige Netzwerkbeschreibung und dokumentation
in der
Risikomanagementakte.
Zugehörige Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 24 -
ORG4.4 – Dokumentenlenkung muss eingeführt werden
Priorität:
Schwierigkeit:
Zweck der Maßnahme:
Die Dokumentenlenkung ist im Sinne der Norm ISO 9001 eine
qualitätssichernde Maßnahme und gewährleistet, dass Dokumente genehmigt
werden, die Historie bekannt ist, immer die gültige Fassung zur Verfügung
steht, die Dokumente leicht erkennbar und lesbar sind un
d der
Verwendungszweck eindeutig beschrieben ist.
Umsetzungsempfehlung
:
Sämtliche für das med. IT-
Risikomanagement relevanten Dokumente (z.B.
Richtlinie, Arbeitsanweisungen, Tätigkeitsprotokolle, Risikoberichte, etc.)
müssten systematisch erstellt, geprüft, genehmigt, gekennzeichnet, verteilt und
aktualisiert werden.
Beispiel:
Im Alpen-Klinikum” hat die QM-Abteilung ein Dokumentenmanagementsystem (DMS) etabliert.
Alles für das med. IT-Risikomanagement relevanten Dokumente
werden dort gemanagt.
Änderungen in den Dokumenten werden von der med. IT-Risikomanagerin an die QM-Abteilung
übermittelt. Die Verwaltung und Organisation des DMS erfolgt durch die QM-Abteilung.
Kritischer Erfolgsfaktor:
Ein Dokumentenmanagementsystem (DMS) ist vorhanden.
Rollen:
Med. IT-RisikomanagerIn / Qualitätsmanagement
Output
:
Alle für das med. IT-Risikomanagement relevanten Dokumente
werden im
DMS gemanagt.
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 25 -
Maßnahmenkategorie 2
Risikoerfassung (ERF)
Überblick
Mithilfe folgender Maßnahmen können Risiken, die durch die Vernetzung eines medizintechnischen Geräts oder
Systems mit dem med. IT-Netzwerk entstehen können, identifiziert und erfasst werden.
ID
Maßnahme
Priorität
Komplexität
Seite
ERF1
HerstellerInnen nach möglichen Risiken bei der IT-Vernetzung ihres
Medizinprodukts befragen

- 26 -
ERF2
AnwenderInnen befragen, welche Risiken durch den Ausfall eines
Vernetzungsservice entstehen können (z.B. Interview)


- 27 -
ERF3
IT-Abteilung nach allgemeinen IT-Gefährdungen befragen (z.B.
Netzwerksicherheit oder -stabilität)
- 28 -
ERF4
Vernetzungszweck identifizieren und daraus Gefährdungssituationen
ableiten

- 29 -
ERF5
Kritische klinische Bereiche (z.B. OP) identifizieren und dort
automatisch eine kritische Vernetzung annehmen

- 30 -
ERF6
Daten
- und Informationsflüsse vollständig erfassen und daraus
mögliche Fehler und Auswirkungen ableiten (z.B. FMEA)
- 31 -
ERF7
Gefährdungskatalog erstellen oder adaptieren (z.B. BSI
-Grundschutz)
- 32 -
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 26 -
ERF1 HerstellerInnen nach möglichen Risiken bei der IT-Vernetzung ihres Medizinprodukts
befragen
Priorität:

Schwierigkeit:
Zweck der Maßnahme
:
Aus den Begleitinformationen und den Angaben der HerstellerInnen können
potentielle Gefährdungsszenarien systematisch abgeleitet werden.
Umsetzungsempfehlung
:
Die HerstellerInnen von Medizinprodukten sollten systematisch und
nachvollziehbar befragt werden. Hierfür können
die Begleitinformationen
eingeholt werden und eine standardisierte schriftliche Befragung (Fragebogen)
hinsichtlich folgender Kategorien sollte durchgeführt werden:
Konformitätserklärung und Risikoklassifikation
Zweck der Vernetzung [vgl. ERF 4]
Gebrauchsanweisung und Anleitung zur Einbindung
Geforderte Leistungsmerkmale an das IT-Netzwerk
Hinweise zu Lizenzen und Passwörtern
Informationsflüsse und Kommunikationsschnittstellen
Datensicherung
Softwarebeschreibung
Virenschutz, Updates und Betriebssystemsicherheit
Patchmanagement
Gefährdungssituationen lt. HerstellerInnen
Kontrollierte Fernwartungen
Notfallkonzepte und Workarounds
Beispielfragen:
Kategorie
Frage
Virenschutz, Updates und
Betriebssystemsicherheit
Mit welchem Betriebssystem (Microsoft, Linux, etc.) wird das
Gerät betrieben?
Wie wird das Betriebssystem am aktuellen Stand gehalten?
Welche Sicherheitsmaßnahmen werden gesetzt um Malware
entgegen zu wirken?
Datensicherung
Was passiert mit den Daten, wenn die Netzwerkverbindung nicht
zur Verfügung steht?
Werden Daten lokal am Gerät zwischengespeichert, wenn ja wie
lange?
Kritischer Erfolgsfaktor
:
Rechtzeitige Anfrage, Aufklärung und Erläuterung möglicher Konsequenzen
(z.B. Nicht-Beschaffung bei hohem Risiko).
Geschlossene oder spezifische offene Fragen
Eingliederung der HerstellerInnenbefragung in die Beschaffung
Rollen
:
Med. IT-RisikomanagerIn / Team
MedizinprodukteherstellerIn
Output:
Ein vom Hersteller ausgefüllter und unterzeichneter Fragebogen.
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 27 -
ERF2 – AnwenderInnen befragen, welche Risiken durch den Ausfall eines Vernetzungsservice
entstehen können (z.B. Interview)
Priorität:

Schwierigkeit:

Zweck der Maßnahme
:
Zur Erfassung potentieller Risiken müssen die klinischen AnwenderInnen des
vernetzten Medizinprodukts systematisch befragt werden, denn nur die
klinische Nutzerin/der klinische Nutzer kann die tatsächlichen Auswirkungen
auf die medizinischen Prozesse und die PatientInnensicherheit einschätzen.
Umsetzungsempfehlung
:
Es wird eine kurze mündliche Befragung
einer verantwortlichen klinischen
Anwenderin oder eines verantwortlichen klinischen Anwenders empfohlen. Für
eine systematische und nachvollziehbare Befragung sollte ein
Interviewleitfaden verwendet werden, der folgende Inhalte berücksichtigt:
Zweck der Vernetzung des medizintechnischen Geräts mit dem IT-
Netzwerk (Warum muss das Gerät laut AnwenderIn angebunden werden?)
Was bedeutet es für die Anwenderin/
den Anwender, wenn das
medizintechnische Gerät nicht mehr vernetzt ist (Ausfall der
Vernetzungsservices)?
Was bedeutet es für den Patienten, wenn das medizintechnische Gerät nicht
mehr vernetzt ist?
Beispielfragen:
Welche Folgen kann ein IT-Ausfall oder der Ausfall des Vernetzungsservice für den Patienten
haben. (Kann ein Patient zu Schaden kommen?)
Was würde ein IT-Ausfall oder der Ausfall des Vernetzungsservice für den klinischen Prozess
bedeuten. (Muss eine Untersuchung oder ein klinischer Prozess abgebrochen werden?)
Können Daten und Informationen bei einem IT-
Ausfall oder dem Ausfall des
Vernetzungsservice verloren gehen und was bedeutet das für die klinische Anwenderin/den
klinischen Anwender?
Kritischer Erfolgsfaktor
:
Rechtzeitige Anfrage, Aufklärung vor der Befragung und Erläuterung des
Nutzens.
Das Intervi
ew soll kurz und die Fragen sollen einfach verständlich sein
(keine technischen Details).
Rollen
:
Med. IT-RisikomanagerIn / Team
Verantwortliche klinische Anwender
in / verantwortlicher klinischer
Anwender
Output:
Ein vom Befragten und Interviewer unterzeichnetes Transkript der Befragung.
Zugehörige
Kennzahlenkategorie
:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 28 -
ERF 3 IT-Abteilung nach allgemeinen IT-Gefährdungen befragen (z.B. Netzwerksicherheit oder -
stabilität)
Priorität:
Schwierigkeit:
Zweck der Maßnahme
:
Das IT-Risikomanagement
für vernetzte Medizintechnik setzt ein
grundlegendes, allgemeines IT-Risikomanagement (z.B. basierend auf ISO/IEC
2700x und BSI-Grundschutz) voraus. Dieses grundlegende IT-
Risikomanagement muss mit dem IT-Risikomanagement
für vernetzte
Medizintechnik abgestimmt werden.
Umsetzungsempfehlung:
IT-Risikoanalysen (basierend auf ISO/IEC 2700x und BSI-Grundschutz) und
Stellungnahmen zur IT-Sicherheit müssen von der IT-
Abteilung eingefordert
und berücksichtigt werden. Folgende Aspekte sind dabei von Bedeutung:
Sicherheit des IT-Netzwerks
Eintrittswahrscheinlichkeit und Ausfallsdauer betroffener Systeme
Anforderungen an die Hard- und Softwaresicherheit
Anforderungen für sichere Fernwartungszugänge
Strategien der Datensicherung und -archivierung
Ansprechpartner
Beispielfragen an die IT-Abteilung:
Welche Maßnahmen werden zum Schutz des Krankenhaus-Netzwerks ergriffen (Firewall,
Malwareschutz-Konzepte, Autorisierungskonzepte, Verschlüsselungen, Penetrationstests,
etc.)?
Welche Maßnahmen werden zum Schutz von Daten und
Informationen ergriffen
(Sicherungsarten, Backupstrategien, Redundanzen, etc.)
Wie oft und wie lange können die unterschiedlichen Informationssysteme ausfallen (z.B. KIS,
PACS, SAP, etc.)
Kritischer Erfolgsfaktor:
Systematische Schnittstelle zur IT-Abteilung (z.B. Integration in das med.
IT-Risikomanagementteam, IT-Sicherheit Jour Fixe, etc.) vorhanden.
Grundlegendes Information Security Management System (ISMS) in der IT
vorhanden (vgl. MIN 2.1)
Rollen
:
Med. IT-RisikomanagerIn / Team
MitarbeiterIn der Abteilung für IT-Sicherheit
Output:
Schriftliche IT-Stellungnahme
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 29 -
ERF 4Vernetzungszweck identifizieren und daraus Gefährdungssituationen ableiten
Priorität
:

Schwierigkeit
:
Zweck der Maßnahme
:
Der Grund warum das Medizinprodukt mit dem IT-Netzwerk verbunden ist,
liefert Hinweise auf mögliche Risiken für Patienten, Informationen und
Prozesse.
Umsetzungsempfehlung
:
Für jedes vernetzt
e Medizinprodukt müssen die Gründe der Vernetzung mit
dem med. IT-
Netzwerk identifiziert werden. Von besonderer Bedeutung ist
dabei
der Einfluss der Vernetzung auf die Zweckbestimmung des
medizintechnischen Gerätes.
Für jeden Vernetzungszweck sollen Folgen und Gefährdungen besprochen
werden, die bei einem Totalausfall oder der verminderten Dienstgüte der
Vernetzungsservices oder des IT-Netzwerks passieren können.
Zur Identifizierung des Vernetzungszwecks und daraus entstehender
Gefährdungen sollten die Einschätzungen der HerstellerInnen [vgl. ERF1], der
AnwenderInnen [vgl. ERF2], der IT-Abteilung [vgl. ERF3] und
MedizintechnikerInnen berücksichtigt werden.
Beispiel:
Zweck der Vernetzung
Gefährdung
Suchen von Bilddaten im Bildarchiv (PACS)
und Rückholung (DICOM Q/R) der Bilder
auf die Modalität zur Verlaufskontrolle.
Der Abgleich von aktuellen Patientenbildern
und jenen von früheren Untersuchungen
(Verlaufskontrolle) ist nicht möglich. Diese
Einschränkung der Datenverfügbarkeit kann
zur Verzögerung von Diagnose und Therapie
führen.
Kritischer Erfolgsfaktor
:
Der Grund der Vernetzung muss unmissverständlich definiert sein. Hierfür
muss insbesondere die klinische Nutzerin/der klinische Nutzer festlegen, welche
Vernetzungsservices er benötigt und die HerstellerInnen müssen erläutern,
welche dieser Services im Sinne der Zweckbestimmung angedacht sind.
Rollen:
Med. IT-RisikomanagerIn / Team
HerstellerIn
AnwenderIn
IT
Medizintechnik
Output
:
Liste oder Katalog von Vernetzungszwecken und damit verbundenen
potentiellen Risiken (1:n Beziehung).
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 30 -
ERF 5Kritische klinische Bereiche (z.B. OP) identifizieren und dort automatisch eine kritische
Vernetzung annehmen
Priorität:
Schwierigkeit:

Zweck der Maßnahme
:
Der Ort,
an dem ein vernetztes Medizinprodukt eingesetzt wird, lässt erste
Rückschlüsse auf mögliche Risiken für Patienten, Informationen und Prozesse
zu. In kritischen klinischen Bereichen (z.B. Akutstationen, Ambulanzen oder
Operationsräume) kann
per se
von einer kritischen Vernetzung ausgegangen
werden. Diese Bereiche müssen vorrangig analysiert werden.
Umsetzungsempfehlung:
1.
Kritische Verwendungsorte müssen von der Krankenhausleitung definiert
werden.
2. Alle vernetzten medizintechnischen Geräte/Systeme
an den kritischen
Verwendungsorten müssen identifiziert werden.
3. Eine med. IT-Risikoanalyse muss vorrangig für diese Geräte durchgeführt
werden.
Beispiel:
Zwei Ultraschallgeräte des gleichen Typs und mit
dem gleichen Vernetzungszweck, nämlich dem
Archivieren im Bildarchiv (PACS), werden an zwei unterschiedlichen Standorten verwendet:
1.
Chirurgische Intensivstation
2.
Betriebsärztliche Ambulanz
Auf der chirurgischen Intensivstation bestätigten die medizinischen AnwenderInnen
, dass
zeitkritische Entscheidungen aufgrund der Bilder mit dem Ultraschall getroffen werden und die
unmittelbare Speicherung im Archiv deswegen notwendig
ist, da häufig ein Radiologe, der sich
nicht Vorort befindet, konsultiert werden muss. Dieser greift an seinem Arbeitsplatz über das PACS
auf die Bilder zu. Hier ist von einer kritischen Vernetzung auszugehen
, da bereits ein kurzer
Netzwerkausfall die klinischen Prozesse und die Patientensicherheit beeinträchtigen kann.
Das
Ultraschallgerät in der betriebsärztlichen Ambulanz versorgt keine Akutpatienten und die
Bilder sind nur für den Betriebsarzt relevant. Die Archivierung im PACS dient ausschließlich der
Einhaltung gesetzlicher Dokumentationspflichten. Hier ist keine kritische Vernetzung zu erwarten.
Die Befundung passiert am Gerät selbst.
Gefährdungen wie ein Netzwerkausfall können als gering
eingestuft werden, da die Bildarchivierung auch nach mehreren Stunden passieren darf.
Kritischer Erfolgsfaktor:
Die kritischen Verwendungsorte müssen eindeutig von der Krankenhausleitung
bestimmt sein.
Rollen:
Med. IT-RisikomanagerIn
Krankenhausleitung
Output:
Eine Liste mit kritischen Verwendungsorte inkl. dort eingesetzter
medizintechnischer Geräte.
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 31 -
ERF 6 Daten- und Informationsflüsse vollständig erfassen und daraus mögliche Fehler und
Auswirkungen ableiten (z.B. FMEA)
Priorität:
Schwierigkeit:
Zweck der Maßnahme
:
Eine vollständige Beschreibung der Informationsflüsse ermöglich die
Identifizierung von Gefährdungen. In Form eines Netzwerkdiagramms können
Hard- und Softwarekomponenten sowie Schnittstellen
, Protokolle und
Kommunikationsstandards skizziert werden. Aufgrund fehlender Informationen
über die zu skizzierenden Komponenten können potentielle Risik
en genauso
identifiziert werden wie
durch eine auf dem Netzwerkdiagramm basierende
Auswirkungsanalyse (FMEA).
Umsetzungsempfehlung
:
Beschreibung der Kommunikationsbeziehungen des vernetzten
medizintechnischen Geräts können anhand folgender Bestandteile/Kriterien
erfolgen:
Datenquelle
Welches System sendet Daten und Informationen an das
medizintechnische Gerät?
Datensenke Welches Zielsystem empfängt die Daten und Informationen
des medizintechnischen Geräts?
Übertragungsparameter Welche Protokolle und Ports werden am
Zielsystem verwendet?
Kommunikationsbeziehung Welche Kommunikationsbeziehungen und
standards werden verwendet?
Beispiel:
Radiologieinformationssystem (RIS) sendet DICOM-Worklist an Ultraschallgerät
TCP, Port 4343
Bilder werden vom Ultraschall an das PACS gesendet
DICOM Service Store & Storage
Commitment Potentielle Risiken: 1. Ausfall des IT-Netzwerks oder eine fehlerhafte Port-
Konfiguration führen dazu, dass die Worklist nicht geladen und die Bilder nicht arc
hiviert werden
können (Beeinträchtigung der Datenverfügbarkeit) 2. Das Fehlen des DICOM-
Standards kann zur
Beeinträchtigung der Vertraulichkeit, der Integrität und der Verfügbarkeit von Daten führen.
Kritischer Erfolgsfaktor
:
Alle notwendigen Informationen über die zu skizzierenden Komponenten liegen
vor. Diese Informationen müssen meistens aus unterschiedlichen Quellen (z.B.
HerstellerIn, IT-Abteilung, etc.) bezogen werden.
Verantwortliche Rolle:
Med. IT-RisikomanagerIn
Output
:
Netzwerkdiagramm
und Informationsflussdiagramm des betroffenen
medizintechnischen Geräts oder Systems
Zugehörige
Kennzahlenkategorie:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 32 -
ERF 7 – Gefährdungskatalog erstellen oder adaptieren (z.B. BSI-Grundschutz)
Priorität
:
Schwierigkeit
:
Zweck der Maßnahme
:
Der Gefährdungskatalog ist eine Zusammenstellung aller denkbaren
Gefährdungen, die durch die Vernetzung eines medizintechnischen Geräts oder
Systems entstehen können. Er stellt dabei eine Übersicht von möglichen
Ereignissen und Entwicklungen dar ohne diese zu bewerten. Ein systematischer
Gefährdungskatalog kann eine
grundlegende Voraussetzung für die
Risikoanalyse darstellen.
Umsetzungsempfehlung:
Der zu erstellende Gefährdungskatalog sollte folgende Bestandteile beinhalten:
Definition von Kategorien/Ursachen
Benennung von mind. einer Gefährdung pro Kategorie/Ursache
Für jede Gefährdung müssen die Auswirkungen auf die Daten- und
Informationssicherheit, die Prozesseffektivität und die Patientensicherheit
abgeschätzt werden
Für die Erstellung sollten etablierte Gefährdungskataloge, wie beispielsweise
der BSI Grundschutzkatalog, adaptiert und mit individuellen Gefährdungen
(z.B. aus ERF1-ERF4) ergänzt werden.
(Anmerkung: Der Gefährdungskatalog beinhaltet noch keine Einschätzung hinsichtlich
Eintrittswahrscheinlichkeit und tatsächlichem Schweregrad.)
BeispielUltraschallgerät:
Kategorie/
Ursache
Gefährdung
Auswirkung
Technisches
Versagen
Ausfall oder
Störung des
internen LAN
Vernetzungsservices (
DICOM Worklists und
Bildarchivierung) stehen nicht zur Verfügung
Beeinträchtigung der Datenverfügbarkeit Belästigend
für den klinischen Prozess, weil Befundung am Gerät
durchgeführt und Patientendaten händisch eingegeben
werden müssen.
Keine Risiken für die
Patientensicherheit, da die Zweckbestimmung des Geräts
nicht von den Vernetzungsservices abhängt.
Kritischer Erfolgsfaktor:
Etablierten Gefährdungskatalog als Grundlage (z.B. BSI) verwenden
Anpassung an die individuellen Bedürfnisse des Unternehmens
berücksichtigen
Abstimmung mit mehreren ExpertInnen (z.B. IT-
Abteilung, Klinisches
Risikomanagement, etc.) anstreben
Verantwortliche Rolle:
Med. IT-RisikomanagerIn / Team
Output:
Schriftlicher Katalog über relevante und potentielle Gefährdungen.
Zugehörige
Kennzahlenkategorie
:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 33 -
Maßnahmenkategorie 3
Risikoanalyse (ANA)
Überblick
Mithilfe folgender Maßnahmen können jene Gefährdungen, die im Rahmen der Risikoerfassung identifiziert
wurden, systematisch analysiert werden.
ID
Maßnahme
Priorität
Komplexität
Seite
ANA1
Risiko-Matrix, also unterschiedliche Risikostufen, definieren


- 34 -
ANA2.1
Eintrittswahrscheinlichkeiten definieren

- 35 -
ANA2.2
Schweregrade für Daten
- und Informationssicherheit definieren

- 36 -
ANA2.3
Schweregrade für Prozesseffektivität definieren

- 37 -
ANA2.4
Schweregrade für Patientensicherheit definieren

- 38 -
ANA3
Risiken zu jeder potentiellen Gefährdung abschätzen
- 39 -
ANA4
Risikoanalysen und Evaluierungen dokumentieren


- 40 -
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 34 -
ANA1
Risiko-Matrix, also unterschiedliche Risikostufen, definieren
Priorität
:

Schwierigkeit
:
Zweck der Maßnahme
:
Die Risiko-Matrix ist die Grundlage zur systematischen Bewertung und
Einschätzung von Gefährdungen. Die Risikomatrix
stellt unterschiedliche
Eintrittswahrscheinlichkeiten und unterschiedliche Schweregrade gegenüber
und ermöglicht so die systematische und nachvollziehbare Kategorisierung der
Risikodimensionen.
Umsetzungsempfehlung
:
Schweregrade und Eintrittswahrscheinlichkeiten müssen definiert werden (vgl.
ANA 2.1 ANA2.4). Daraufhin kann eine zweidimensionale Risikomatrix mit
maximal drei Dimensionen definiert werden:
Hohes Risiko
Mittleres Risiko
Geringes Risiko
Alternativ dazu wird häufig auch eine zweidimensionale Matrix verwendet:
Hohes Risiko
Geringes Risiko
Beispiel:
Katastrophal
Hoch
Mittel
Gering
Vernachlässigbar
Unwahr-
scheinlich
Fernliegend
Gelegentlich
Wahr-
scheinlich
Häufig
Kritischer Erfolgsfaktor:
Vorhandene Schweregrad-Definition und vorhandene
Eintrittswahrscheinlichkeiten-Definition (vgl. ANA 2.1 ANA2.4)
Rollen:
Med. IT-RisikomanagerIn / Team
Output:
Definition einer Risiko-Matrix in der Risikomanagementakte.
Zugehörige
Kennzahlenkategorie
:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 35 -
ANA2.1
Eintrittswahrscheinlichkeiten definieren
Priorität
:
Schwierigkeit
:
Zweck der Maßnahme
:
Die Definition von Eintrittswahrscheinlichkeiten
, also den Erwartungswerten
mit denen ein Schaden eintritt, ist neben der Definition von Schweregraden
(siehe ANA2.2 ANA2.4) eine der beiden zentralen
Komponenten der
Risikomatrix (siehe ANA1) und somit der systematischen Ana
lyse von
Gefährdungen.
Umsetzungsempfehlung
:
Eine vier- bis max. fünfstufige Skala von Eintrittswahrscheinlichkeiten muss
definiert werden. (Bei weniger als drei Stufen kann die benötigte Genauigkeit
nicht unterschieden werden und mehr als fünf Stufen machen die Einschätzung
zu schwierig und unüberschaubar.) Eine halb-
qualitative Skala ist
empfehlenswert, da die Werte für eine ausschließlich quantitative Skala oftmals
nicht verfügbar oder nur schwer identifizierbar sind. Eine ausschließlich
qualitative Skala wird häufig als ungenau empfunden. Eine Adaption der
Skalenstufen (z.B. ISO 14971, EN 80001-
1, etc.) wird empfohlen. Die
Definition der Bedeutungen muss aber vom med. IT-Risikomanagement/Team
festgelegt werden.
Beispiel einer halb-qualitativen Definition von Eintrittswahrscheinlichkeiten:
Häufig
Mehrmals im Monat
Wahrscheinlich
Einmal pro Monat
Selten
Jährlich
Fernliegend
Alle 10 Jahre
Unwahrscheinlich
Noch nie vorgekommen, wäre aber denkbar
Kritischer Erfolgsfaktor:
Entscheidung über die Anzahl der zu verwendenden Wahrscheinlichkeiten und
derer Bedeutungen.
Rollen:
Med. IT-RisikomanagerIn / Team
Output
:
Definition von Eintrittswahrscheinlichkeiten ist in der Risikomanagementakte
definiert.
Zugehörige
Kennzahlenkategorie
:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 36 -
ANA2.2
Schweregrade für Daten- und Informationssicherheit definieren
Priorität
:

Schwierigkeit
:
Zweck der Maßnahme
:
Die Definition von Schweregraden
ist neben der Definition von
Eintrittswahrscheinlichkeiten (siehe ANA 2.1)
eine der beiden zentralen
Komponenten der Risikomatrix (siehe ANA1) und somit der systematischen
Analyse von Gefährdungen.
Umsetzungsempfehlung:
Beim Risikomanagement für vernetzte Medizintechnik sollte die Schwere von
möglichen Auswirkungen, die durch das Vernetzen von Medizintechnik und IT
passieren können, an den
Schutzzielen des Risikomanagements gemessen
werden. Gemäß der Norm EN 80001-1 sind die Schutzziele die Daten- und
Informationssicherheit, die Prozesseffektivität und die Patientensicherheit. Es
müssen für alle drei Schutzziele, hier die
Daten- und Informationssicherheit
,
Kriterien definiert werden, die mögliche Auswirkungen systematisch
beschreiben und unterscheiden.
Beispiel:
Katastrophal
Vollständiger Verlust der Vertraulichkeit, Integrität oder
Verfügbarkeit von Daten/Informationen.
Hoch
Signifikanter aber nicht vollständiger Verlust der Vertraulichkeit,
Integrität oder Verfügbarkeit von Daten/Informationen.
Mittel
Vollständig reversible Beeinträchtigung
der Vertraulichkeit,
Integrität oder Verfügbarkeit von Daten/Informationen. Die Folgen
haben möglicherweise einigen Ressourcenaufwand (personell,
finanziell, zeitlich) zur Beseitigung zufolge.
Gering
Beeinträchtigung der Vertraulichkeit, Integrität oder Verfügbarkeit
von Daten/Informationen ist vollständig reversibel, kurzzeitig und
ohne nennenswerte sonstige Auswirkungen.
Unerheblich
Vernachlässigbarer Einfluss auf die Vertraulichkeit, Integrität oder
Verfügbarkeit von Daten/Informationen.
Kritischer Erfolgsfaktor
:
Entscheidung über die Anzahl der zu verwendenden Schweregrade und derer
Bedeutungen.
Rollen:
Med. IT-RisikomanagerIn / Team
Output:
Definition von Schweregraden für die Daten- und Informationssicherheit.
Zugehörige
Kennzahlenkategorie
:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 37 -
ANA2.3
Schweregrade für Prozesseffektivität definieren
Priorität
:

Schwierigkeit
:
Zweck der Maßnahme
:
Die Definition von Schweregraden ist neben der Definition von
Eintrittswahrscheinlichkeiten (siehe ANA 2.1) eine der beiden zentralen
Komponenten der Risikomatrix (siehe ANA1) und somit der systematischen
Analyse von Gefährdungen.
Umsetzungsempfehlung:
Beim Risikomanagement für vernetzte Medizintechnik sollte die Schwere von
möglichen Auswirkungen, die durch das Vernetzen von Medizintechnik und IT
passieren können, an den Schutzzielen des Risikomanagements gemessen
werden. Gemäß der Norm EN 80001-1 sind die Schutzziele die Daten- und
Informationssicherheit, die Prozesseffektivität und die Patientensicherheit. Es
müssen für alle drei Schutzziele, hier die
Prozesseffektivität
, Kriterien definiert
werden, die mögliche Auswirkungen systematisch beschreiben und
unterscheiden.
Beispiel:
Katastrophal
Diagnose, Therapie oder Behandlung kann nicht durchgeführt
werden.
Hoch
Diagnose, Therapie oder Behandlung muss über einen längeren
Zeitraum
unterbrochen werden oder verzögert sich
dementsprechend.
Mittel
Belästigender und kurzzeitig unterbrechender Effekt auf Diagnose,
Therapie oder Behandlung.
Gering
Sehr begrenzter Effekt oder belästigender Effekt auf Diagnose,
Therapie oder Behandlung.
Unerheblich
Kein oder sehr begrenzter Einfluss auf Diagnose, Therapie oder
Behandlung.
Kritischer Erfolgsfaktor:
Entscheidung über die Anzahl der zu verwendenden Schweregrade und derer
Bedeutungen.
Rollen:
Med. IT-RisikomanagerIn / Team
Output:
Definition von Schweregraden für die Prozesseffektivität.
Zugehörige
Kennzahlenkategorie
:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 38 -
ANA2.4
Schweregrade für Patientensicherheit definieren
Priorität
:

Schwierigkeit
:
Zweck der Maßnahme
:
Die Definition von Schweregraden ist neben der Definition von
Eintrittswahrscheinlichkeiten (siehe ANA 2.1) eine der beiden zentralen
Komponenten der Risikomatrix (siehe ANA1) und somit der systematischen
Analyse von Gefährdungen.
Umsetzungsempfehlung:
Beim Risikomanagement für vernetzte Medizintechnik sollte die Schwere von
möglichen Auswirkungen, die durch das Vernetzten von Medizintechnik und IT
passieren können, an den Schutzzielen des Risikomanagements gemessen
werden. Gemäß der Norm EN 80001-1 sind die Schutzziele die Daten- und
Informationssicherheit, die Prozesseffektivität und die Patientensicherheit. Es
müssen für alle drei Schutzziele, hier die
Patientensicherheit
, Kriterien definiert
werden, die mögliche Auswirkungen systematisch beschreiben und
unterscheiden.
Beispiel:
Katastrophal
Schwere Verletzung, Tod.
Hoch
Dauerhafte Beeinträchtigung oder Schädigung physischer
Funktionen.
Mittel
Zeitlich begrenzte und geringere Verletzungen, medizinische
Intervention erforderlich.
Gering
Zeitlich begrenzte Unannehmlichkeit, reve
rsibel und keine
medizinische Intervention notwendig.
Unerheblich
Geringe und kurzzeitige Unannehmlichkeiten.
Kritischer Erfolgsfaktor
:
Entscheidung über die Anzahl der zu verwendenden Schweregrade und derer
Bedeutungen.
Rollen:
Med. IT-RisikomanagerIn / Team
Output:
Definition von Schweregraden für die Patientensicherheit.
Zugehörige
Kennzahlenkategorie
:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 39 -
ANA3
Risiken zu jeder potentiellen Gefährdung abschätzen
Priorität
:
Schwierigkeit
:
Zweck der Maßnahme
:
Das Risiko einer Gefährdung sowie die Gesamtheit aller Einzelrisiken (Risiken
für Daten-
und Informationssicherheit, Prozesseffektivität und
Patientensicherheit) stellen
den zentralsten Punkt im Risikomanagement dar.
Alle vorhergehenden Aufgaben und Prozesse dienen der Identifikation des
Risikos und alle weiterführenden Prozesse und Maßnahmen bauen auf dem
identifizierten Risiko auf.
Umsetzungsempfehlung:
Für jede identifizierte Gefährdung müssen mögliche Risiken abgeschätzt
werden. Dabei ist v.a. der Zweck der Vernetzung des medizintechnischen
Geräts mit dem IT-Netzwerk (vgl. ERF4) zu berücksichtigen. Pro Gefährdung
müssen stets die Eintrittswahrscheinlichkeit und der Schweregrad anhand der
Risiko-Level-Matrix (siehe ANA1) beurteilt werden:
In welchem Ausmaß ist die Integrität, Verfügbarkeit und Vertraulichkeit
von Daten und Informationen gefährdet?
In welchem Ausmaß können Patienten oder Personen gefährdet werden?
In welchem Ausmaß können klinische Prozesse beeinträchtigt werden?
Beispiel
Gefährdung Ausfall internes Datennetz
Funktionsverlust des Gerätes
Wahrscheinlichkeit
2 (Alle 10 Jahre)
5 (Mehrmals im Monat)
Schweregrad -
Daten- und
Informationssicherheit
1 (Unerheblich)
1 (Unerheblich)
Schweregrad -
Prozesseffektivität
1 (Unerheblich)
1 (Unerheblich)
Schweregrad -
Patientensicherheit
2 (Gering)
2 (Gering)
Risiko -
Daten- und
Informationssicherheit
Gering
Mittel
Risiko -
Prozesseffektivität
Gering
Mittel
Risiko -
Patientensicherheit
Gering
Mittel
Kritischer Erfolgsfaktor
:
Vorhandensein eines Gefährdungskatalogs (siehe ERF7)
Vorhandensein einer Risiko-Level-Matrix (siehe ANA1)
Rollen:
Med. IT-RisikomanagerIn / Team
Output
:
Fertige Risikobewertung aller relevanter Gefährdungen aus dem
Gefährdungskatalog.
Zugehörige
Kennzahlenkategorie
:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 40 -
ANA4
Risikoanalysen und Evaluierungen dokumentieren
Priorität
:

Schwierigkeit
:
Zweck der Maßnahme
:
Schriftliche Dokumentationen in Form eines Risikoberichts für ein vernetztes
medizintechnisches Gerät / System
stellen den Nachweis dar, dass eine
systematische Risikoanalyse stattgefunden hat. Risikoberichte sind daher auch
aus rechtlicher Sicht von großer Bedeutung. Außerdem stellen
sie die
Grundlage für Evaluierungs-
und Überprüfungsprozesse zu einem späteren
Zeitpunkt und/oder eine andere Person dar.
Umsetzungsempfehlung:
Sämtliche Prozesse der Risikoanalyse müssen dokumentiert und archiviert
werden. Von besonderer Bedeutung dabei muss die Nachvollziehbarkeit aller
Schritte und Ergebnisse sein. Ein Risikobericht muss folgende Inhalte besitzen:
Gerätename und HerstellerIn
Ort und Zweck der Verwendung und Vernetzung
Maßnahmen der Risikoerfassung
Maßnahmen und Ergebnisse der Risikoanalyse
Risikominimierende Maßnahmen und Empfehlungen
Abgrenzung und Geltungsbereich
Name und Kontaktdaten des med. IT-Risikomanagements
BeispielAuszug aus einem Risikobericht:
[...] Zweck der Vernetzung des Ultraschallgeräts vom Typ US1 des Herstellers MP GmbH
mit dem
IT-Netzwerk des „Alpen-Klinikums“
ist die Archivierung der Bilddaten im Langzeitarchiv, sowie
der Empfang von DICOM Worklists. [...]
[...] Die Integration in das IT-Netzwerk beinhaltet keine erhöhten Risiken. Daten- und
Informationssicherheit, Prozesseffektivität und Patientensicherheit si
nd nicht gefährdet. Details sind
der folgenden Risikotabelle zu entnehmen [...]
Kritischer Erfolgsfaktor:
Ein systematischer Aufbau der Risikoberichte ist vorhanden.
Rollen:
Med. IT-RisikomanagerIn / Team
Output:
Ein Risikobericht für jedes vernetzte Gerät/System.
Zugehörige
Kennzahlenkategorie
:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 41 -
Maßnahmenkategorie 4
Risikominimierung (MIN)
Überblick
Mithilfe folgender Maßnahmen können potentielle Risiken vernetzter Medizintechnik minimiert oder beherrscht
werden.
ID
Maßnahme
Priorität
Komplexität
Seite
MIN1
Das medizinische IT-Netzwerk muss ständig überwacht werden
- 42 -
MIN2.1
Grundlegende allgemeine IT-Sicherheit (z.B. ISO 2700x) muss
sichergestellt werden


- 43 -
MIN2.2
Störungs
- und Ereignismanagement muss entwickelt und
eingeführt werden
- 44 -
MIN2.4
Systemkommunikation soll so oft wie möglich in einem virtuell
getrennten Netz verlaufen
- 45 -
MIN2.5
Schnittstellen
- und Kommunikationsstandards (z.B. HL7, DICOM)
müssen stets angewendet werden
- 46 -
MIN2.6
Die technische Infrastruktur muss kontinuierlich am Stand der
Technik gehalten werden

- 47 -
MIN2.7
Manuelle Datenverarbeitungsprozesse sollen als mögliche
Workarounds identifiziert werden

- 48 -
MIN4
Risikominimierende Maßnahmen müssen regelmäßig überprüft
und dokumentiert werden

- 49 -
MIN5
Katalog für risikominimierende Maßnahmen muss erstellt und
umgesetzt werden


- 50 -
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 42 -
MIN1 Das med. IT-Netzwerk muss ständig überwacht werden
Priorität
:
Schwierigkeit
:
Zweck der Maßnahme
:
Eine ständige kontinuierliche Überwachung ermöglicht das rechtzeitige
Entdecken
von Auffälligkeiten und unüblichen Aktivitäten im Netzwerk.
Dadurch können geeignete weitere Maßnahmen rechtzeitig veranlasst werden.
Umsetzungsempfehlung
:
Das med. IT-
Risikomanagement muss während des gesamten Lebenszyklus
aktiv überwacht werden. Hierfür eignen sich spezielle elektronische
Netzwerküberwachungstools
. Die Auswahl und der Betrieb eines
Netzwerküberwachungstools ist, wie die Netzwerktechnik selbst, komplex und
muss unbedingt durch Spezialisten erfolgen.
Beispiel
Im “Alpen-Klinikum” werden Netzwerktools von jenem Team der IT-Abteilung eingesetzt, das aus
NetzwerktechnikerInnen und spezialistInnen besteht. Mit dem med. IT-Risikomanagement wurde
vereinbart, dass alle für die Vernetzung von medizintechnischen Geräten relevanten Informationen
regelmäßig besprochen oder im Falle von Notfällen unmittelbar abgestimmt werden (vgl. ORG3.1).
Kritischer Erfolgsfaktor
:
Vorhandensein eines Netzwerküberwachungstools.
Enge Zusammenarbeit mit Netzwerkspezialisten der IT-Abteilung.
Rollen:
Med. IT-RisikomanagerIn / Team
Output:
Dokumentationen (Logs) der Netzwerküberwachung.
Zugehörige
Kennzahlenkategorien
:
Effektivität der Vernetzung, Beschaffenheit der technischen Infrastruktur,
Anzahl an vorsätzlichen Handlungen
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 43 -
MIN2.1 – Grundlegende allgemeine IT-Sicherheit (z.B. ISO 2700x) muss sichergestellt werden
Priorität
:

Schwierigkeit
: 
Zweck der Maßnahme
:
Vorhandensein einer grundlegenden allgemeinen IT-Security (ISO 27000-
Reihe, BSI-
Grundschutzkatalog) im Krankenhausnetzwerk und am
medizintechnischen Gerät/System ist Voraussetzung für das IT-
Risikomanagement für die vernetzte Medizintechnik (z.B. nach EN 80001-1).
Umsetzungsempfehlung:
Ein aktueller Stand der Technik für IT-Sicherheit (z.B. ISO 27000-Reihe, BSI-
Grundschutzkatalog) muss im Krankenhaus bereits umgesetzt sein
, weil erst
darauf aufbauend die IT-Sicherheit für medizintechnische Geräte oder Systeme
erfolgen kann. Grundlegend für die IT-Sicherheit von medizintechnischen
Geräten oder Systemen sind nämlich folgende Aspekte der „allgemeinen“ IT-
Sicherheit in einem Krankenhausnetzwerk:
Vorgaben zur Betriebssystemsicherheit
Konzepte und Richtlinien für die Nutzung des Internets
Datenspeicheradministrationen
Vorgaben für Zugangs- und Zugriffsrechte
Fernwartungszugriffregelungen
BeispielVorgaben der IT an die Medizintechnik im “Alpen-Klinikum”:
Betriebssystemsicherheit: Es werden nur aktuelle Betriebssysteme mit Sicherheitsupdates und
Malwareschutz oder gehärtete Betriebssysteme am medizintechnischen Gerätes oder System
verwendet.
Internetsperren: Alle nicht benötigten Internetzugänge müssen am medizintechnischen
Gerätes oder System gesperrt werden, um diese potentielle Eintrittspforte für
Schadprogramme oder Zugriffe zu schließen.
Fernwartungszugriffregelung: Dauerhafte Fernwartungszugriffe
sollen nur bei Geräten oder
Systemen mit einer kritischen klinischen Anwendung eingerichtet werden
. Ansonsten sind
temporäre Fernwartungszugänge, die aktiv durch eine Krankenhaustechnikerin/einen
Krankenhaus-Techniker aktiviert werden müssen, zu bevorzugen.
Kritischer Erfolgsfaktor
:
Vorhandenes
Informationssicherheitsmanagementsystem (ISMS) im
Krankenhaus.
Rollen:
Med. IT-RisikomanagerIn / Team
Output:
In der Risikomanagementakte ein Verweis für die allg. IT-Sicherheitskonzepte
des Krankenhauses.
Zugehörige
Kennzahlenkategorien
:
Effektivität der Vernetzung, Beschaffenheit der technischen Infrastruktur,
Anzahl an vorsätzlichen Handlungen
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 44 -
MIN2.2 –
Störungs- und Ereignismanagement muss entwickelt und eingeführt werden
Priorität
:
Schwierigkeit
:
Zweck der Maßnahme
:
Das Störungs- und Ereignismanagement kann Schweregrade von Gefährdungen
reduzieren, indem Maßnahmen und Verhaltensregeln für
Gefährdungssituationen zur Verfügung gestellt werden.
Maßnahmen des
Störungs- und Ereignismanagements können auch prophylaktisch wirken und so
etwaige Schäden verhindern oder minimieren.
Umsetzungsempfehlung
:
Ein geregeltes und systematisches Störungs-
und Ereignismanagement muss
aufgebaut und allen Beteiligten
mitgeteilt werden. Zentrale Aufgaben dabei
sind:
Schaffen von Notfallkonzepten und Workarounds
Durchführen regelmäßiger Notfallübungen
Offline Datensicherung ermöglichen
Plausibilitätschecks etablieren
Überwachungsprozesse definieren
Vorkommnisse berichten
Beispiel:
Durchführen regelmäßiger Notfallübungen: IT-
Ausfälle/Störungen und somit die
Notfallkonzepte/Workarounds werden regelmäßig geübt.
Offline Datensicherung ermöglichen: Daten und Informationen müssen auch offline und ohne
funktionierendes Netzwerk gesichert werden können.
Kritischer Erfolgsfaktor
:
Identifikation organisatorischer und technischer Möglichkeiten mit denen das
Störungs- und Ereignismanagement umgesetzt werden kann.
Rollen:
Med. IT-RisikomanagerIn / Team
Output
:
Konzept für das Störungs- und Ereignismanagement
in der
Risikomanagementakte.
Zugehörige
Kennzahlenkategorien
:
Effektivität der Vernetzung, Beschaffenheit der technischen Infrastruktur,
Anzahl an vorsätzlichen Handlungen
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 45 -
MIN2.4 – Systemkommunikation soll so oft wie möglich in einem virtuell getrennten Netz verlaufen
Priorität
:
Schwierigkeit
:
Zweck der Maßnahme
:
Virtuelle Segmentierung in Teilnetze und die Etablierung von Insellösungen
sind effektive Maßnahmen
um Netzwerkprobleme (z.B. Schadsoftware,
Leistungsabfall, etc.) einzudämmen und nicht zu verbreiten.
Umsetzungsempfehlung
:
Umsetzen von Maßnahmen für eine virtuelle
Segmentierung in Teilnetze
und/oder Etablierung von Insellösungen. Die virtuelle Segmentierung,
insbesondere die zahlreichen Möglichkeiten der virtuellen Segmentierung,
erfordern ExpertInnen und diese müssen bei der Umsetzung dieser Maßnahme
zur Beratung und Umsetzung hinzugezogen werden.
Beispiel:
Im “Alpen-Klinikum” sind kritische Bereiche, wie die Monitoring-
Zentralen auf den
Intensivstationen, in virtuell getrennten Insellösungen segmentiert.
Kritischer Erfolgsfaktor:
Fachliche Expertise vorhanden oder zugänglich.
Rollen
:
Med. IT-RisikomanagerIn
IT-Netzwerk-ExpertIn
Output:
Virtuell segmentierte Teilnetze und/oder Insellösungen.
Zugehörige
Kennzahlenkategorien
:
Effektivität der Vernetzung, Beschaffenheit der technischen Infrastruktur,
Anzahl an vorsätzlichen Handlungen
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 46 -
MIN2.5 – Schnittstellen- und Kommunikationsstandards (z.B. HL7, DICOM) müssen stets
angewendet werden
Priorität:
Schwierigkeit:
Zweck der Maßnahme
:
Kommunikationsstandards
leisten einen bedeutenden Beitrag zur
(semantischen) Integrität von
Daten und Informationen, in dem sie eine
Vereinbarung über Syntax und Semantik einer auszutauschenden Nachricht
gewährleisten.
Umsetzungsempfehlung
:
Es muss gewährleistet werden, dass medizintechnische Systeme und Geräte
untereinander und mit klinischen I
nformationssystemen ausschließlich über
etablierte Schnittstellen- und Kommunikationsstandards kommunizieren.
HL7 Health Level (www.hl7.org) und DICOM
Digital Imaging and
Communication in Medicine (http://dicom.nema.org)
sind dabei von großer
Bedeutung.
Bei der Beschaffung von Medizinprodukten sollte die Kompatibilität mit einem
gängigen Kommunikationsstandard ein Muss-
Kriterium darstellen. Bei der
Risikoerfassung und
analyse müssen vorhandene oder nicht vorhandene
Kommunikationsstandards hinsichtlich der Auswirkungen auf die Integrität von
Daten jedenfalls berücksichtigt werden.
BeispielHerstellerInnenbefragung:
Kategorie
Frage
DICOM
Welche DICOM-Services unterstützt das Produkt (z.B. Store, Worklist,
Q/R)?
Welche DICOM-Ports werden benötigt (z.B. 104)?
BeispielRisikoanalyse:
Risiko
Ursache
Gefährdung
Verlust der
Datenintegrität
Gerät ist nicht
DICOM fähig
Es kann nicht
gewährleistet werden,
dass die Daten
vollständig sind und
nicht verändert wurden.
Kritischer Erfolgsfaktor
:
Berücksichtigung von Kommunikationsstandards bei der Beschaffung, bei der
Risikoerfassung und der Risikoanalyse.
Rollen
:
Med. IT-RisikomanagerIn / Team
Medizingeräte-Einkauf
Output
:
Richtlinie zum Umgang mit Kommunikationsstandards
in der
Risikomanagementakte.
Zugehörige
Kennzahlenkategorien
:
Effektivität der Vernetzung, Beschaffenheit der technischen Infrastruktur,
Anzahl an vorsätzlichen Handlungen
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 47 -
MIN2.6 – Die technische Infrastruktur muss kontinuierlich am Stand der Technik gehalten werden
Priorität
:

Schwierigkeit
:
Zweck der Maßnahme
:
Eine moderne IT-Infrastruktur ist die Voraussetzung für eine stabile und sichere
IT-Landschaft. Eine veraltete IT-Infrastruktur kann mit den ständig steigenden
Anforderungen, die durch Gesetze, Richtlinien oder Normen resultieren, nicht
mithalten.
Umsetzungsempfehlung:
Für eine moderne IT-Infrastruktur ist das IT-Management des Krankenhauses
verantwortlich. Die med. IT-Risikomanagerin/Der med. IT-Risikomanager kann
die IT beim Management der IT-Infrastruktur unterstützen, indem
er die
konkreten Anforderungen für das Vernetzten von Medizintechnik formuliert.
BeispielAnforderungen der Medizintechnik an die IT-Infrastruktur im “Alpen-Klinikum”:
Für Serverinstanzen wird eine virtualisierte Realisierung präferiert
Alter der Server-Betriebssysteme mindestens Microsoft Windows 2019
Remotezugänge über eine direkte Netzkopplung mittels IPSec
1GB/s als minimale Netzwerkgeschwindigkeit
Verwendung von Netzwerküberwachungstools
Wenn Medizinprodukte an Rechner der IT angebunden sind, dann dürfen diese PCs mit
keinem Betriebssystem älter als Windows 10
betrieben werden und es müssen regelmäßige
Betriebssystemupdates sichergestellt werden. Außerdem ist ein aktueller Malware-Schutz
unverzichtbar.
Kritischer Erfolgsfaktor
:
Spezifikation der benötigten Anforderung und Kooperation mit dem IT-
Management.
Rollen
:
Med. IT-RisikomanagerIn / Team
IT-Management
Output
:
Konzept über die IT-Infrastruktur im Krankenhaus
in der
Risikomanagementakte.
Zugehörige
Kennzahlenkategorien
:
Effektivität der Vernetzung, Beschaffenheit der technischen Infrastruktur,
Anzahl an vorsätzlichen Handlungen
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 48 -
MIN2.7 – Manuelle Datenverarbeitungsprozesse sollen als mögliche Workarounds identifiziert
werden
Priorität:
Schwierigkeit:

Zweck der Maßnahme
:
Die Fehlerquote bei der manuellen Eingabe von Daten und Informationen ist
höher als bei automatischen Datenerfassungs- und
Datenverarbeitungsprozessen. Manuelle Datenverarbeitung sollte aber als
Ausfallskonzept dienen.
Umsetzungsempfehlung
:
Bei allen vernetzbaren medizintechnischen Geräten oder Systemen sollen die
Datenverarbeitungsprozesse, insbesondere jene bei denen Patientendaten erfasst
werden, analysiert werden. Elektronische Datenverarbeitungen
(z.B. DICOM
Worklist) sind zu bevorzugen. Allerdings müssen
auch manuelle
Datenverarbeitungsprozesse als Workaround in Betracht gezogen werden.
Beispiel:
Bei der Beschaffung eines Ultraschallgeräts ist darauf zu achten, dass der Service „DICOM-
Worklistvom Gerät unterstützt wird, damit das PACS eine Liste der nächsten Untersuchungen
inkl. den Patientendaten an das Gerät übermitteln kann. Die Wahrscheinlichkeit von Eingabefehlern
bei den Patientendaten sinkt dadurch. Sollte die DICOM-
Worklist nicht zur Verfügung stehen (z.B.
Netzwerkausfall), dann muss eine manuelle Patientendateneingabe am Ultraschall
möglich sein.
Hierbei ist darauf zu achten, welche Möglichkeiten der Hersteller anbietet.
Kritischer Erfolgsfaktor
:
Alle vernetzten medizintechnischen Geräte/Systeme müssen bekannt sein
(ORG4.2)
Kenntnisse über elektronische und manuelle Datenverarbeitungsprozesse
der jeweiligen Geräte
Rücksprache mit HerstellerInnen
Verantwortliche Rolle
:
Med. IT-RisikomanagerIn/Team
HerstellerIn
Output
:
Liste über alle manuellen Datenverarbeitungsprozesse als
Workaround
oder
Notfallkonzepte.
Zugehörige
Kennzahlenkategorien
:
Effektivität der Vernetzung, Beschaffenheit der technischen Infrastruktur,
Anzahl an vorsätzlichen Handlungen
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 49 -
MIN4 Risikominimierende Maßnahmen müssen regelmäßig überprüft und dokumentiert werden
Priorität
:

Schwierigkeit
:
Zweck der Maßnahme
:
Ohne
Evaluierung der risikominimierenden Maßnahmen können diese an
Effektivität und Effizienz verlieren. Es muss also regelmäßig überprüft werden,
ob die risikominimierenden Maßnahmen Wirkung zeigen. Die Dokumentation
der risikominimierenden Aktivitäten ist aus rechtlicher Sicht ein bedeutsamer
Nachweis, dass ein Krankenhaus den gesetzlichen Verkehrssicherungspflichten
nachkommt.
Umsetzungsempfehlung:
Anhand regelmäßiger Überprüfungen sollen die risikominimierenden
Maßnahmen evaluiert werden. Im Zentrum
stehen dabei die Kennzahlen
„Effektivität der Vernetzung“, „Beschaffenheit der technischen Infrastruktur“
und „Anzahl an vorsätzlichen Handlungen“.
Beispiel - Auszug aus einem internen Audit im “Alpen-Klinikum”:
Risikominimierende Maßnahme
Kennzahl - Auswirkung
Evaluation (Status)
Windows-Betriebssystem der
medizintechnischen Geräte
dürfen nicht älter als „Windows
10“ sein und müssen mit
regelmäßigen Updates versorgt
werden.
Beschaffenheit der
technischen Infrastruktur
im Beobachtungs-
zeitraum wurden alle
veralteten Betriebssysteme
ersetzt
Die Maßnahme hat zur
positiven Entwicklung der
Kennzahl beigetragen.
Kritischer Erfolgsfaktor
:
Entwicklung einer Evaluierungsstrategie (z.B. Checklisten für die Überprüfung
der risikominimierenden Maßnahmen).
Rollen:
Med. IT-RisikomanagerIn / Team
Output:
Evaluationsbericht zum Nachweis der Effektivität/Effizienz
risikominimierender Maßnahmen.
Zugehörige
Kennzahlenkategorien
:
Effektivität der Vernetzung, Beschaffenheit der technischen Infrastruktur,
Anzahl an vorsätzlichen Handlungen
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 50 -
MIN5 Katalog für risikominimierende Maßnahmen muss erstellt und umgesetzt werden
Priorität
:

Schwierigkeit
:
Zweck der Maßnahme
:
Durch die Erstellung eines Katalogs für risikominimierende Maßnahmen kann
sichergestellt werden, dass sich ein für das Unternehmen gültiger Standard
entwickelt. Dadurch steigt die Vergleichbarkeit, Wiederholbarkeit und Stabilität
unabhängig von der Person, welche die Risikominimierung plant oder
durchführt.
Umsetzungsempfehlung
:
Best Practice
Maßnahmen aus der Literatur müssen recherchiert werden und
mit konkreten praktischen Erfahrungen und Ergebnissen abgestimmt werden.
Hierfür sollen nach mehreren Risikoanalysen alle empfohlenen
risikominimierenden Maßnahmen gesammelt und in einem Katalog
dokumentiert werden.
Beispiel:
Internet für das Gerät prinzipiell sperren Nur in begründeten Ausnahmen (z.B. Fernwartung)
darf das Internet aktiviert werden
Temporäre Fernwartungszugänge sind dauerhaften 24/7 VPN-Zugängen zu bevorzugen
Virenschutz und Betriebssystemupdates müssen installiert und aktuell gehalten werden
(Ausnahme: gehärtete Betriebssysteme).
Etc.
Kritischer Erfolgsfaktor:
Ausreichend Zeit zum Sammeln von „
Best Practice
Erfahrungen.
Rollen:
Med. IT-RisikomanagerIn / Team
Output:
Katalog für risikominimierende Maßnahmen in der Risikomanagementakte.
Zugehörige
Kennzahlenkategorien
:
Effektivität der Vernetzung, Beschaffenheit der technischen Infrastruktur,
Anzahl an vorsätzlichen Handlungen
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 51 -
Maßnahmenkategorie 5
Restrisiken (RES)
Überblick
Anhand folgender Maßnahmen soll mit jenen Risiken, die als akzeptable Restrisiken benannt wurden,
umgegangen werden.
ID
Maßnahme
Priorität
Komplexität
Seite
RES1
Restrisiken müssen systematisch eingeschätzt und begründet werden
(z.B. Restrisiken-Katalog)

- 52 -
RES2
Restrisiken müssen nachvollziehbar dokumentiert werden


- 53 -
RES3
Restrisiken müssen immer durch die oberste Leitung akzeptiert werden

- 54 -
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 52 -
RES1 Restrisiken müssen systematisch eingeschätzt und begründet werden (z.B. Restrisiken-
Katalog)
Priorität:

Schwierigkeit:
Zweck der Maßnahme
:
Eine Freiheit von Risiken existiert prinzipiell nicht, sodass stets mögliche (wenn
auch unwahrscheinliche) Restrisiken beschrieben werden müssen.
Umsetzungsempfehlung
:
Für jede analysierte Gefährdung (vgl. ANA3)
müssen die entstandenen
Restrisiken benannt und beurteilt werden. Wie bei der Analyse der Risiken
selbst, gilt es die Restrisiken hinsichtlich der Schutzziele des med. IT-
Risikomanagements zu beurteilen:
In welchem Ausmaß ist die Integrität, Verfügbarkeit und Vertraulichkeit
von Daten und Informationen gefährdet (vgl. ANA2.3)?
In welchem Ausmaß können Patienten oder Personen gefährdet werden
(vgl. ANA2.5)?
In welchem Ausmaß können klinische Prozesse beeinträchtigt werden (vgl.
ANA2.4)?
Ob und wann ein Restrisiko akzeptabel ist, entscheidet die oberste Leitung
(RES3).
Beispiel:
Vgl. ANA2.3 ANA2.4
Kritischer Erfolgsfaktor:
Gefährdungskatalog (siehe ERF7) ist vorhanden.
Risiko-Level-Matrix (siehe ANA1) ist vorhanden.
Schweregraddefinitionen (ANA2.3-ANA2.5) sind vorhanden.
Rollen:
Med. IT-RisikomanagerIn / Team
Oberste Leitung
Output:
Risikobewertung aller relevanter Restrisiken für ein medizintechnisches Gerät
oder System ist dokumentiert.
Zugehörige Kennzahl:
Leistungsfähigkeit des med. IT-Risikomanagements
Stefan Leber
Maßnahmen- und Kennzahlenkatalog für das Risikomanagement med. IT-Netzwerke
- 53 -
RES2 Restrisiken müssen nachvollziehbar dokumentiert werden
Priorität
:

Schwierigkeit
:
Zweck der Maßnahme
:
Schriftliche Dokumentationen stellen den Nachweis dar, dass eine
systematische Analyse von Restrisiken stattgefunden hat und welche
verantwortliche Person
aufgrund welcher Argumente die Restrisiken als
akzeptabel oder inakzeptabel eingeschätzt hat. Eine Do
kumentation der
Restrisiken ist somit aus rechtlicher Sicht von großer Bedeutung.
Umsetzungsempfehlung
:
Sämtliche Restrisiken müssen dokumentiert und archiviert werden. Von
besonderer Bedeutung dabei muss die Nachvollziehbarkeit aller Entscheidungen
und Beurteilungen sein. Hierfür empfiehlt sich ein standardisiertes
Berichtwesen und eine elektronische Archivierung. Der Bericht soll Folgendes
beinhalten:
Beschreibung des Restrisikos
Eintrittswahrscheinlichkeit und Schweregrad
Begründung der Einschätzung
Verweis auf die Verantwortlichen, die das Risiko als akzeptabel einstufen
Beispiel
Im Unfall-
Schockraum des „Alpen Klinikum“ steht ein mobiles Röntgengerät für eine schnelle
radiologische Erstabklärung. Bei einem Ausfall des IT-
Datennetz können die Bilder nicht in das
PACS gespeichert werden und stehen im Falle einer sofortigen Operation im OP nicht unmittelbar
zur Verfügung. Die durchschnittliche Ausfallszeit des IT-Datennetz von 4-mal
im Jahr für 30
Minuten ist für den verantwortlichen ärztlichen Leiter ein akzeptables Restrisiko, weil
lediglich 2
Schockraumpatienten pro Woche versorgt werden müssen und die Wahrscheinlichkeit eines
Zusammentreffens dieser Ereignisse gering ist. Aber auch in diesem unwahrscheinlichen Fall ist das
Speichern der Bilder direkt am Röntgengeräte auf einem USB-
Datenträger möglich und die
bildgebenden Systeme im OP können ebenfalls die Bilder von einem USB-Datenträger lesen.
Kritischer Erfolgsfaktor:
RES1 Restrisiken müssen systematisch eingeschätzt und begründet werden
Rollen:
Med. IT-RisikomanagerIn / Team, Verantwortliche Leitung;
Output: