IT-Netzwerke: Besonderheiten bei Krankenhäusern

IT-Netzwerke in Krankenhäusern unterscheiden sich — auch wenn die verwendeten Produkte und Technologien die gleichen sind — von IT-Netzwerken in anderen Branchen:

• Risiken: Von den IT-Netzwerken im Krankenhaus hängen regelmäßig Menschenleben ab.
• Regularien: Entsprechend verlangen Gesetze und Normen wie die IEC 80001 ein professionelles Risikomanagement speziell für über IT-Netzwerke verbundene Medizinprodukte.
• Budgets: Im Gesundheitswesen wird weniger Geld für die IT ausgegeben. Entsprechend veraltet sind viele IT-Netzwerke, entsprechend niedrig ist häufig der Ausbildungsstand der IT-Mitarbeiter.

Dokumentation von IT-Netzwerken

Erst wer mal selbst bei einem Betreiber (z.B. einem Krankenhaus) ein IEC 80001 konformes Risikomanagement durchführen musste, weiß wie erbärmlich die vorhandene Dokumentation der IT-Netzwerke und daran angeschlossenen Medizinprodukte ist.

Informationen über die IT-Netzwerke selbst

Dass ein Krankenhaus seine IT-Netzwerke präzise dokumentieren sollte, mag wie eine Selbstverständlichkeit klingen. Allerdings liegt diese Information fast nie vollständig, aktuell und korrekt vor.

• Vollständigkeit: Es geht nicht darum, jedes Kabel zu dokumentieren. Die Dokumentation der IT-Netzwerke sollte aber alle Segmente, aktiven Netzwerkkomponenten und deren Konfiguration sowie die angeschlossenen Endgeräte enthalten.
• Aktualität: In der Praxis beobachtet man regelmäßig, dass die Dokumentation völlig veraltet ist.
• Korrektheit: Die Dokumentation der IT-Netzwerke sollte konzeptionell integer sein. Das bedeutet beispielsweise, dass die Dokumentation nicht wild zwischen den verschiedenen OSI-Layern wechselt und physische und logische Segmentierung der Netzwerke verwechselt. Ein weiteres Beispiel sind „PowerPoint“-Diagramme, bei denen die Symbole nicht klar definiert sind.

Eine Ursache für dieses Chaos sind oft unklare Zuständigkeiten und Verantwortlichkeiten für die Dokumentation der IT-Netzwerke.

Kontinuierliche Informationen über den Zustand  des IT-Netzwerkes

Die Dokumentation der IT-Netzwerke stellt meist eine Momentaufnahme eines Soll-Zustands dar, die davon ausgeht, dass sich die Komponenten im Netzwerk wie spezifiziert verhalten. Nur ein kontinuierliches Monitoring hilft, Abweichungen von diese Zustand wie Ausfälle von Komponenten und Diensten zeitnah zu bemerken und darauf reagieren zu können.

Lesen Sie mehr zum Monitoring in IT-Netzwerken (nach unten scrollen)

Informationen von Medizinprodukte-Herstellern

Um ein Risikomanagement für ein IT-Netzwerk, das Medizinprodukte enthält, durchführen zu können, sollte ein Hersteller die Betreiber über Folgendes informieren:

• Die Zweckbestimmung
• Beschreibung der Schnittstellen zu anderen Systemen (welche Daten werden gesendet und empfangen?)
• Voraussetzungen an das IT-Netzwerk (Bandbreiten, andere Geräte usw.)
• Vorausgesetzte Hardwareumgebung
• Vorausgesetztes Betriebssystem (inkl. „Service Pack“)
• Vorausgesetzte und erlaubte „andere Software“: Datenbank, Firewall usw.
• Anleitung zur Installation
• Mögliche Tests, um die korrekte Installation initial und fortwährend zu beurteilen
• Vorgaben, ob/wie Antivirensoftware aktualisiert werden darf/muss und wie man bei einem Malwarebefall agieren soll.
• Vorgaben wenn und wie das System/die Software/das Produkt zu aktualisieren ist (Wartung, Update, Upgrade)
• Klare Ansprechpartner
• Usw.

Mein Tipps

1. Machen Sie als Krankenhaus diese Liste zur Basis Ihrer Vertragsverhandlungen mit den Herstellern und Sie als Hersteller als Bestandteil Ihres QM-Systems.
2. Verwechseln Sie das Risikomanagement für das IT-Netzwerk im Krankenhaus nicht mit dem Risikomanagement, das die Hersteller bereits für ihre eigenen Produkte durchführen müssen. Lassen Sie mich sowohl als Hersteller oder als Betreiber wissen, wenn ich Sie beim Risikomanagment unterstützen kann. (Kontakt aufnehmen)
3. Hören Sie sich die Videotrainings zur IEC 80001 im Auditgarant an.