In letzter Zeit häufen sich immer mehr schlechte Nachrichten, die sich auf den Einzug der Informationstechnologie (IT) in Krankenhäuser und Medizinprodukte beziehen. So wurde nach Servern, Routern und Autos auch irgendwann ein Narkosegerät geknackt. Und das Krankenhausmitarbeiter eine E-Mail mit dem Betreff „Virenwarnung“ öffnen, ist gerade in Bezug auf die Notwendigkeit von Hygiene im Krankenhaus nicht verwunderlich.
Es sieht so aus, als ob es sich hierbei um Einzelfälle handelt. Da ist ein Medizinprodukthersteller, der offensichtlich nicht aufgepasst hat. Dort ist ein Krankenhaus, welches seine IT-Landschaft nicht im Griff hat und keine Backups, sodass ein sogenannter Verschlüsselungstrojaner das ganze Krankenhaus für mehrere Tage lahmlegt. Am Rande wird natürlich nach mehr Kontrolle, nach mehr Gesetzen oder Vorgaben verlangt. Nur den wenigsten ist bekannt, dass es diese bereits gibt, nur kaum Anwendung findet. Lange bevor die Bundesregierung das IT-Sicherheitsgesetz im Juli 2015 verabschiedet hat, sind viele Anforderungen an IT-Netzwerke, die Medizinprodukte beinhalten definiert worden.
Bereits seit 2011 gibt es die DIN EN 80001-1, die sich intensiv mit dem Thema beschäftigt. Auch findet man bereits im Medizinproduktegesetz (MPG), der Risikomanagement-Norm DIN EN 14971, der Norm für medizinische elektrische Geräte DIN EN 60601-1 und Medizingeräte-Software DIN EN 62304 und der DIN EN 61907 zum Thema Kommunikationsnetzen mehr als genug Hinweise auf vernetzte Medizinprodukte und was man zu beachten hat. Die DIN EN 80001-1 untersucht bei der Vernetzung drei wichtige Schutzziele. Dies sind die Sicherheit, die Daten- und Systemsicherheit und die Effektivität. Es geht also nicht nur darum, dass das Gerät nicht von außen angreifbar ist. Der Fokus wird auch daraufgelegt, wie man als Betreiber darauf vorbereitet ist, wenn das Netzwerk ausfällt. Und das kann schon so etwas Triviales wie der Ausfall des Netzwerkdruckers sein. (Hier reicht meist als Abstellmaßnahme das bereitlegen eines USB-Kabels zum direkten Verbinden von PC und Drucker)
Die Herausforderungen stecken andererseits im Detail. Wer einmal versucht bei sich zu Hause eine Liste aller Geräte zu erstellen, die im Netzwerk hängen (inklusive Betriebssystem, IP-Adresse, MAC-Adresse, freigeschalteten Ports etc.) wundert sich bereits über die Menge an Geräten. Da ist zum einen der Router, der Rechner, ein Laptop, ein Tablet, der Fernseher, der Bluerayplayer, der iPod, der Drucker, ein Netzwerkspeicher usw. Stellt man sich nun vor, wie viele Produkte in einem Krankenhaus stehen, kann man sich die Größe der Aufgabe vorstellen. Als Nächstes sollte man nun laut Norm einen Netzplan erstellen, also wie hängen die Geräte zusammen, wo sind Switches, Firewalls, etc. positioniert. Sehr schnell stellt man fest, dass es vielleicht nicht sinnvoll ist den MRT am gleichen Netz wie die EKG-Überwachung zu haben. Und das Multimediasystem am Krankenbett hängt im gleichen Netz wie der Stations-PC…
Obwohl die Gefährdung hoch ist, wird in diesem Bereich bisher kaum etwas unternommen. Es gibt derzeit wenige Prüfer und dadurch auch wenige, die sich auf Prüfungen vorbereiten. Doch genau wie zu Hause sollte man sich auch als Betreiber ein paar grundlegende Gedanken über sein IT-Netzwerk machen. Spätestens dann, wenn davon Menschenleben und hohe wirtschaftliche Ausfälle abhängen können.