Wehrmedizinische Monatsschrift

CYBERRISIKEN ABWENDEN

Risikomanagement für medizinische IT-Netzwerke –
Teil 1: Bundeswehrkrankenhäuser

Michael Härchena, Ulf Graßmeyerb, Ralf Beyerc

a Kommando Sanitätsdienst der Bundeswehr – Abteilung C/Referat C2.2, Koblenz

b Kommando Sanitätsdienst der Bundeswehr – Abteilung B/Unterabteilung X/Referat 4.2, Koblenz

c Kommando Sanitätsdienst der Bundeswehr – Abteilung B/Unterabteilung XI/Referat 2.2, Koblenz

 

Einleitung/Hintergrund

IT-Ausfälle durch Hackerangriffe auf kritische Infrastrukturen haben in den letzten Jahren zugenommen und bilden – mit Blick auf die jüngste Vergangenheit – eine wesentliche Bedrohung für den Klinikbetrieb und nicht zuletzt für das Wohl des Patienten [3].

Auch wenn der Diebstahl von Daten oder deren unwiederbringliche Löschung durch potenzielle Angreifer nicht im Vordergrund stehen, bestehen jedoch besondere Risiken, beispielsweise durch einen Angriff mit Verschlüsselung von Krankenhausdaten (Ransomware). Die daraus resultierende Nichtverfügbarkeit von Patientendaten bedeutet ein ernsthaftes Risiko für Behandlungsprozess, Effektivität der Behandlung sowie Patientensicherheit. So ist bei allen denkbaren Szenarien auch der Datenschutz in erheblicher Weise betroffen [4].

Nicht zuletzt bleiben Imageschäden durch negative Presseberichte und enorme finanzielle Aufwendungen, sei es durch Zahlung einer Erpressersumme und/oder durch die Wiederherstellung von IT-Systemen.

Zur Sicherstellung der Gesundheitsversorgung gemäß Konzeption der Bundeswehr werden Gesundheitseinrichtungen, wie z. B. Bundeswehrkrankenhäuser (Bw(Z)Krhs) und Institute des Sanitätsdienstes der Bundeswehr, als Teil der Sanitätsbasis Inland und somit als integraler Bestandteil der Rettungskette für die Versorgung von Soldatinnen und Soldaten betrieben. Um eine Gesundheitsversorgung nach wissenschaftlichem Standard und dem Stand der Technik zu gewährleisten, sind diese Einrichtungen mit hochwertigem Sanitätsmaterial und -gerät ausgestattet.

Einen maßgeblichen Anteil daran haben hier die Medizinprodukte, bei denen es sich gem. § 3 des Medizinproduktegesetzes (MPG) in der Regel um mit IT-Anteilen versehene, komplexe technische Geräte (Instrumente, Apparate, Vorrichtungen) sowie z. T. um reine Softwareprodukte handelt, mit dem Zweck der Erkennung, Verhütung und Behandlung von Krankheiten am menschlichen Körper [1]. Im weiteren Sinne sind diesem Bereich auch Laborgeräte zugeordnet.

Waren diese Medizinprodukte und Laborgeräte in der Vergangenheit mit Schwerpunkt auf dem medizintechnischen Hardwareanteil überwiegend singulär und ohne Anschluss an das Netzwerk im klinischen Betrieb eingebunden, so sind diese heute durch einen immer größer werdenden Anteil an IT-Applikationen (Software), IT-Plattformen und Informationsübertragungssystemen (Hardware und LAN-Infrastruktur, sogenannter medizinischer IT (MIT)) geprägt. Daraus wiederum ergeben sich weitreichende Anforderungen dieser Medizinprodukte und Laborgeräte an die IT-Umgebung.

Dem Betrieb von MIT in den Gesundheitseinrichtungen der Bundeswehr und deren Anbindung an das IT-System der Bundeswehr wurde durch die Allgemeine Regelung „Risikomanagement für medizinische IT-Netzwerke, Teil 1 Bundeswehrkrankenhäuser“ (AR C1–880/0–4002), die auf der Grundlage der DIN EN 80001–1 (Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten) erstellt wurde, Rechnung getragen.

Das Risikomanagement nach DIN EN 80001–1 sieht dabei die ganzheitliche Betrachtung eines MIT-Systems vor; es soll nicht dafür genutzt werden, nach möglichen Fehlern und Auswirkungen am Medizinprodukt selbst zu suchen und diese zu bewerten.

Das ordnungsgemäße Inverkehrbringen – und somit auch die Zulassung von Medizinprodukten zur Anwendung am Menschen – ist im Medizinproduktegesetz geregelt. Dieses sieht die Durchführung von Risikoanalysen durch den Medizinproduktehersteller im Rahmen des Konformitätsbewertungsverfahrens [5][6] vor, um Leistung und Sicherheit der Medizinprodukte nachzuweisen. Standard für diese Risikoanalysen bildet die DIN EN ISO 14971 „Anwendung des Risikomanagements auf Medizinprodukte“, deren Fokus auf dem wirksamen Management der mit der Anwendung von Medizinprodukten im Gesundheitswesen verbundenen Risiken und dem Schutzziel der Sicherheit für Patienten, Anwender und Dritte liegt.

Das Risikomanagement nach DIN EN 80001–1 agiert unabhängig von diesem Zulassungsverfahren und fokussiert auf den vernetzten Betrieb und damit verbundene Risiken. Es berücksichtigt dabei alle im klinischen Anwendungsprozess eingebundenen IT-Produkte (Netzwerk, Aktive Komponenten, ein oder mehrere Medizinprodukte, Arbeitsplatzcomputer, usw.) in ihrer Gesamtheit bezüglich der drei Schutzziele:

  1. Safety – Sicherheit für Patienten, Anwender und Dritte,
  2. Security – Daten- und Systemsicherheit und
  3. Effectiveness – Wirksamkeit.

Gesetzlicher Rahmen

Gesetzlicher Rahmen

Im Wesentlichen lassen sich für den gesetzlichen Rahmen zwei Säulen aufzeigen.

Erste Säule ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), welches die Betreiber kritischer Infrastrukturen (KRITIS) zur Einführung technischer und organisatorischer Mindestmaßnahmen für die Sicherstellung der Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit der informationstechnischen Systeme verpflichtet. Hierbei ist der Stand der Technik einzuhalten.

Der im April 2016 durch das Bundesministerium der Verteidigung veröffentlichte Abschlussbericht zum Aufbaustab Cyber- und Informationsraum enthält Empfehlungen zur Neuorganisation von Verantwortlichkeiten, Kompetenzen und Aufgaben sowie ergänzende Maßnahmen zur Umsetzung der Strategischen Leitlinie Cyber-Verteidigung. Er definiert zudem Einrichtungen der Sektion Gesundheit (Medizinische Versorgung, Arzneimittel und Impfstoffe, Labore) als kritische Infrastrukturen. Dabei beruft er sich auf die Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) des Bundesministeriums des Innern, für Bau und Heimat.

Eine zweite Säule bildet das Sozialgesetzbuch – Fünftes Buch (Gesetzliche Krankenversicherung). Im § 135a SGB heißt es, dass Leistungserbringer zur Sicherung und Weiterentwicklung der Qualität der von ihnen erbrachten Leistungen verpflichtet sind [2]. Darüber hinaus sind Krankenhäuser verpflichtet, sich an einrichtungsübergreifenden Maßnahmen der Qualitätssicherung zu beteiligen, welche insbesondere zum Ziel haben müssen, die Ergebnisqualität zu verbessern sowie ein einrichtungsinternes Qualitätsmanagement einzuführen und weiterzuentwickeln. Hinweise, wie ein solches Qualitätsmanagementsystem aufzubauen und im Sinne der ständigen Verbesserung weiterzuentwickeln ist, liefert die DIN ISO 9001.

Zusammengefasst lässt sich aus dem gesagten feststellen:

Risikomanagement ist Qualitätsmanagement.“

Folgerungen für den Sanitätsdienst

Das Bundesministerium der Verteidigung hat als Folgerung aus den genannten gesetzlichen Vorgaben festgelegt, dass für die medizinischen IT-Netzwerke in den Bundeswehrkrankenhäusern ein Sicherheitsniveau analog zu den Vorgaben zum Schutz von kritischen Infrastrukturen zugrunde zu legen ist.

Daher sind die im IT-Sicherheitsgesetz geforderten technischen und organisatorischen Maßnahmen in Form eines Risikomanagements einzuführen. Den Stand der Technik spiegelt hierbei die DIN EN 80001–1 wieder. Entsprechend gelangen die im branchenspezifischen Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (B3S) genannten Anforderungen und Maßnahmenempfehlungen zur Anwendung. Die Anwendung eines Risikomanagements ist dabei zwingende Voraussetzung, z. B. auf Basis der DIN EN 80001–1.

Auch wenn der Gesetzgeber keine grundsätzliche Pflicht zur Anwendung der DIN EN 80001–1 ausspricht, kann durch die Anwendung dieser Norm als allgemeiner Standard eine schuldhafte Verletzung durch Unterlassen von Maßnahmen, welche die Schutzziele der Norm

betreffen, ausgeschlossen werden.

Die zum 30. September 2020 in Kraft getretene Allgemeine Regelung C1–880/0–4002 stellt innerhalb der Bundeswehr die Regeln für die Etablierung und Fortschreibung eines Risikomanagements für medizinische IT-Netzwerke auf.

Weiterhin werden unter anderem aus nachfolgenden Vorgaben Inhalte abgeleitet:

Entwicklung der Vorschrift

Eine im Kommando Sanitätsdienst der Bundeswehr gebildete Arbeitsgruppe zur Einführung des Risikomanagements für medizinische IT-Netzwerke auf Basis der DIN EN 80001–1, bestehend aus Vertretenden der Unterabteilung X – Ausrüstung, Logistik und Schutzaufgaben, der Unterabteilung XI – Führungsunterstützung und Informationstechnologie, der Abteilung C – Krankenhausmanagement, sowie Mitwirkenden im Normengremium zur DIN EN 80001–1, entwickelte in den 5 Einzeldokumenten

eine einheitliche Methodik zur Maßnahmenplanung sowie zur ­Risikobewertung und -steuerung.

In der Gesamtheit der Dokumente lässt sich damit ein vollumfänglicher Risikomanagementprozess anwenden.

Entwicklungsmethode

Im Rahmen dieser Methodenentwicklung wurden Medizinprodukte aus verschiedenen klinischen Anwendungsbereichen ausgewählt, um in einem iterativen Vorgehen über 5 Meilensteine die zunächst theoretisch entwickelten Methodenansätze an IT-Netzwerken zu erproben und zu validieren, in denen Medizinprodukte, wie Ultraschallgeräte, Herzkathetermessplätze, chirurgische Navigationsgeräte sowie Patientenmonitoring und Patientendatenmanagementsysteme der Intensivstationen, betrieben werden.

Dabei wurden von Meilenstein zu Meilenstein die neu gewonnenen Erkenntnisse und Erfahrungen in eine neue Dokumentenversion der 5 Einzeldokumente integriert, sodass final ein einheitliches, auf alle Standorte der Bw(Z)Krhs anwendbares (Management-)Tool zum Risikomanagement entstanden ist.

Betreiber von Beginn an involviert

Wesentlich für die Entwicklung der Meilensteine war hier die Beteiligung des Krankenhauspersonals. In Form von Experteninterviews wurden die Risikobewertungskriterien mit Vertretenden der betroffenen Fachbereiche (z. B. klinische Fachabteilung, IT-Abteilung, Medizintechnik, QM, Pflege, usw.) besprochen und aus Sicht der theoretischen klinisch-fachlichen Strategie sowie der praktischen Erfahrungen bewertet. Damit konnte eine Abrundung der Risikomanagement-Prozesse auf den Klinikalltag erfolgen und neben der Anwendbarkeit vor allem eine Akzeptanz des Vorgehens bei den Betroffenen erzeugt werden.

Wesentliche Vorgaben aus der Vorschrift

Die neue Vorschrift gibt erstmalig eine verbindliche Vorgehensweise zur Umsetzung eines Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten, auf Grundlage der DIN EN 80001–1 vor und legt fest, wie ein solches Risikomanagement grundsätzlich geplant, umgesetzt, bewertet und verbessert werden soll.

Sie beschreibt diesbezügliche Verantwortlichkeiten innerhalb der Organisation, insbesondere auf der Ebene Bw(Z)Krhs (Abbildung 1), Einzelheiten im eigentlichen Risikomanagementprozess (Abbildung 2) und zur operativen Umsetzung an einem bestimmten MIT-System (Abbildung 3).

Abb.1: Verantwortlichkeiten

Abb. 2: Prozessbeschreibung

Abb. 3: Definition MIT-System

Fazit und Ausblick

Zum 30. September 2020 wurde die Vorschrift C1–880/0–4002 für die Bw(Z)Krhs in Kraft gesetzt.

Im Rahmen der weiteren Projektarbeit sind dabei die Bw(Z)Krhs aufgefordert, regelmäßig aus den resultierenden Erfahrungen in der Umsetzung des Risikomanagements zu berichten.

Diese Erfahrungsberichte sollen künftig bei der Fortschreibung der Vorschrift als weitere Entwicklungsschritte berücksichtigt werden. Dadurch wird diese Vorschrift zu einem lebenden Dokument.

Das Ziel der Vorschrift, die Einführung einer standardisierten Vorgehensweise zur Umsetzung des Risikomanagements für medizinische IT-Netzwerke gemäß der DIN EN 80001–1 in den Bw(Z)Krhs wird durch die mit dieser Vorschrift mitgelieferten Dokumente (Management-Tools) erreicht.

Aus der konsequenten Umsetzung der dargestellten Vorgaben gemäß den Schutzzielen der Norm DIN 80001–1 resultieren zudem eine Verbesserung der Patientensicherheit, eine Effektivitätssteigerung der Behandlungsabläufe sowie die Schaffung von zusätzlicher Handlungssicherheit für die Bw(Z)Krhs.

Mit der Anwendung der validierten Werkzeuge der Vorschrift erfolgt ebenfalls ein Beitrag zur Sicherstellung der Behandlungs- und Qualitätsziele der Bw(Z)Krhs nach dem Stand der Technik und den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik.

Literatur

  1. Bundesministerium für Gesundheit: Medizinproduktegesetz, zuletzt geändert am 18. Juli 2017. , letzter Aufruf 11. März 2021. mehr lesen
  2. Bundesministerium für Gesundheit: Sozialgesetzbuch Fünftes Buch. , letzter Aufruf 11. März 2021. mehr lesen
  3. Der Tagesspiegel: IT-Ausfall im Krankenhaus – Frau nach Hacker-Angriff auf Düsseldorfer Uni-Klinik verstorben. Tagesspiegel 2020: < https://www.tagesspiegel.de/gesellschaft/panorama/it-ausfall-im-krankenhaus-frau-nach-hacker-angriff-auf-duesseldorfer-uni-klinik-verstorben/26195960.html>, letzter Aufruf 11. März 2021. mehr lesen
  4. Europäische Union: Datenschutzgrundverordnung. EU 2018; , letzter Aufruf 11. März 2021. mehr lesen
  5. Europäische Union: Richtlinie 93/42/EWG des Rates vom 14. Juni 1993 über Medizinprodukte. , letzter Aufruf 11. März 2021. mehr lesen
  6. Europäische Union: Richtlinie 98/79/EG des europäischen Parlaments und des Rates vom 27. Oktober 1998 über In-vitro-Diagnostika. , letzter Aufruf 11. März 2021. mehr lesen

 

Für die Verfasser

Oberstabsfeldwebel Michael Härchen

Kommando Sanitätsdienst der Bundeswehr

Abteilung C, Referat C2.2

Von-Kuhl-Str. 50, 56070 Koblenz

E-Mail: michaelhaerchen@bundeswehr.org