Der elektronische Datenaustausch der IT mit medizinischen Geräten kann klinische Prozesse optimieren. Wie funktioniert eine erfolgreiche Integration?
Mit der Etablierung der elektronischen Auftrags- und Befundkommunikation gibt es nicht mehr die organisatorischen Hindernisse, welche papierbasierte Informationsflüsse bisher erforderlich gemacht haben. Und doch ist in vielen Krankenhäusern die Mehrzahl der medizinischen Geräte nicht elektronisch angebunden – woran könnte dies liegen?
Der Lebenszyklus von medizinischen Geräten
Medizinische Geräte haben häufig eine Lebensdauer von deutlich über 10 Jahren. Nicht ungewöhnlich ist, dass zum Zeitpunkt ihrer Inbetriebnahme noch Windows XP das Betriebssystem der Wahl war. Zu der Zeit war es üblich, dass Befunde und diagnostische Erkenntnisse ausgedruckt und der Papierakte zugeführt wurden.
Sollen heute solche Geräte eingebunden werden, so erfolgt dies häufig über eine der folgenden Möglichkeiten:
- Nachbeschaffung der Schnittstelle, dies ist auch noch für viele ältere Geräte möglich (z. B. ist DICOM ein seit 1993 etablierter Standard),
- Digitalisierung der analogen Datenströme, z. B. über einen Framegrabber. Achtung: Für die elektronische Weiterverarbeitung der Daten muss die Schnittstelle die Daten in einem strukturierten Format übertragen.
Schnittstellen sind in der Regel lizenzpflichtig, und zwar auf beiden Seiten der Schnittstelle. Dabei haben die Hersteller eine große Kreativität in ihren Lizenzmodellen entwickelt: pro Gerät, pro Nachrichtentyp, pro Datum etc. Leider ist es auch nicht selten, dass über die Lizenzkosten die Systeme bzw. Geräte andere Hersteller zugunsten der eigenen verdrängt werden sollen. Nur solange die Hersteller sich selber in einer wettbewerblichen Situation befinden, lassen sich adäquate Konditionen verhandeln. Dabei sollten insbesondere neben den Lizenzkosten auch die Wartungskosten mit einberechnet sowie Pauschalen für Schnittstellenerweiterungen und campus- bzw. arbeitsplatz- und geräteunabhängige Lizenzen vereinbart werden.
Trennung zwischen Medizintechnik und IT
Die Zuständigkeiten der Abteilungen Medizintechnik und IT entscheiden sich häufig an der stofflichen Manifestation: Software wird grundsätzlich von der IT betreut, Geräte für Diagnose und Therapie dagegen von der Medizintechnik. Tatsächlich gibt es auch als Medizinprodukt zugelassene Software (z. B. PACS und PDMS) sowie medizinische Systeme, welche aus einer Vielzahl von Einzelgeräten bestehen und bei denen die Software einen wichtigen Anteil der Gesamtfunktion ausmacht (z. B. Patientenmonitoring auf der Intensivstation). Die Zuordnung in die Verantwortung der einen oder anderen Abteilung führt de facto auch zu einer Entscheidung über die Integrationsstrategie: Während bei der IT die Zentralisierung von Rechenleistung und Datenhaltung im Serverraum zum Standard gehört, finden sich bei der Medizintechnik Server und Speicher nicht selten in einem Nebenzimmer oder Büro des das System nutzenden Fachbereichs. Dieses Denken in Systemgrenzen kann nur überwunden werden mit einer organisatorischen Integration beider Abteilungen. Der Serverraum „gehört“ nicht der IT, zum Betrieb vernetzt arbeitender medizinischer Systeme gehört auch die Langzeitsicherung der Daten in explizit für die Langzeitarchivierung geeigneten Systemen. In der IT gibt es etablierte und anwendbare Sicherheitskonzepte, die von verschiedenen Medizinprodukteherstellern postulierte physikalische Trennung der Datennetzwerke ist nicht die alleinige Lösung und führt unweigerlich zu faktischen Dateninseln. Sowohl die Medizintechnik als auch die IT müssen bei der Beschaffung neuer medizinischer Geräte frühzeitig eingebunden werden, sodass sie ihre Forderungen an eine Integration der Geräte in die Betriebsprozesse und Datenspeicherkonzepte bereits bei der Auswahl des Anbieters einbringen können.
Sicherheit der medizinischen Geräte
Immer wieder gibt es Meldungen, dass Hacker die Steuerung medizinischer Geräte übernommen und/oder Daten ausgelesen bzw. manipuliert hätten. Dieses Problem ist nur zum Teil auf das o. g. Problem der Trennung zwischen Medizintechnik und IT und der daraus resultierenden Nicht- Anwendung von IT-Sicherheitskonzepten zurückzuführen. Eine wesentliche Ursache liegt auch darin begründet, dass Hersteller von Medizinprodukten wenig vertraut sind mit den Sicherheitskonzepten der IT. Lange Zeit haben sie die Lösung in der physikalischen Abschottung gesehen und haben so alternative Lösungsansätze für Sicherheitskonzepte vernachlässigt. Auf diese Weise wurde das Netzwerk auf wenige Teilnehmer beschränkt, die Gefährdung durch das „böse Internet“ sollte so vermieden werden. Dass damit allerdings auch die elektronische Kommunikation mit dem Rest der Systeme des Krankenhauses unterbunden wird, wurde von den Herstellern billigend in Kauf genommen. Tatsächlich reichte aber dieser Schutz nicht aus: Schadsoftware wurde beispielsweise durch Laptops oder Datenträger der Wartungstechniker eingetragen, über offene Switch-Ports in das Medizinproduktenetzwerk eindringende externe Personen hatten ungehinderten (Wartungs-) Zugriff auf alle Geräte. Außerdem haben die Lieferanten gern einen eigenen Fernwartungszugriff auf die Geräte, um teure Reiseaufwände zu vermeiden und versprochene Service Level einhalten zu können.
Lösungen sind auf unterschiedlichen Ebenen erarbeitet worden: Im vom BMBF geförderten Forschungsprojekt OR.NET sind Standards für die sichere Kommunikation von Geräten erarbeitet und in die Standardisierungsgremien eingebracht worden. Damit lässt sich nicht nur der sichere Datenaustausch, sondern auch die sichere Gerätesteuerung abbilden, ohne dass es sich bei den Vernetzungspartnern um Geräte eines einzigen Herstellers handeln muss. Weiterhin sind in diesem Projekt Prozesse für den Betrieb vernetzter Medizinprodukte erarbeitet worden, deren Umsetzung eine sichere Nutzung unter sich ändernden Gerätekonstellationen erlaubt. Diese Betriebsprozesse sind in Form von Leistungsscheinen im Projekt veröffentlicht worden.
Ein weiterer Dreh- und Angelpunkt eines Sicherheitskonzepts ist ein segmentiertes und gegen Fremdzugriff abgesichertes Netzwerk sowie ein Update- und Patchmanagement zum Beheben identifizierter Sicherheitslücken. Dabei dürfen sich die Medizinproduktehersteller nicht darauf zurückziehen, dass aufgrund der Zulassung als Medizinprodukt das Bereitstellen von Updates und Patches ein erneutes Durchlaufen des Konformitätsbewertungsverfahrens erfordern würde – hierzu stellt beispielsweise die FDA klar, dass dies nur bei solchen Updates der Fall sei, welche die Wirkungsweise des medizinischen Gerätes kompromittieren und dieses somit zu einer Gefahr für den Patienten, Anwender oder Dritte werden könnte. Und dieses träfe nur auf einen sehr kleinen Teil der Updates und Patches zu.
Lösungen für die Vernetzung sowohl auf technischer wie auch organisatorischer Ebene sind verfügbar, sie müssen nur noch implementiert werden. Dazu müssen bereits heute die ersten Schritte gegangen werden, damit morgen die Vernetzung der medizinischen Geräte realisiert und davon profitiert werden kann.