Foto: metamorworks - shutterstock.com
Da auch einige Gesundheitseinrichtungen zu den Betreibern kritischer Infrastrukturen (KRITIS) zählen, hat der Schutz ihrer Daten und die Aufrechterhaltung der digitalen Prozesse höchste Priorität. Deshalb arbeitet die Bundesregierung mit Hochdruck an verschiedenen Strategien und gesetzlichen Regularien, die die Sicherheit und Verfügbarkeit sowohl von IT-Systemen als auch von Mitarbeitenden und Patienten steigern sowie operative Abläufe im Hintergrund effizienter machen sollen.
Mit dem Krankenhauszukunftsgesetz von 2021 zum Beispiel hat die Regierung bereits einen wichtigen Schritt gemacht. Im Rahmen dieses Gesetzes haben Staat und Länder einen Fond in Höhe von 4,3 Milliarden Euro eingerichtet. Diesen konnten Gesundheitseinrichtungen in Anspruch nehmen, um ihre digitalen Infrastrukturen entlang von 11 sogenannten Fördertatbeständen zu fördern und zu verbessern.
Eine zusätzliche Hilfestellung zur Umsetzung bietet der branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (B3S), mit Angaben, wie die IT-Systeme von Gesundheitseinrichtungen zu schützen und das Ausfallrisiko zu minimieren sind.
Digitale Generalüberholung
Mit der im März 2023 angekündigten Digitalisierungsstrategie für das Gesundheitswesen und die Pflege zahlt die Bundesregierung weiter auf ihre Ziele ein. Diese hat das Bundesgesundheitsministerium in Zusammenarbeit mit Patientenvertretern und Akteuren des Gesundheitswesens entwickelt. Sie beschreibt, wie sich Versorgungsprozesse, Datennutzung und Technologien bis 2030 entwickeln müssen, um die Gesundheitsversorgung grundlegend zu verbessern.
Darunter fallen unter anderem die Weiterentwicklung der Telematikinfrastruktur - insbesondere der elektronischen Patientenakte (ePA) - sowie die digitale Transformation von Versorgungsprozessen statt einer reinen Digitalisierung von Dokumenten. Die Umsetzung soll beispielsweise den Dokumentenaufwand und das Risiko von Fehlmedikation reduzieren, die frühe Erkennung von Komplikationen und Risiken fördern sowie dem Fachpersonal trotz Fachkräftemangel mehr Zeit für die Patientenversorgung einräumen.
Dieses Vorhaben ist sehr ambitioniert, jedoch sieht sich das Gesundheitswesen aufgrund veralteter IT-Infrastrukturen einem nicht unwesentlichen Problem gegenüber. Denn Legacy-Infrastrukturen werden mit großer Wahrscheinlichkeit die Realisierung dieser Pläne erheblich einschränken und verlangsamen, wenn sich dafür keine Lösung findet.
Menschen, Prozesse & Technologie betroffen
Arbeitet zum Beispiel ein Krankenhaus mit einer veralteten und heterogenen IT-Infrastruktur, sind davon andere Technologien, Prozesse und Menschen direkt betroffen. Denn sie ist wartungsintensiv und birgt das Risiko von technischen Schwachstellen. Aufgrund des steigenden Personalmangels ist sie daher auf lange Sicht nicht mehr sicher zu betreiben, was sie schlussendlich anfällig für Ausfälle macht. Dies wiederum gefährdet die Sicherheit sowohl der IT-Systeme als auch der Patienten selbst.
Diese IT-Schwachstellen machen Gesundheitseinrichtungen zudem besonders attraktiv für Cyberkriminelle. Sie kennen diese möglichen Lücken und wissen, wie sie diese gezielt ausnutzen können, um personenbezogene Patienten- und andere sensible Gesundheitsdaten abzugreifen. Es kommt zu Angriffen, zum Beispiel in Form von Ransomware-Forderungen, mit der die Angreifer den Krankenhausbetrieb auf unbestimmte Zeit lahmlegen, um horrende Lösegelder einzufordern. Hinzu kommt, dass Cyberkriminelle ihre Methoden und Tools immer weiterentwickeln.
Die steigende Komplexität, die mit Legacy-IT einhergeht, spielt aber nicht nur Cyberkriminellen zusätzlich in die Karten, sondern wirkt sich auch direkt negativ auf die Arbeit des medizinischen Personals aus. Denn wenn die verschiedenen IoT-, Kommunikations-, Verarbeitungs-, Management- und Monitoring-Systeme nicht miteinander vernetzt sind, laufen digitale Prozesse höchst ineffizient ab.
Dadurch verlangsamen sich allgemeine Krankenhaus- und Behandlungsabläufe. Wichtige Dokumente wie Diagnosen, Medikamenten- und Behandlungspläne, Überweisungen oder Rezepte werden mit erheblicher Verzögerung verarbeitet und versendet. Die Folge: Es kommt zu gefährlichen Unterbrechungen in der Gesundheitsversorgung.
Personal leidet unter IT-Komplexität
Ein weiteres Risiko entsteht auf der Seite der Daten, die heutzutage, unter anderem durch technologische Prinzipien wie Edge Computing über mehrere Systeme gespiegelt werden müssen, was zu einer dezentralen Datenverfügbarkeit führt. Dies erschwert die Governance und die Einhaltung von gesetzlichen Datenschutz-Vorgaben.
Zudem kann es passieren, dass bestimmte Gesundheitsdaten nicht sofort für alle behandelnden Einrichtungen verfügbar sind. Dieser Umstand begünstigt falsche Entscheidungen hinsichtlich der (medikamentösen) Behandlung - zum Beispiel in Form von Fehl- oder Doppelmedikation. Anstelle von kleinen, in sich geschlossenen und wenig standardisierten Insellösungen werden klare Vorgaben und integrierte System mit standardisierten und sicheren Schnittstellen benötigt. Die Grundlage hierfür liegt in der Definition von richtungsweisender Datenstrategie, die jeder Provider von kritischen Infrastrukturen definieren, umsetzen und stetig weiterentwickeln sollte.
Liegen solche Grundlagen nicht vor, liegen Daten unstrukturiert vor und der bürokratische Aufwand - wie etwa die Erstellung, das Management sowie die Suche von Dokumenten steigen an. Da das behandelnde Personal mehr Zeit für bürokratische Angelegenheiten aufwenden muss, leiden dadurch einerseits die Qualität der Patientenversorgung sowie deren Zufriedenheit.
Andererseits belastet der durch Bürokratie entstehende Mehraufwand das medizinische Fach- und Pflegepersonal. Überlastete Mitarbeitende verschärfen das Cyber-Bedrohungsrisiko noch weiter, da die erhöhte Gefahr besteht, dass sie Opfer von Social-Engineering-, Phishing- und Ransomware-Angriffen werden.
Ganzheitliche IT-Modernisierungsstrategie erforderlich
Der naheliegende und äußerst notwendige nächste Schritt ist es daher, dieses lückenhafte, ineffiziente Fundament von Grund auf zu modernisieren. Eine solche IT-Modernisierung bedarf einer ganzheitlichen Strategie, die alle Baustellen umfasst. Dabei gibt es allerdings keine One-size-fits-all oder Out-of-the-Box-Lösung. Nicht jede IT-Landschaft ist gleich aufgebaut und auch die IT-Modernisierung ist je nach Unternehmen bereits unterschiedlich weit fortgeschritten. Daher müssen Gesundheitseinrichtungen vorab ihren bestehenden Reifegrad betrachten sowie IT- und Nutzeranforderungen bestimmen.
Zu einer modernen Infrastruktur gehört die Cloud mittlerweile dazu, da sie mehr Flexibilität sowie hohe Skalierbarkeit und Interoperabilität in die Gesundheitseinrichtungen bringt. Deshalb sollten IT-Entscheider die passenden Hybrid- und/oder Multi-Cloud-Modelle von Anfang an mit einbeziehen. Danach gilt es, die Daten und Anwendungen zu analysieren, die in die Cloud migriert werden sollen. Erst dann können sie mit dem Aufbau und der Implementierung der Cloud-Plattform beginnen und die Informationen übertragen. Legacy-Systeme laufen idealerweise parallel weiter, um das Ausfallrisiko zu minimieren. Zum Schluss erfolgt die Einführung unter anderem von moderneren Lösungen, um digitale Abläufe zu verschlanken.
Jedoch gilt es für die Definition der Strategie drei Grundlagen zu beachten, die essentiell für die Umsetzung und Weiterentwicklung der Digitalisierung und der damit verbundenen Transformation sind.
Offenheit: Anders als frühere Entwicklungen, wie zum Beispiel die Einführung von Service-Management-Strategien zur Optimierung des IT-Betriebs, ist die Digitalisierung des Gesundheitswesens keine reine IT-Disziplin, die ausschließlich aus der IT-Abteilung heraus umgesetzt werden sollten. Es gilt alle relevanten Nutzergruppen und Fachbereiche einzubeziehen, um die Anwendungsfälle, Prozesse und Mehrwerte im Zuge der Digitalisierung von Beginn an zu berücksichtigen. Aufgabe der IT ist es dann, die entsprechenden technischen Lösungen basierend auf den Anforderungen zu entwickeln.
Klare Verantwortlichkeiten: Essenziell für die erfolgreiche Umsetzung der Digitalisierung ist die Festlegung der Stakeholder und Verantwortlichkeiten. Oftmals scheitern die besten Vorhaben im Kontext der Digitalisierung an fehlenden Definitionen und der Benennung von Rollen und Verantwortlichkeiten. Auch hierbei gilt es sowohl die Nutzer als auch die Umsetzer der Vorhaben gleichermaßen mit einzubeziehen.
Modularität: Auf Basis der Umsetzung einiger IT-Transformationen steht für mich fest, dass eine erfolgreiche Digitalisierungsstrategie modular und offen gestaltet werden muss. Offen in der Form, dass auch Schnittstellen zu anderen Technologien, Organisationen und Nutzergruppen von Beginn an mit betrachtet oder auch zu einem späteren Zeitpunkt einbezogen werden können. Isolierte IT-Strategien bergen nicht nur das Risiko von deutlich längeren Umsetzungszeiten, sondern sie erweisen sich auch als zunehmend ineffektiv, wenn es darum geht neue Technologien und Anforderungen aufzugreifen und an Trends zu partizipieren. Kurz um, man sollte das Rad nicht versuchen neu zu erfinden und digitale Alleingänge sollten vermieden werden.
Kein Flickwerk an Einzellösungen
Das finale Ziel ist eine einheitliche, standardisierte, skalierfähige und sichere Plattform, die individuell auf den Gesundheitsversorger abgestimmt ist und mit einem durchdachten Rollout Management reibungslos eingeführt wird. Dazu gehören, neben der Berücksichtigung der zuvor genannten Prinzipien, auch Schulungsprogramme für das Personal und eine IT-on-site-Support-Stelle. Wenn in der Zukunft dann kontinuierlich geprüft wird, mit welchen weiteren Standards die Plattform ergänzt werden kann, ist der IT- Modernisierungsprozess nachhaltig.
Eine so wesentlich effizientere Infrastruktur ermöglicht, die Automatisierung verschiedener Arbeitsabläufe und die Vernetzung zwischen Systemen und Einrichtungen. Der (bürokratische) Mehraufwand sinkt, was zum einen die Mitarbeitenden entlastet. Zum anderen steht ihnen mehr Zeit für eine qualitativ hochwertige Patientenversorgung zur Verfügung. Zufriedenheit und Bindung steigen - sowohl auf Seiten des Personals als auch auf Seiten der Patienten. Eine modernere Infrastruktur kommt zudem der Governance und Compliance sowie dem Schutz vor Cyberbedrohungen zugute. Gleichzeitig können Gesundheitseinrichtungen ihre Betriebs- und Wartungskosten merklich senken, ohne auf notwendige Systeme verzichten zu müssen.
IT als Teil jeder Gesamtstrategie
Veraltete IT wirkt sich auf alle Ebenen - Menschen, Prozesse und Technologie - aus. Deshalb muss der nachhaltige Aufbau einer modernen, sicheren und auf die Bedürfnisse der Nutzer ausgerichteten IT Teil jeder Krankenhausstrategie sein. Kurzfristige Einzelaktionen wie der Kauf neuer Hard- oder Software schaffen keine Abhilfe - vor allem dann nicht, wenn sie keiner klaren Strategie oder Roadmap folgen.
IT-Modernisierungsinitiativen sind jedoch nicht von heute auf morgen realisierbar. Dieser Prozess kann zu einer komplexen Angelegenheit werden, wenn man ihn im Alleingang durchführen möchte und im schlimmsten Fall nicht über genügend Expertise verfügt. Fehlmaßnahmen können das Projekt um mehrere Schritte zurückwerfen. Das kostet wertvolle Zeit und Geld. Ein herstellerunabhängiger Managed Service Provider mit der Kompetenz, auch in der initialen Phase der IT Transformation Knowhow zu Verfügung zu stellen, kann hier helfen, die passende Strategie zu entwickeln und umzusetzen - und das mit geringem Ausfallrisiko, was im Gesundheitskontext von entscheidender Bedeutung ist. (mb)