"ICT-Systeme in Spitälern sind häufig veraltet und proprietär"
Ausfälle von Informations- und Kommunikationssystemen können in Spitälern verheerende Folgen haben. David Roman, Director und Digital Health Leader bei PwC Schweiz, erläutert im Gespräch, mit welchen ICT-Herausforderungen Schweizer Spitäler konfrontiert sind und wie sie diese bewältigen können.
Nach Silvester fiel in verschiedenen Schweizer Spitälern das Patientenrufsystem aus. Wie konnte das passieren?
David Roman: Im genannten Fall liess sich der Fehler auf ein mangelhaftes Update des Herstellers zurückführen. Dieses Ereignis zeigt die Hauptproblematik der ICT-Landschaft im Schweizer Gesundheitswesen auf.
Was ist die Hauptproblematik?
Die ICT-Architektur in einem Spital ist hochkomplex und nur schwer beherrschbar. Sie muss unendlich vielen Wünschen gerecht werden. Ein durchschnittliches Spital setzt mehrere hundert Systeme ein, die historisch gewachsen sind. Viele Systeme heisst noch mehr Schnittstellen, nach innen und aussen. Die Systeme sind häufig veraltet und proprietär konzipiert. Sie werden vorwiegend vom Hersteller kontrolliert und weiterentwickelt. So müssen sich die Verantwortlichen fast blind auf ihre Lieferanten verlassen. Und das ist noch nicht alles: Das Gesundheitswesen steckt mitten in der digitalen Transformation. Integrierte Versorgungs- und Ökosysteme entstehen, Prozesse werden automatisiert, Patienten digital integriert. Das schafft weitere Schnittstellen und eine gewisse Abhängigkeit von der ICT-Abteilung. Und schliesslich ist der Mehrwert des ICT-Risikomanagements nicht immer auf den ersten Blick ersichtlich. So schenken manche Spitäler diesem Thema nur wenig Aufmerksamkeit und führen Kontrollen mangelhaft oder nur sporadisch durch.
Warum diese Nachlässigkeit?
Das oberste Ziel jeder ICT ist der störungsfreie operative Betrieb. Das allein ist schon eine Herausforderung. Zusätzlich laufen in einem Spital dutzende ICT-Projekte gleichzeitig. Jeder leitende Arzt will natürlich, dass sein Projekt prioritär behandelt wird. Das setzt die ICT-Abteilung unter enormen zeitlichen und personellen Druck. Sie hat gar keine Zeit für tiefgreifende Analysen. Eine solche kann sie zwar als Stichtagsbetrachtung durchführen, nicht aber als kontinuierlichen Prozess.
Welche Folgen hat das?
Ein ICT-Experte, der im Rahmen eines Projekts Risikomanagementfunktionen und Kontrollmechanismen verlangt, wird als "Verhinderer" gesehen. Darum wird einer guten ICT-Compliance in den meisten Gesundheitseinrichtungen keine oder nur wenig Bedeutung beigemessen.
Wie sehen Spitalverantwortliche die ICT?
Viele ICT-Abteilungen durchlaufen zurzeit einen Wandel von Selbstverständnis und Fremdbild: vom Bereitsteller von Hardware und Netzwerken zum Projektleiter und Berater für agile Businessprozesse. Als solcher will man den internen Kunden beraten und ihm einen Vorteil verschaffen.
Was können Spitäler tun, um ICT-Risiken zu vermeiden oder zumindest zu reduzieren?
Es wäre falsch zu glauben, dass Spitäler nichts gegen ICT-Risiken unternehmen. Klinische Systeme sind immer mehrfach ausgelegt und mit Alarmfunktionen bestückt, damit Ausfälle verringert werden. Wer seine ICT-Compliance über die reine Technik hinaus optimieren will, sollte strukturiert vorgehen.
Wo sollte ein Spital zuerst ansetzen?
Als Erstes gilt es, seine ICT-Schlüsselrisiken überhaupt zu kennen. Diese sollten bewusst nicht nur technische Aspekte, sondern auch prozessuale, organisatorische, finanzielle und Reputationsrisiken abdecken. Dazu lohnt sich ein Blick auf aktuelle Branchentrends wie die zunehmende Vernetzung von medizinischen Partnern oder die digitale Integration der Patienten. So stellt man sicher, dass man Risiken mit Bezug zum eigenen Geschäft identifiziert.
Wie geht es danach weiter?
Anschliessend sollte man die identifizierten Risiken nach Schadenpotenzial und Eintrittswahrscheinlichkeit bewerten. Als Hauptkriterium in dieser Betrachtung gilt die Frage, wie viel ein Ereignis kosten darf, damit ein Risiko als wesentlich eingestuft wird. Der folgende Schritt besteht darin, das Risiko zu reduzieren. Dazu muss das Spital angemessene Kontroll- und Schutzmassnahmen etablieren. Anschliessend sollte das Spital regelmässig kontrollieren, ob neue Risiken entstehen oder identifizierte noch richtig eingestuft sind. Dazu muss es prüfen, ob die Schutzmassnahmen auch wirklich greifen und ob alle Partner ihre ICT-Vorgaben einhalten. Und auch hier gilt: Übung macht den Meister! Bleiben Sie nicht auf dem Papier. Trainieren Sie den Ernstfall mit allen Beteiligten auf Basis realer Risikoszenarien.
Tool rüstet Raspberry Pi zu Cybercrime-Werkzeug für Anfänger auf
Cyberkonferenz an der EPFL lädt zum Capture-the-Flag-Turnier
Forschende kreieren Exploits per GPT-4
Gil Shwed über Rücktritt, Cybercrime und KI
Wenn der Zufall Betrügern in die Hände spielt
Infinigate Schweiz reorganisiert MSP-Bereich
Passkeys – das Ende der Passwörter?
Gobugfree lanciert kostenloses VDP
In Österreich wäre die Krosse Krabbe dran
