Artikel • Paradigmenwechsel beim Point-of-Care-Testing
IT-Sicherheit von POCT-Geräten – nicht alles ist super
Eine hohe Qualität der Analytik und immer bessere Verfahren und Reagenzien für die optimale Patientenversorgung zu erreichen, darum ging es bisher im Bereich POCT. In einem modernen Klinikumfeld rückt die IT-Sicherheit von POCT-Geräten aber immer stärker in den Fokus.
Nicht zuletzt auch vor dem Hintergrund branchenspezifischer Sicherheitsstandards (BSI-Gesetz). PD Dr. Thomas Streichert, Institut für Klinische Chemie, Uniklinik Köln, äußert sich im Gespräch zu den Herausforderungen.
Etwa 300 POCT-Geräte sind im Uniklinikum Köln im Einsatz. Sie werden von rund 3.000 Mitarbeitern genutzt. „Wir haben es mit einer Vielzahl heterogener Benutzer mit jeweils spezifischen Anforderungen und Qualifikationen zu tun“, bringt Streichert es auf den Punkt. Die Implementierung eines einwandfrei funktionierenden und vor allem im Klinik-Umfeld alltagstauglichen POCT-IT-Sicherheitskonzeptes stellt ein keineswegs leichtes Unterfangen dar.
POCT-Geräte und ihre Sicherheitslücken
Die Geräte elektronisch komplett einzubinden und damit alle Daten zentral in der EDV verfügbar zu haben, ist unbestritten ein großer Vorteil, birgt aber gleichzeitig auch Probleme. Denn die Geräte liegen auf den Stationen ggfs. ungesichert und sind dann von nicht autorisierten Personen einsehbar. Das stellt eine gravierende Sicherheitslücke dar, da die Geräte nicht nur über Messwerte, sondern auch über sensible Patientendaten verfügen. Um die Daten zu schützen, braucht es intelligente Geräte, die mit Nutzeridentifikationen, Zugangsberechtigungen und rollenspezifischer Rechtevergabe arbeiten und eine verschlüsselte Kommunikation. Der Laborspezialist ist sich sicher: „Das in der ganzen Klinik stringent umzusetzen, ist eine enorme technische und organisatorische Herausforderung“.
Hohes Sicherheitsniveau und Service-Gedanke
Dabei sind die Sicherheitsstandards am Klinikum Köln bereits auf einem sehr hohen Niveau. Aufgrund der POCT-Akkreditierung nach ISO 22817 hat es in Sachen Qualitätssicherung einen enormen Schub nach vorne gegeben. Im Rahmen einer Präsenzschulung wird jeder Mitarbeiter fit gemacht, egal ob Arzt oder Ärztin, Schwester oder Pfleger. Hinzukommen regelmäßige Nachschulungen, auch digital als E-Learning-Module. Die damit verbundenen Kosten und hohen Zeitaufwände wurden in Kauf genommen, zu wichtig ist die Einhaltung von Qualitätsstandards für die Klinik. Alle POCT-Geräte werden zentral im Klinischen Labor der Uniklinik Köln verwaltet. Das ist sinnvoll, denn die Labormediziner verfügen über die entsprechende Expertise und können allen Abteilungen eine kompetente und zielführende Qualitätssicherung garantieren. „Unser Serviceangebot wird von den Kolleginnen und Kollegen gerne angenommen. Für uns tägliches Brot, ist die Beschäftigung mit den Details der POCT-Systeme für die Pflegekräfte auf Station oder den Intensivmediziner dagegen eher lästig. Die haben eigentlich ganz anderes zu tun.“ Streichert weiß, Voraussetzung für diesen Service ist ein guter Draht zur IT. “Und den haben wir, benötigen wir für unsere tägliche Arbeit doch ohnehin viel IT-Support. Über die Jahre hat sich so ein sehr gutes Arbeitsverhältnis entwickelt.“
Kontrast: Sicherheitsstandard versus Klinikalltag
Dennoch sieht Streichert dringenden Nachholbedarf: „Trotz aller Aktivitäten, bei der IT-Sicherheit sind wir de facto nicht super.“ Denn erschwerend kommt die BSI-KRITIS-Verordnung hinzu. Dahinter verbirgt sich die gesetzliche Auflage, nach der Betreiber Kritischer Infrastrukturen (KRITIS), ihre IT-Systeme, -Komponenten und -Prozesse durch angemessene Vorkehrungen nach dem Stand der Technik gegen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit absichern müssen – so das Bundesamt für Sicherheit in der Informationstechnik. „Um diesen Anforderungen zu genügen, sind von uns branchenspezifische Sicherheitsstandards zu erarbeiten, die dann vom BSI auf Eignung geprüft werden. Das Problem dabei: Sicherheitsstandards und Klinikalltag sind nur schwer auf einen gemeinsamen Nenner zu bringen, gerade im Bereich POCT.
Authentifizierung im Klinik-Setting
Das Beispiel: Blutgasanalyse-Gerät. Als POCT-Variante wird es im OP zur Kontrolle der Beatmung eingesetzt, um die Beatmung regelmäßig zu messen. Fakt ist, wenn ein solches Gerät ausfällt, kann das verheerende Folgen für den Patienten haben. Die BSI-Gesetze fordern auch für dieses Gerät ein aufwändiges Authentifizierungsprocedere. Schnell und praktikabel sieht anders aus. „In der Notfallsituation auf einem kleinen Touchscreen den Benutzernamen und ein 16-stelliges Passwort abzufragen? Zu langwierig, zu fehleranfällig auf Seiten des Nutzers. Der biometrische Fingerabdruck wäre eine Alternative. Das hieße aber, persönliche Daten auf den zentralen Servern zu speichern – unter DSGVO-Aspekten nicht gern gesehen. „Aktuell scannen wir die Mitarbeiter-Ausweise mithilfe eines Barcodes“, so Streichert. Für noch mehr Sicherheit müsste eigentlich eine weitere Authentifizierung her, zum Beispiel eine Passwort-Abfrage. Das Problem bei dieser Kombination: Ausweise gehen verloren oder wandern in der Kitteltasche in die Wäscherei, Passwörter werden vergessen oder sind nicht mehr gültig. Im Notfall-Setting oder auf Station bei knapper personeller Besetzung ist das Verfahren damit unbrauchbar. Die Lösung wäre eine Personalnummer mit PIN, das ist technisch gesehen aber noch Zukunftsmusik. Weitere potenzielle Sicherheitslücken stellen Fernwartungsgänge von Dienstleistern, Ports, Festplatten mit unverschlüsselten Daten oder unverschlüsselte und nicht löschbare SSD-Speicher dar.
Runder Tisch IT-Security
Je schlanker die Organisation, je einfacher die Prozesse, desto besser
Thomas Streichert
„Angesichts der Vielschichtigkeit der Problemfelder und der Notwendigkeit Anbieter- übergreifende Standards zu etablieren, haben wir uns mit den Anbietern von POCT-Systemen an einen Tisch gesetzt: „Was ist machbar? Was ist ggf. schon in der Pipeline? Wo gib es gemeinsame Nenner?“ Das Ergebnis war ein sehr konstruktives und vertrauensvolles Gespräch. Keine Selbstverständlichkeit, denn inzwischen ist die IT-Sicherheit bei Anschaffungen ein wichtiges Kriterium. Vor diesem Hintergrund bestand die berechtigte Sorge, dass das offene Gespräch angesichts der Konkurrenz-Situation auf der Strecke bleibt. Außerdem zeigte sich, dass alle Firmen um die Problematik wissen, intensiv dran arbeiten und sich zumindest Teillösungen abzeichnen. Vor allem an der schnellen Nutzerführung im Notfall ist noch zu arbeiten. Auch das ist man sich einig: Rein technische Anforderungskataloge nützen nichts, sie haben sich an der realen Situation im Klinikalltag zu orientieren und müssen sich in ein Gesamtkonzept einfügen. Streichert: „Dabei gilt, je schlanker die Organisation, je einfacher die Prozesse, desto besser.“ Eine Follow-up-Veranstaltung in gleicher Besetzung ist für das nächste Jahr geplant.
Profil:
PD Dr. Thomas Streichert ist Geschäftsführer des Zentrums für Labordiagnostik (Klinische Chemie, Mikrobiologie, Virologie, Pharmakologie, Endokrinologie) und kommissarischer Leiter des Instituts für Pharmakologie, Therapeutisches Drug Monitoring, der Uniklinik Köln. Der gebürtige Südafrikaner hat in Hamburg Medizin studiert sowie als Assistenz- und Oberarzt gearbeitet. 2013 wechselte der Facharzt für Laboratoriumsmedizin an die Uniklinik Köln. Er ist Vorsitzender des Beirats E-Learning der Uniklinik Köln und Mitglied der Deutschen Vereinten Gesellschaft für Klinische Chemie und Laboratoriumsmedizin e.V.
22.04.2020