www.ehealth-zentrum.de

Risikomanagement in IT-Netzen

Das Risikomanagement bildet ein zentrales Werkzeug, um potenzielle Fehler zu vermeiden sowie Tätigkeiten zur systematischen

  • Identifizierung
  • Analyse
  • Bewertung
  • Behandlung
  • Überwachung
  • Überprüfung

von Risiken zu koordinieren.

Auftretenden Problematiken soll möglichst zeitnah entgegengewirkt werden. In (medizinischen) IT-Netzen kann es sich hierbei z.B. um Ausfälle des Netzwerks handeln. Eine weitere Gefahrenquelle könnten Schnittstellen zwischen Geräten und Systemen darstellen.

Die Norm EN 80001-1:2011 „Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten“ kann als wichtige Leitlinie dienen und Risikofälle ordnungsgemäß aufstellen sowie dokumentieren. Dieses Regelwerk beinhaltet hierbei drei grundsätzliche Schutzziele, die im Rahmen des Risikomanagements Beachtung finden sollen. Durch die Schutzziele sollen Gefahrensituationen minimiert oder komplett isoliert werden.

Das Schutzziel „Sicherheit“ analysiert Situationen, in denen die Sicherheit von Patienten, Anwendern oder anderen Personen eingeschränkt sein kann. In diesem Fall könnte die Gefahrensituation von defekten Hard- oder Softwareprodukten ausgehen.

Die Verfügbarkeit und Vertraulichkeit von personenbezogenen Daten wird im Schutzziel „Daten- und Systemsicherheit“ vereint. Hierbei könnte es sich z.B. um Patientendaten aus einem Krankenhausinformationssystem (KIS) handeln. Durch die Manipulation oder Schäden an Datensätzen kann die Datensicherheit erheblich komprimiert werden.

Durch die Einführung und Überprüfung des Schutzziels „Effektivität“ werden Ergebnisse und Abläufe auf ihre Sinnhaftigkeit und Wirksamkeit hin kontrolliert.

Bei einem effektiven und effizienten Risikomanagement müssen Aufgaben und Verantwortungsbereiche klar strukturiert und definiert werden. Potenzielle Gefahren können, z.B. bei der Neueinführung einer Komponente ins Netzwerk, vorzeitig abgefangen werden. Eine Risikoanalyse ermöglicht die Aufstellung von Risikofällen. Hierbei kann die Eintrittswahrscheinlichkeit eines Risikos und dessen Schadensausmaß bestimmt werden.