Eigenschaften medizinischer Netze
Problematik
In vielen Krankenhäusern kommunizieren IT-Systeme und Medizinprodukte über gemeinsame Datenverbindungen.Die IT-Komponente eines Medizinprodukts ist bei dieser Sichtweise ebenfalls eine statische Komponente, welche zu einem definierten Zeitpunkt perfekt funktioniert hat.
Closed World
Dieses „closed world“-Szenario wird dadurch zerbrochen, dass die IT-Komponente sich in einem Datennetz befindet, welches einer Dynamik unterworfen ist. Die Sicherheit und Stabilität kann hier oft nur durch ständige Softwareaktualisierungen des Betriebssystemherstellers und durch den Einsatz von Zusatzprodukten (vgl. Virenschutz, Firewall) erreicht werden. Somit offenbart die Zusammenarbeit neben zahlreichen Gemeinsamkeiten in den angewandten Methoden und Werkzeugen auch grundlegende Unterschiede in der Auffassung von Grundkonzepten zur Erlangung eines fehlerfreien Systems und der Anwendung von Strategien zur Gefahrenminimierung. Die Zusammenarbeit erfordert daher zunächst ein gemeinsames Verständnis grundlegender Begrifflichkeiten sowie eines Managementansatzes der den Anforderungen der beiden Fachrichtungen Rechnung trägt. Ziel dieser Arbeit ist es daher, wichtige Begriffe zu definieren und weiteren Untersuchungen den Weg zu ebnen.
Begriff der
Sicherheit
Die klassische Definition des Begriffs IT-Sicherheit: „Sicherheit“ wird in Ingenieurdisziplinen als die „Abwesenheit unvertretbarer Risiken beschrieben“ und bezieht sich auf Gefahren für den Patienten und den Bediener des medizintechnischen Systems. Auf die Aspekte der IT-Kommunikation in heterogenen Umgebungen wird nicht eingegangen. Das ist ungenügend für eine IT-Welt, in der durch offene Kommunikationssysteme die Vorhersehbarkeit von Ereignissen nicht immer komplett beschreibbar ist. Es wird daher der Begriff der Informationssicherheit medizinischer Geräte und IT-Anwendungen wie folgt definiert: „Abwesenheit von Gefahren verursacht durch Datenaustausch und Datenverarbeitung“. Dieser auf den ersten Blick sehr harte Begriff erlaubt dennoch dem Ingenieur die Implementierung des Systems, wenn adäquate Schutzmaßnahmen durchgeführt werden. Diese können sich in einem der beteiligten Systeme selbst, aber auch im Datennetzwerk befinden.
Begriff des Netzwerks
Der Begriff des Netzwerks konnte für die gemeinsamen Aktivitäten nicht herangezogen werden, da die topologische Ausdehnung im konkreten Fall zu ungenau ist. Dem Ingenieur gelingt es so nicht, eine Risikobetrachtung durchzuführen (deswegen wird u.a. auch an der ISO 80001 gearbeitet!), da die Anzahl der interagierenden Komponenten nicht überschaubar ist. Daher wird an dieser Stelle der Begriff der „Risikodomäne“ eingeführt, welcher den Begriff Netzwerk ersetzt. Definition: „Eine Risikodomäne beschreibt die Gesamtheit aller medizinischen und informationstechnischen Systeme welche mittels einer logischen oder physischen Datenverbindung gekoppelt sind“. Die Risikodomäne ist untergliedert auf mehrere Stufen innerer und äußerer Risikodomänen:
Abbildung
1
- Risikodomänen als Ersatz für den herkömmlichen Netzwerkbegriff
Der neue Begriff erlaubt die Betrachtung und Beschreibung des Risikos unter Verwendung einer algorithmischen Vorgehensweise und erweist sich dahingehend als zielführend, da er topologisch terminiert und dem Ingenieur die Risikobeschreibung für seine geschlossene Welt erst ermöglicht.
Abbildung 2 zeigt die Beziehungen zwischen den unterschiedlichen inneren und äußeren Risikodomänen auf:
Abbildung
- Zusammenhang der Risikodomänen
Begriff der
Dienstgüte:
In der Regel benötigen medizinische Systeme nicht die gleichen Anforderungen an ein Datennetzwerk, wie sie aus der IT beispielsweise für Videoübertragungen über ein Datennetzwerk gefordert werden. Ein qualitativer Vergleich zeigt, dass bei medizinischen Systemen ohne Beschränkung der Allgemeinheit, Latenz und Paketverlustrate von Interesse sind, während weitere Anforderungen wie die Verzögerungsveränderung (Jitter) und der Durchsatz zweitrangige Anforderungen darstellen. In einen zu definierenden Dienstgütebegriff müssen aber weitere Anforderungen eingebaut werden, welche die Sicherheit und Vorhersehbarkeit der Kommunikation behandeln. Hier nun der Versuch einer ersten Definition: „Die Dienstgüte medizinischer Geräte und IT-Anwendungen in Datennetzen beinhaltet die rechtzeitige, sichere und garantierte Datenkommunikation sowie die Vorhersehbarkeit des Verhaltens des Netzwerks im Anwendungsbereich des betroffenen Systems“.
Fazit
Auch wenn die hier vorgestellten Definitionen zunächst nur in einem sehr begrenzten Umfang eingesetzt und verwendet wurden, haben sie doch bereits gezeigt, dass es auf dieser Basis eine konstruktive Kommunikation zwischen den Ingenieuren der Medizintechnik als auch den Informatikern, welche für die medizinische Informationsverarbeitung verantwortlich sind, ermöglicht wird. Konkret ging es darum, die Risiken einzuschätzen, mit welchen zu rechnen ist, wenn Medizinprodukte in medizinische Versorgungsnetzwerke integriert werden. Für die Zukunft wird es wichtig bleiben, die Begriffe im gemeinsamen Diskurs zwischen Medizininformatikern und Ingenieuren kritisch weiterzuentwickeln, da nur beide Seiten gemeinsam die neuen Herausforderungen des IT-Risikomanagement lösen können.