Eigenschaften medizinischer Netze

Problematik

In vielen Krankenhäusern kommunizieren IT-Systeme und Medizinprodukte über gemeinsame Datenverbindungen.
Der Grund für die gemeinsame Kommunikation ist oft ein fehlendes Bewusstsein für die zu erwartenden Probleme.

Die daran beteiligten Disziplinen – Medizintechnik und Informationstechnologie – können sich beide bei der notwendigen gemeinsamen Betrachtung der Betriebssicherheit auf Attribute wie Stabilität und Robustheit einigen, aber nicht darauf, auf welche Bestandteile eines Systems diese anzuwenden ist.

Besondereheit von Medizinprodukten
Bei Medizinprodukten stehen die Stabilität und die Unversehrtheit des Patienten innerhalb der Patientenumgebung im Vordergrund. Dies wird weitestgehend durch Anwendung statischer Risikokontrollmechanismen auf die technischen Teile des Medizinprodukts garantiert.

Die IT-Komponente eines Medizinprodukts ist bei dieser Sichtweise ebenfalls eine statische Komponente, welche zu einem definierten Zeitpunkt perfekt funktioniert hat.

Closed World

Dieses „closed world“-Szenario wird dadurch zerbrochen, dass die IT-Komponente sich in einem Datennetz befindet, welches einer Dynamik unterworfen ist. Die Sicherheit und Stabilität kann hier oft nur durch ständige Softwareaktualisierungen des Betriebssystemherstellers und durch den Einsatz von Zusatzprodukten (vgl. Virenschutz, Firewall) erreicht werden. Somit offenbart die Zusammenarbeit neben zahlreichen Gemeinsamkeiten in den angewandten Methoden und Werkzeugen auch grundlegende Unterschiede in der Auffassung von Grundkonzepten zur Erlangung eines fehlerfreien Systems und der Anwendung von Strategien zur Gefahrenminimierung. Die Zusammenarbeit erfordert daher zunächst ein gemeinsames Verständnis grundlegender Begrifflichkeiten sowie eines Managementansatzes der den Anforderungen der beiden Fachrichtungen Rechnung trägt. Ziel dieser Arbeit ist es daher, wichtige Begriffe zu definieren und weiteren Untersuchungen den Weg zu ebnen.

 

Begriff der Sicherheit

Die klassische Definition des Begriffs IT-Sicherheit: „Sicherheit“ wird in Ingenieurdisziplinen als die „Abwesenheit unvertretbarer Risiken beschrieben“ und bezieht sich auf Gefahren für den Patienten und den Bediener des medizintechnischen Systems. Auf die Aspekte der IT-Kommunikation in heterogenen Umgebungen wird nicht eingegangen. Das ist ungenügend für eine IT-Welt, in der durch offene Kommunikationssysteme die Vorhersehbarkeit von Ereignissen nicht immer komplett beschreibbar ist. Es wird daher der Begriff der Informationssicherheit medizinischer Geräte und IT-Anwendungen wie folgt definiert: „Abwesenheit von Gefahren verursacht durch Datenaustausch und Datenverarbeitung“. Dieser auf den ersten Blick sehr harte Begriff erlaubt dennoch dem Ingenieur die Implementierung des Systems, wenn adäquate Schutzmaßnahmen durchgeführt werden. Diese können sich in einem der beteiligten Systeme selbst, aber auch im Datennetzwerk befinden.

 

Begriff des Netzwerks

Der Begriff des Netzwerks konnte für die gemeinsamen Aktivitäten nicht herangezogen werden, da die topologische Ausdehnung im konkreten Fall zu ungenau ist. Dem Ingenieur gelingt es so nicht, eine Risikobetrachtung durchzuführen (deswegen wird u.a. auch an der ISO 80001 gearbeitet!), da die Anzahl der interagierenden Komponenten nicht überschaubar ist. Daher wird an dieser Stelle der Begriff der „Risikodomäne“ eingeführt, welcher den Begriff Netzwerk ersetzt. Definition: „Eine Risikodomäne beschreibt die Gesamtheit aller medizinischen und informationstechnischen Systeme welche mittels einer logischen oder physischen Datenverbindung gekoppelt sind“. Die Risikodomäne ist untergliedert auf mehrere Stufen innerer und äußerer Risikodomänen:

 

Abbildung 1 - Risikodomänen als Ersatz für den herkömmlichen Netzwerkbegriff

 

Der neue Begriff erlaubt die Betrachtung und Beschreibung des Risikos unter Verwendung einer algorithmischen Vorgehensweise und erweist sich dahingehend als zielführend, da er topologisch terminiert und dem Ingenieur die Risikobeschreibung für seine geschlossene Welt erst ermöglicht.

 

Abbildung 2 zeigt die Beziehungen zwischen den unterschiedlichen inneren und äußeren Risikodomänen auf:

 

Abbildung - Zusammenhang der Risikodomänen

 

Begriff der Dienstgüte:

In der Regel benötigen medizinische Systeme nicht die gleichen Anforderungen an ein Datennetzwerk, wie sie aus der IT beispielsweise für Videoübertragungen über ein Datennetzwerk gefordert werden. Ein qualitativer Vergleich zeigt, dass bei medizinischen Systemen ohne Beschränkung der Allgemeinheit, Latenz und Paketverlustrate von Interesse sind, während weitere Anforderungen wie die Verzögerungsveränderung (Jitter) und der Durchsatz zweitrangige Anforderungen darstellen. In einen zu definierenden Dienstgütebegriff müssen aber weitere Anforderungen eingebaut werden, welche die Sicherheit und Vorhersehbarkeit der Kommunikation behandeln. Hier nun der Versuch einer ersten Definition: „Die Dienstgüte medizinischer Geräte und IT-Anwendungen in Datennetzen beinhaltet die rechtzeitige, sichere und garantierte Datenkommunikation sowie die Vorhersehbarkeit des Verhaltens des Netzwerks im Anwendungsbereich des betroffenen Systems“.

 

Fazit 

Auch wenn die hier vorgestellten Definitionen zunächst nur in einem sehr begrenzten Umfang eingesetzt und verwendet wurden, haben sie doch bereits gezeigt, dass es auf dieser Basis eine konstruktive Kommunikation zwischen den Ingenieuren der Medizintechnik als auch den Informatikern, welche für die medizinische Informationsverarbeitung verantwortlich sind, ermöglicht wird. Konkret ging es darum, die Risiken einzuschätzen, mit welchen zu rechnen ist, wenn Medizinprodukte in medizinische Versorgungsnetzwerke integriert werden. Für die Zukunft wird es wichtig bleiben, die Begriffe im gemeinsamen Diskurs zwischen Medizininformatikern und Ingenieuren kritisch weiterzuentwickeln, da nur beide Seiten gemeinsam die neuen Herausforderungen des IT-Risikomanagement lösen können.