Im Gegensatz zur Regionalen Sanitätseinrichtung der Sanitätsbasis im Inland ist ein Schiffslazarett integriert in einen Fähigkeitsträger, der weltweit zur See fährt. Im Falle von Dickschiffen, wie Fregatten, bedeutet das ein Batallionsäquivalent mit einem Fähigkeitsprofil auf dem Niveau einer Brigade. Damit unterscheiden sich der Auftrag, die Umgebende Infrastruktur und die Übertragungsstrecke für Informationen erheblich von einer Regionalen Sanitätseinrichtung in der Heimat im eigenen Gebäude mit direktem Anschluss an das durch die BWI GmbH betriebene Liegenschaftsnetzwerk einschließlich der Standleitung zum Rechenzentrum.
Mehrbesatzungsmodelle haben die regelmäßige Rotation der Besatzung samt ihren Akten innerhalb einer kurzen Übergabezeit zur Folge. Je nach operativen Rahmenbedingungen wird eine Bordfacharzt- und Bordzahnarztgruppe eingeschifft. Weitere medizinische Fachdisziplinen deckt unterwegs der Host-Nation-Support im Auslandshafen ab. In der Heimat nehmen Geschwadersanitätsbereiche an der Versorgung teil. Diese Strukturen kommen ursprünglich aus der Welt der Bootsgeschwader. Sie werden im Rahmen der Mehrbesatzungsmodelle und einem ressourcenoptimierten Versorgungsansatz bereits auch in den Fregattengeschwadern etabliert, zum Beispiel als gemeinsamer Geschwadersanitätsbereich der Klassen F125 und F126. Langfristig sind auch gemeinsame Abläufe mit den Regionalen Sanitätseinrichtungen, versorgungsebenenübergreifende Abläufe mit den Facharztzentren und Bundeswehrkrankenhäusern (BwKrhs) und weiteren zivilen Versorgungseinrichtungen zu integrieren. Mit all diesen Elementen sind die Tätigkeiten in den Schiffslazaretten verwoben.
Die Grundlage für die Realisierung der internen und auch der gemeinsamen digitalen Arbeitsabläufe sind medizinische IT-Netzwerke (MIT-Netze). Geläufig sind sie beispielsweise aus zivilen Einrichtungen und den BwKrhs. Sie verbinden zentrale oder föderierte Dienste mit den Arbeitsplatzausstattungen und den vernetzten Medizinprodukten. Medizinische Anwendungssysteme werden durch sie am Arbeitsplatz bereitgestellt. Ziel ist es, das Fachpersonal in den täglichen Abläufen auftragsangemessen elektronisch zu unterstützen. Die medizinische Dokumentation ist dabei nur ein Teil des Ganzen. Eine vorschnelle Beschränkung der Digitalisierung auf die elektronische Patientenakte wird dem Bedarf nicht gerecht. Die Arbeitsabläufe umfassen über die medizinische Dokumentation hinaus eine Vielzahl weiterer unterschiedlicher Aufgaben aus den Kategorien Organisations-, Verarbeitungs-, Entscheidungs-, Kommunikations- und Dokumentationsunterstützung wie Termin- und Ressourcenmanagement, Anordnungsmanagement und Leistungskommunikation, Durchführungsstandards, Diagnostik- und Behandlungsmanagement inklusive Entscheidungsunterstützungsfunktionen, Begutachtungsmanagement, Lagebildführung und Berichtswesen sowie Überwachung des Sanitätsmaterials (insbesondere des Handvorrats).
Für die Marine bedeutet das, solche MIT-Netze an Bord der seegehenden Einheiten im weltweiten Einsatz mit eigenen Kräften und Mitteln sowie in eigener Verantwortung autark zu betreiben. Die internen Abläufe müssen auch in Phasen ohne stehende Verbindung der Übertragungsstrecke funktionsfähig bleiben. Welche Bedingungen für einen nachweislich sicheren Betrieb zu erfüllen sind, legen das Medizinproduktegesetz, die EU-Verordnung 2017/745 sowie diesen beiden nachgeordnete Normen und Monographien, vor allem die DIN EN 80001-1 fest. Vorgeschrieben sind unter anderem ein Risikomanagement und eine Risikomanagementorganisation für die MIT-Netze im gesamten Lebenszyklus, welche eine umfassende Fachaufsicht über Personal, Ausbildung, Verfahren und Material innerhalb der für den Betrieb verantwortlichen Organisation (in diesem Fall der Marinesanitätsdienst) einschließlich der fortlaufenden Dokumentation in Risikomanagementakten bedingen.
Gesundheitsdaten unterliegen auch an Bord der ärztlichen Schweigepflicht. Deren Verletzung ist nach § 203 Strafgesetzbuch strafbewehrt. Ihre Einhaltung ist technisch und organisatorisch nach aktuellem Stand von Wissenschaft und Technik umzusetzen. Das Gleiche gilt für den Datenschutz nach der EU-Datenschutzgrundverordnung und der nationalen Gesetzgebung.
Vorschiften für die Informationssicherheit in der Bundeswehr legen allgemeine Vorgaben für den Betrieb von IT-Systemen fest, die auch für MIT-Netze gelten. Die Produkte verschiedener Hersteller unterscheiden sich zum Teil erheblich in der Anzahl und Wichtung ihrer Angriffsflächen.
In den letzten Jahren mehren sich die Schlagzeilen über Krankenhäuser, deren IT durch Schadsoftware befallen wurde. Militärische Einrichtungen sind zudem ein lohnendes Ziel für nachrichtendienstliche Aufklärung oder Sabotage. Meist besteht keine Zurechenbarkeit der Angriffe zu konkreten Personen.
Aus den oben beschriebenen Sachverhalten leiten sich für den Betrieb von IT mit vernetzten Medizinprodukten und für die Verarbeitung von Gesundheitsdaten sehr hohe Anforderungen an die Resilienz ab.
Wir kennen das von den smarten Geräten zu Hause: Die Mehrheit vernetzbarer Medizinprodukte auf dem Markt ist darauf ausgelegt, sich regelmäßig zu verschiedenen Anlässen, beispielsweise Updates, mit den Servern des Herstellers zu verbinden. Im Gegensatz zum Smart Home ist es für den Erhalt des nachweislich sicheren Betriebes von Medizinprodukten aufgrund des Medizinproduktegesetzes von kritischer Relevanz, das durch den Hersteller vorgeschriebene Update-Management zur Aktualisierung der Geräte einzuhalten. Auch der Austausch von Ersatzteilen durch den Anwender (zum Beispiel ein Ultraschallkopf mit USB-Anschluss am Tabletsonographiegerät) kann den Abgleich der Seriennummer mit der Herstellerdatenbank notwendig machen, ohne den das Produkt nicht betrieben werden darf oder es unter Umständen sogar technisch die Funktion verweigert.
In ortsfesten Gebäuden der Sanitätsbasis Inland betreibt die BWI GmbH die IT-Infrastruktur. Das Liegenschaftsnetzwerk ermöglicht über das Weitverkehrsnetzwerk der Bundeswehr (WANBw) und den dauerhaften Anschluss an die Herstellerdienste im Internet.
Auf seegehenden Einheiten tritt an die Stelle des Liegenschaftsnetzwerks das durch die Marine betriebene Bordnetzwerk. Wie alle Anlagen arrangiert es sich auch mit den eingeschränkten Infrastrukturbedingungen an Bord. Es besteht keine durchgehende Verbindung zum WANBw oder zum Internet. Je nach operativer Lage und Empfangssituation auf See stehen phasenweise unter anderem Satellitenkommunikation oder im Auslandshafen ein Land- beziehungsweise ein Mobilfunkanschluss zur Verfügung. Die jeweilige Übertragungsstrecke verbindet die Einheit mit dem Fleet-Entry-Point in Glücksburg, der als maritimes Gegenstück zu den Einsatzknoten der Landoperationen die seegehenden Einheiten über das WANBw mit dem Rest der Welt verbindet.
In diesem Zusammenhang sei der Begriff Resilienz als umfassende Widerstandsfähigkeit medizinischer IT-Systeme zur Sicherstellung aller zutreffenden Schutzziele definiert. Das schließt die jeweiligen Schutzziele aus der Informationssicherheit, dem Datenschutz, der ärztlichen Schweigepflicht, der Patientensicherheit, der Medizinproduktesicherheit und dem medizinischen Qualitätsmanagement ein. Die Resilienz technischer Systeme hat zwei grundlegende Voraussetzungen: „Security by Design“ und „Security by Default“.
Ersteres bedeutet, beginnend mit der Konzeption und Entwicklung bei der Auswahl der Komponenten und in der Konstruktion, Härtungskriterien anzulegen. Security by Default sagt aus, dass der Standardzustand von Systemen und deren Komponenten stets auf die Sicherheit ausgelegt ist und Änderungen nur unter zuvor definierten und risikobewerteten Bedingungen zulässig sind. Für den Spezialfall des Datenschutzes lassen sich diese Gegebenheiten als Privacy by Design und Privacy by Default sinngemäß übertragen.
Ein Beispiel für derartige Kriterien ist im Falle der Verschlüsselung die Kerckhoffs Maxime. Sie besagt, dass die Sicherheit eines (symmetrischen) Verschlüsselungsverfahrens auf der Geheimhaltung des Schlüssels anstatt des Verschlüsselungsalgorithmus beruht. Auf diese Weise ist es unerheblich, ob Details des Verschlüsselungsverfahrens allgemein bekannt sind, solange der einzelne Schlüssel sicher verwahrt ist. Dem steht als risikobehafteter Ansatz das Vorgehen nach „Security by Obscurity“ (Sicherheit durch Unklarheit) gegenüber.
Die Härtung beginnt mit der Technologiebasis und setzt sich dann über mehrere Abstraktionsebenen bis auf die Stufe der benutzernahen Anwendungssysteme fort. Beispielhaft seien ein paar wesentliche Aspekte der Entscheidungsgrundlagen für die Konzeption und Technologieauswahl der MIT-Netze erwähnt: Der beengte Raum und die Anforderung „Hochverfügbarkeit“ bedingen Ansätze für den Rechenzentrumsanteil des Netzwerks, der Hard- und Software für Rechenleistung und Datenhaltung auf marktverfügbarer Standardhardware bündelt. Die Hochverfügbarkeit wird durch eine für die Ausfallsicherheit hinreichende Anzahl gleichartiger Hardwaremodule und ergänzender Infrastrukturvorkehrungen erreicht. Die notwendige Flexibilität und Zukunftssicherheit in der Ausgestaltung der Funktionalität bei gleichzeitiger Standardisierung und trotz aller Kompaktheit realisiert die Programmierung der Netzwerk- und Rechenzentrumseigenschaften. Diese Art des Netzwerk- beziehungsweise Rechenzentrumsaufbaus wird „Infrastructure as Code“ genannt. Der Bauplan dafür ist textbasiert und ist in dieser Form für Fachpersonal lesbar. Er unterliegt einer Versionierung für die volle Kontrolle über Änderungen einschließlich deren feingliedriger Rücknahme im Bedarfsfall. Eine automatisierte Konfigurations- und Verteilungsverwaltung setzt die Anweisungen für die betroffenen Komponenten um. Damit ist sichergestellt, dass ohne fehleranfälliges manuelles Eingreifen die definierten Regeln auf allen Zielkomponenten in der jeweils vorgesehenen Art und Weise angewendet werden. Außerdem wird damit die Umsetzung von Sicherheitsvorgaben und deren Kontrolle erheblich vereinfacht. Ein hoher Automatisierungsgrad des IT-Betriebes ist vor dem Hintergrund begrenzter Fachpersonalressourcen von erheblicher Relevanz.
Bevor konkrete Ansätze für die technische Konzeption und davon abgeleitete Anforderungen an die Realisierung erarbeitet werden können, braucht es eine Bewertung, welche zur Verfügung stehenden Designprinzipien und Technologien für den spezifischen Bedarf geeignet sind. Mit theoretischen Betrachtungen sind nur begrenzte Ergebnisse zu erreichen. Infolge der Technologierecherche hat das in Aufstellung befindliche Dezernat Medizinische Informatik im Marinekommando entschieden, einen Ausschnitt der Hard- und Softwareplattform kurzfristig als Proof-of-Concept selbst zu implementieren. Noch stehen keine Haushaltsmittel im Rahmen einer Forschungs- und Technologiestudie oder eines Rüstungsprojektes für Erprobungen zur Verfügung.
Ersatzweise wurde daher zum einen auf Hardware aus Regenerationsbeständen anderer Rüstungsprojekte und zum anderen auf die frei verfügbare – technisch nahezu vollständig zur Kauflösung identische – Version des unternehmenstauglichen Rechenzentrumsbetriebssystems eines namhaften Herstellers auf Open-Source-Basis ausgewichen. Die Einschränkungen durch zu wenig Hardware sowie durch den fehlenden Hersteller-Support-Vertrag für die Softwaretechnologie wurden durch die Anstrengung und die Kreativität des eigenen Fachpersonals so weit wie möglich ausgeglichen. Wir wissen nun, dass sich diese Technologiebasis in einem Proof-of-Concept funktionsfähig implementieren und betreiben lässt. Es lohnt sich also, diesen Ansatz weiter zu verfolgen.
Die geschilderte Vorgehensweise der Technologieerprobung taugt nur als Notlösung. Für die Anforderungsentwicklung und die anschließende Zertifizierung des gesetzeskonformen Betriebs im gesamten Produktlebenszyklus einschließlich der Obsoleszenzbeseitigung bedarf es einer nachhaltig finanzierten Ausstattung. Die Anforderungen an dieses Projekt befinden sich auf Basis der gewonnenen Erkenntnisse bereits in der Erstellung. Ziel ist es, neben der Technologieerprobung die Test- und Referenzanlagen der MIT-Netze aus den Schiffs- und Bootsklassen oder zu integrierende Komponenten aus anderen Rüstungsprojekten zur Reife für den integrierten Produktivbetrieb zu führen.
Von der Konzeption über den Anforderungskatalog, die Technologieerprobung und die Realisierungsbegleitung bis hin zur Integration der Lösung in die Einheiten der Flotte sind einige Stationen im Rüstungsprozess zu durchlaufen. Den Anschub für neu zu entwickelnde autarke Dienste der Flotte, so genannte Community of Interest Services der Maritimen Medizin, bildet zunächst das Teilprojekt Harmonisiertes Führungs- und Informationssystem seegehend mit F126. Die Lösung für das Schiffslazarett F126 und den zugehörigen Geschwadersanitätsbereich wird von Beginn an mit der Zielsetzung entworfen, in Abwandlungen auch auf den anderen neuen Schiffs- und Bootsklassen (zum Beispiel F127, FDB424 und BVS707) sowie in deren Geschwadersanitätsbereichen eingesetzt zu werden.
Die Nachrüstung bereits im Bestand befindlicher Klassen soll im Rahmen des Projekts German Mission Network 4 erfolgen. Der Service MIT-Netz ist so ausgelegt, dass seine Komponenten zielgerichtet skalierbar sind, je nach Größe und Auftrag der verschiedenen Arten von Marinesanitätseinrichtungen und deren Fähigkeitsträgern.
In der Informatik gibt es das Paradigma „divide et impera“ in Bezug auf die Effizienz von Algorithmen. Es besagt, dass eine komplexe Aufgabenstellung so lange in einzelne Teilaufgaben zerlegt wird, bis diese beherrschbar wird. Anschließend werden die Teillösungen zu einer Gesamtlösung integriert. Nach diesem Prinzip stellt sich der Marinesanitätsdienst der Digitalisierung der Gesundheitsversorgung. Die ersten Schritte werden mit der Befähigung der Marinesanitätseinrichtungen zum internen digitalen Arbeiten gemacht. Schrittweise wird diese durch Integration mit weiteren Lösungen des Sanitätsdienstes der Bundeswehr ausgebaut, bis schließlich eine möglichst durchgehende und umfassende Digitalisierung erreicht ist. Ein Beispiel dafür ist die Integration des in Entwicklung befindlichen Institutsinformationssystem für den Schwerpunkt Begutachtung des Schifffahrtmedizinischen Instituts der Marine mit dem geplanten Health-Information-Management-System als Zusammenschluss der Einrichtungen des Sanitätsdienstes.
Eine besondere Herausforderung wird die Einbindung der aus dem zivilen E-Health-Gesetz für die Bundeswehr zu übernehmenden Angebote wie etwa die elektronische Patientenakte (nicht zu verwechseln mit der elektronischen G-Akte) oder das elektronische Rezept zur Einlösung in der zivilen Apotheke.
Wehrmedizin und Wehrpharmazie 2/2021
Verfasser:
Flottillenarzt M. M. Ring
Marinekommando
Kopernikusstraße 1, 18057 Rostock
E-Mail: MarkusMatthiasRing@bundeswehr.org
