Krankenhaus-IT ist ein essenzieller Bestandteil der Patientenversorgung. Viele Klinikbetreiber stellen sich die Frage: „Welche Versorgungsleistung kann ich im Ernstfall aufrechterhalten?“ Am Universitätsklinikum Ulm hat man sich diese Frage gestellt und eine Simulation durchgeführt.
Die im Fachjournal Die Anaesthesiologie veröffentlichte Studie von Pfenninger et al. (2023) beschreibt eine Stabsrahmenübung, welche die ersten 72 Stunden eines vollständigen IT-Ausfalls simulierte. Ziel war es, die Verwundbarkeit der Klinik gegenüber einem Hackerangriff zu testen, die Wirksamkeit der Notfallpläne zu ermitteln und daraus Schlüsse für die reale Notfallorganisation zu ziehen.
Bedingungen und Aufbau der Simulation
Im Vorfeld der Studie wurden zunächst alle IT-abhängigen Prozesse im Klinikum identifiziert. Ziel dieser achtmonatigen Vorbereitungsphase war es Notfallkonzepte zu etablieren, die im Nachgang überprüft werden sollten. Als besonders betroffen stellten sich die Radiologie, Klinische Chemie, Apotheke, Blutbank, Notaufnahme, OP-Bereiche, Intensivstationen und Transportprozesse heraus. Für diese Bereiche wurden papierbasierte Ersatzverfahren und spezifische Notfallpläne entwickelt, um die Leistungserbringung sicherzustellen. Das heißt konkret: Aufnahme, Diagnostik, Medikation und Behandlung / Pflege können auch ohne digitale Systeme weiterlaufen.
Am 17. Mai 2022 begann die Übung um 14:00 Uhr mit einem simulierten Ransomware-Angriff, der alle IT- und Kommunikationssysteme lahmlegte. Betroffen waren in diesem Szenario die elektronische Patientenakte, Labor- und Radiologiesysteme (LIS, RIS, PACS), OP-Planung, Telekommunikation und Logistik. Als funktionsfähig wurden 170 Notfalltelefone, betrieben über ein externes Netz angenommen. Da dieser Notfallkommunikationskanal nicht für das gesamte Krankenhaus ausreicht, wurde parallel die digitale Kommunikation auf handbetriebene „Läuferdienste“ umgestellt, um Befunde und Anweisungen papierbasiert zwischen Abteilungen zu transportieren. Ein definierter „Rundlauf“ regelte den physischen Transport von Formularen, Laborproben und Befunden zwischen Stationen und Laboren. Die klinikeigene Pflegeschule unterstützte als Schreibdienst.
Auf der Stabsebene nahm die Klinikeinsatzleitung (KEL) um 14:13 Uhr ihre Arbeit auf. Innerhalb weniger Minuten erfolgten die Information der Belegschaft, die Aktivierung externer Hotlines für Patienten, Presse und Dienstleister sowie die Abmeldung der Klinik bei der Rettungsleitstelle. Der OP-Betrieb wurde auf Notfallversorgung umgestellt, das Speiseangebot auf ein vereinheitlichtes „Einheitsessen“ reduziert und Laboranforderungen manuell abgewickelt. Eine cloudbasierte Videokonferenz zum Abschluss der Übung scheiterte.
Die eigentliche Übung dauerte drei reale Stunden, simulierte jedoch 72 Stunden Krisenbetrieb. Vier zentrale Dienstleister – Radiologie, Klinische Chemie, Apotheke und Rechenzentrum – probten realitätsnah den Totalausfall, während andere Einheiten Meldungen in die KEL einspielten. Die Übung wurde von Beobachtern begleitet und anschließend systematisch ausgewertet.
Ergebnisse der Übung
Vor der Simulation verfügten nur 1,7 Prozent der Klinikbereiche über schriftliche IT-Notfallpläne. Nach Abschluss lagen in 86,7 Prozent aller Abteilungen ausgearbeitete Konzepte vor. Diese reichten von gedruckten Formularen für Laboranforderungen und radiologische Befunde bis zu papierbasierten OP-Dokumentationen und manuellen Bestelllisten für die Apotheke.
Auch die Versorgungsketten wurden überprüft: Sterilisationsabläufe, Medikamentenversorgung und Gebäudeleittechnik mussten im Notbetrieb funktionieren. Besonders robust zeigte sich die Blutbank, die bereits papierbasiert arbeitete; das Rechenzentrum hingegen fiel vollständig aus. Trotz akribischer Vorbereitung konnte eine reguläre Versorgungsleistung nicht aufrechterhalten werden. Das Krankenhaus wechselte in den Notfallbetrieb, die Notaufnahme wurde geschlossen und die Versorgungsleistung viel auf ein Viertel bis ein Drittel der Normalleistung ab. Diese Zahlen verdeutlichen vor welchen Herausforderungen Kliniken stehen, wenn ihre IT-Infrastruktur angegriffen wird. Das spiegelte sich auch in der Befragung der Teilnehmer wider:
85 Prozent der Teilnehmenden hielten die Simulation für sinnvoll, aber nur 34 Prozent sahen sich ausreichend vorbereitet. Die Autoren folgern, dass die eigentliche Stärkung der Resilienz in der Planungsphase liegt – dort, wo Rückfallebenen und Workarounds konkret ausgearbeitet werden.
Fazit
Die Vorliegen-Studie zeigt eindrücklich: Um einem Ausfall oder Angriff auf die Klinik IT zu begegnen ist es entscheidend klare Notfallpläne zu erstellen, redundante Kommunikationswege vorzuhalten und den Ernstfall regelmäßig zu üben. Der Aufwand ist erheblich, doch nur wer seine Notfallpläne auf den Prüfstand stellt, kann in realen Krise handlungsfähig bleiben.
Andere Kliniken sollten dem Beispiel des Universitätsklinikums Ulm folgen und ihre Erfahrungen offen teilen. So können sie voneinander lernen, gemeinsame Schwachstellen erkennen und gemeinsam Lösungen entwickeln, um die Resilienz des gesamten Gesundheitssystems nachhaltig zu stärken.