Auf dem Weg zur Digitalisierung.
Zwischen Cybersecurity und herstellerübergreifenden Lösungen.
ChatGPT, Künstliche Intelligenz, Telemedizinische Dienste und Digitalisierung sind auch in der Medizin von zunehmendem Interesse. Das Anwendungsspektrum umfasst therapieunterstützende Beratungssysteme mittels Maschinenlernen, neue wissenschaftliche Ansätze, große Sammlungen von Patientendaten im Klinikalltag sowie telemedizinische Vernetzung von Kliniken bei Problemfällen.
Die Interoperabilität und Vernetzung von Medizinprodukten unterschiedlichster Hersteller scheitert auch heute noch oft an uneinheitlichen Protokollen, Problemen bei der Vernetzung und Risiken in Zusammenhang mit der Cybersecurity. Ein erster Lösungsansatz zeigt hier die Vernetzung von Medizinprodukten auf Basis der ISO-Norm bzw. IEEE 11073 SDC. Auch wenn viele sicherheitsrelevante Details in der aktuellen Version der SDCNorm noch nicht festgelegt wurden, gibt die erste Version einen Ausblick in die Zukunft der Digitalisierung.
Status quo: Daten-Inseln in einem Meer an Aufgaben.
Die Patientenversorgung auf modernen Intensivstationen stellt hohe Anforderungen an Ärztinnen und Ärzte, spezialisierte Pflegekräfte sowie Atmungs-Therapeutinnen und -therapeuten: Oft kommt es zu zeitkritischen Situationen, bei denen schnell gehandelt werden muss, um das Leben von Patientinnen und Patienten zu retten oder Komplikationen abzuwenden. Zeitgleich müssen aber auch viele Routineaufgaben durchgeführt werden, die für die Patientengesundheit genauso unerlässlich sind, beispielsweise der Austausch von Medikamenten in Dauerspritzenpumpen oder die regelmäßige Bestimmung der Blutgasanalysen. In der Theorie gibt es für diese Tätigkeiten Arbeitsanweisungen und Prozesse, um sicherzustellen, dass auch in stressigen Situationen alle notwendigen Daten rechtzeitig an die richtige Stelle kommen. Doch leider ist gerade der manuelle Transfer von Daten von einem System zum nächsten eine unberechenbare Fehlerquelle. Gerade in Stresssituationen werden Ergebnisse fehlerhaft abgeschrieben, eine Medikamentendosierung falsch eingegeben oder ein Zettel mit Werten wird im Labor vergessen. Personalmangel im Gesundheitswesen und mit steigendem Wissen in der Medizin auch eine stetig steigende Anzahl an überwachten Vitaldaten steigern die Belastung im Klinikalltag.
Schätzungen gehen alleine für die USA von 50.000 vermeidbaren Todesfällen pro Jahr aufgrund solch mangelndem Datentransfer aus. Um die Fehlerquelle Datentransfer auszuschließen und die Belastung des Personals zu senken, kann man Medizingeräte und Sensoren miteinander verbinden, um sicherzustellen, dass die Werte direkt am Gerät vorliegen, wenn sie gebraucht werden. Die elisa-Intensivbeatmungsgeräte bieten hierzu die optimalen Voraussetzungen: Die Daten der verschiedenen verbundenen Sensoren können auf der elisa angezeigt werden und zur Verbesserung der Patientenversorgung verwendet werden (z. B. Narkosegas-Messung mit LEOLYZER, die Ventilator-integrierte Impedanztomographie mit VIT-Modul, die EEG-basierte Überwachung der Sedierungstiefe mittels LEOBRAIN oder das Metabolismus- Monitoring mit dem neuen ZISLIN metabolic module). Doch die Welt der digitalen Datenquellen in der Klinik ist größer. Vitaldatenmonitore überwachen Patientinnen und Patienten, Perfusoren melden ihren Füllstand, HF-Chirurgie- Instrumente melden ihre Einstellungen, Endoskope übertragen Bilder. Und große Datenverbraucher wie Patientendatenmanagementsysteme (PDMS), Klinikinformationssysteme (KIS) oder Bildarchive (PACS) nehmen diese Daten auf und schaffen einen vernetzten Kosmos an Systemen in der Klinik.
Der Versuch, Brücken zu bauen zwischen den Daten-Inseln.
Bisherige Praxis sind bilaterale Absprachen zwischen den einzelnen Herstellern als Grundlage zur besseren Vernetzung. Im Rahmen dieser Absprachen findet oft eine Verständigung auf eine Form von proprietärem Protokoll zwischen einzelnen Geräten der Hersteller statt. Löwenstein bietet hierzu bei der elisa z. B. an, Daten entweder im eigenen Protokoll, dem sogenannten Salvia-Protokoll, oder auch nach dem Philips-Protokoll auszugeben. Die auf den ersten Blick bequeme Lösung einer kurzen Absprache mit einem anderen Hersteller und die anschließende Implementierung eines kleinen, maßgeschneiderten Protokolls schafft allerdings auf lange Sicht für die Hersteller der Medizingeräte Probleme. Jedes Protokoll will als Software gepflegt werden und bindet somit langfristig Personalressourcen in der Entwicklung. Und auch bei größter Sorgfalt in der Implementierung kommt es oft zu systematischen Problemen, sobald mehr als zwei Hersteller an diesem Austausch beteiligt sind. Schnell entstehen so trotz großem Aufwand in der Entwicklung wieder Lücken in der Vernetzung. Und die proprietäre Natur der Vernetzung zwischen Herstellern führt dazu, dass Kliniken auf sogenannte Vendor-Lock-Ins achten müssen. Die Wahl eines neuen PDMS-Systems wird dann beeinflusst durch die mögliche Auswahl an Beatmungsgeräten und anderen Medizingeräten, die mit dem jeweiligen PDMS kompatibel sind.
Nicht alle Lösungen sind passend, da sie potenziell zu Problemen mit der Cybersicherheit führen können.
Um diesen Vendor-Lock-In zu umgehen, bieten sich bei dieser ersten Betrachtung entweder weitere proprietäre Protokolle an, um die Lücke zu beheben, oder man könnte auf das bereits im Markt etablierte Protokoll HL7 zurückgreifen wollen. Leider sind diese beiden Lösungen aufgrund von Problemen bei der Cybersecurity nicht geeignet, um mit gutem Gewissen lebenserhaltende Medizinprodukte zu vernetzen.
Weitere proprietäre Protokolle sind keine Lösung, da nicht nur für die Hersteller und Kliniken die Aufwände steigen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht in der Vielzahl an Protokollen große Probleme. Im Rahmen der 2020 vom BSI durchgeführten ManiMed- Studie zur Cybersecurity von Medizingeräten wurde die Vielzahl an proprietären, selbst entwickelten Protokollen mit der damit einhergehenden Menge an Schwachstellen als eins der Kernprobleme der Cybersecurity von Medizinprodukten identifiziert. Das BSI hat daher die klare Empfehlung zu einer Vereinheitlichung und Standardisierung von Protokollen ausgesprochen.
Als Alternative scheint sich HL7 zu diesem Zweck gut anzubieten. Doch bei genauerer Betrachtung fällt auf, dass HL7, dessen Vorläufer bereits in den 1970er-Jahren entwickelt wurden und das 1987 erstmalig veröffentlicht wurde, den hohen Sicherheitsanforderungen der heutigen Zeit nicht gewachsen ist. Dies wird von entsprechenden Sicherheitsforschern auch kritisiert und es wurde mit teils drastischen Aussagen darauf hingewiesen, dass diese Sicherheitslücken in der Verschlüsselung potenziell sogar Patientinnen und Patienten töten können.
Die Golden Gate Bridge: SDC, ein Gemeinschaftsprojekt.
Es muss also ein neuer Standard für ein Kommunikationsprotokoll in der Medizintechnik definiert werden. SDC, was für „Service-oriented Device Connectivity“ steht, scheint die Lösung zu sein: 2005 wurden im Rahmen von Forschungsprojekten die Möglichkeiten zur Interoperabilität einzelner Geräte untersucht. 2012 wurden diese Aktivitäten im OR.Net-Projekt gebündelt, 2016 entstand daraus der Verein OR.Net e.V., in dem Universitäten und Medizintechnikhersteller mit vertreten sind. Ziel des Vereins ist die Ausdefinition der IEEE 11073 Normenfamilie, mit welcher der SDC-Standard als herstellerübergreifendes, neues Kommunikationsprotokoll für Medizinprodukte beschrieben wird. Mittlerweile hat SDC eine ausreichende technische Reife, um damit Vernetzungslösungen für Medizinprodukte entwickeln zu können. Aktuell laufen daher bei verschiedenen deutschen Herstellern Aktivitäten, SDC-Protokolle in die Medizinprodukte zu integrieren.
Im Zusammenspiel zwischen so vielen verschiedenen Firmen mit so diversen Geräten entsteht natürlich auch ein großer Abstimmungsbedarf, da im Protokoll die unterschiedlichsten Gerätefunktionen unterstützt werden müssen. Dazu finden im Rahmen des OR.Net e.V. Austauschgespräche statt und Entwickler der Hersteller treffen sich in regelmäßigen Abständen in verschiedenen Zusammensetzungen. Die Grundlagen des Protokolls sind geklärt und aktuell wird an der Definition des Alarm-Systems gearbeitet. In praktischen Prototyp-Aufbauten findet nun zeitgleich ein erster Abgleich zwischen Systemvorschlägen aus der Forschung, Industrielösungen und den Praxisanforderungen der Kliniken statt.
Dabei zeigen sich unterschiedliche Sichtweisen auf Klinik- IT-Abläufe wie z. B. bei der Einbindung neuer Geräte in die IT-Landschaft oder bei der Diskussion zum Bandbreiten- Bedarf des SDC-Protokolls, sodass auch in den kommenden Jahren die SDC-Normenfamilie noch wachsen und sich ändern wird. Auch bei der Cybersecurity und dem Aufbau von „Vertrauen“ zwischen Geräten verschiedener Hersteller muss eine gute Abstimmung erfolgen und eine gemeinsame Lösung gefunden werden.
Um Leben zu schützen, ist ein sehr hohes Niveau an Cybersecurity unerlässlich.
Das Thema Cybersecurity in der Vernetzung ist für Löwenstein besonders wichtig, da die elisa-Beatmungsgeräte als lebenserhaltende Medizinprodukte auch im Falle eines digitalen Angriffs auf die Infrastruktur der Klinik nicht ausfallen dürfen. Unvorsichtiges Vorgehen bei der Implementierung zur Vernetzung von Narkosegeräten eines Mitbewerbers führten 2019 zur Meldung einer Sicherheitslücke, bei der ein Hacker die Beatmungsparameter vernetzter Geräte per Fernzugriff im Betrieb hätte ändern können. Selbst ohne einen direkten Angriff, der zum Ausfall der Beatmung führt, ist ein sehr hohes Level an Cybersecurity zwingend notwendig. Auch wenn das Ziel eines Cyberangriffes oft nur „einfache Erpressung“ ist, entstehen schnell Kollateralschäden in der Klinik-IT. So zeigen Daten aus den USA, dass während Cyberangriffen auf Kliniken durch die damit häufig verbundenen gestörten Abläufe eine erhöhte Sterblichkeit beobachtet werden kann (ca. 30 % erhöhte Mortalität). 2020 verstarb an einer Universitätsklinik in Deutschland die erste Patientin direkt an den Auswirkungen einer Cyberattacke, da ihr Krankenwagen umgeleitet werden musste. Die stetig steigende Anzahl von Cyberangriffen auf Kliniken, die sich teilweise sogar gezielt gegen Intensivstationen und schlecht gesicherte Medizingeräte richten, bedeutet für uns, dass eine SDC-Umsetzung höchsten Sicherheitsstandards entsprechen muss.
Datenfluss im Krankenhaus ist keine Einbahnstraße.
Sicher vernetzte Medizingeräte ermöglichen dann auch bidirektionale Kommunikation zwischen Geräten. Bidirektionale Kommunikation bedeutet für Medizingeräte, nicht nur Daten verschicken zu können, sondern auch Signale zu empfangen. Ein gutes Beispiel hierfür ist das Projekt „Silent ICU“: Um die Lärmbelastung im Krankenzimmer zu reduzieren, sollen akustische Alarme z. B. aus dem Intensivbeatmungsgerät nicht direkt am Gerät ausgegeben werden, sondern über das Netzwerk direkt an ein externes Endgerät weitergeleitet werden (z. B. im Schwesternzimmer). Dies ist allerdings nur dann rechtssicher möglich, wenn das externe Gerät auch konstant verfügbar ist. Es ist daher unerlässlich, dass durch einen konstanten bidirektionalen Datenstrom ständig überprüft wird, ob das externe Endgerät verfügbar ist (Abb. 1). Wird eine Unterbrechung der Datenverbindung detektiert, werden Alarme automatisch wieder am Intensivbeatmungsgerät ausgegeben (Abb. 2).
In einem späteren Entwicklungsschritt wird es dann auch möglich sein, von externen Endgeräten aus Steuerbefehle an medizintechnische Geräte zu senden. Ein Use-Case-Szenario für ferngesteuerte Geräte könnte z. B. im Isolierzimmer eintreten: Falls nur eine kleine Anpassung von Beatmungseinstellung vorgenommen werden soll, können diese „remote“ vorgenommen werden, das aufwendige Einkleiden in Schutzkleidung kann für das Personal entfallen. Auch im OP kann eine verbesserte Vernetzung eine Vielzahl von Abläufen vereinfachen und damit wertvolle Zeit einsparen. So wird unter anderem für Röntgenaufnahmen während der OP teilweise die Beatmung unterbrochen, um Bewegungen auf dem Bild zu minimieren. Mit einer entsprechenden Vernetzung via SDC könnte dieser Prozess automatisiert und optimiert werden.
Weitere Einsatzmöglichkeiten.
Aber auch bei weniger kritischen Einsätzen wie bei der Patientendaten- Aufzeichnung liefert SDC einen wertvollen Beitrag: Das bereits angesprochene Beispiel des Verlusts von Daten in einer Kette von Übertragungen zwischen verschiedenen Herstellern entfällt und die Vitaldaten des Patienten stehen an jeder Stelle in der Klinik in hoher Qualität zur Verfügung. Dies verbessert die medizinische Forschung und reduziert den Aufwand für administrative Tätigkeiten wie die Abrechnung in der Klinik.
Brücke zur Zukunft.
Mit derart verfügbaren Daten, die eventuell auch in Cloud- Speichern abgelegt werden können, ist es möglich, auch grundlegend über neue Anwendungen nachzudenken wie z. B. KI-Systeme, welche Prognosen über Krankheitsverläufe ermitteln.
Die Potenziale von einheitlicher Vernetzung werden natürlich auch von Kliniken gesehen. Die ersten Ärzte fangen bereits an, Veranstaltungen zur Entwicklung des SDC-Standards zu besuchen, und formulieren gegenüber den Medizinprodukteherstellern ihre eigenen Wünsche an vernetzte Medizinprodukte. Sobald die ersten herstellerübergreifenden Verbundsysteme aus Medizinprodukten mit SDC auf dem Markt erhältlich sind, ist davon auszugehen, dass innerhalb weniger Jahre das Eis bricht und sich die Forderung nach SDC-Kompatibilität zu einer absoluten Basisanforderung in Tendern entwickelt. Löwenstein Medical hat sich früh an dieser Entwicklung beteiligt, testet bereits erste Umsetzungen und wird so seinem Anspruch als führender Beatmungsspezialist auch auf diesem Gebiet gerecht.