„Die KI hat kein Gewissen“

Christian Neubauer, IT-Leiter der Barmherzigen Brüder in Österreich, spricht im Interview über Cyber Security, Systemumstellungen, Digitalisierung und schlaflose Nächte.
 

Herr Neubauer, ich habe den Eindruck, dass das Leben des IT-Leiters eines Krankenhauses auch schon mal leichter war. Welches Thema raubt Ihnen den Schlaf?

Christian Neubauer: "Kurze Antwort: keines."

Wie lautet die lange Antwort?

"Ja, wir arbeiten in einem sehr dynamischen Umfeld und ja, wir sind mit einer Reihe von Herausforderungen konfrontiert. Ich denke da an die Digitalisierung des Gesundheitswesens, an die Ablöse alter Applikationen, die nicht mehr serviciert werden – und allen voran an das Thema IT-Security. Schlaf ist zu wichtig – den sollte man sich nicht rauben lassen."
 

Wäre die Bedrohung durch Cyber­angriffe nicht geeignet, Ihre Nachtruhe zu beeinträchtigen?

"Wenn Sie mich vor einigen Jahren gefragt hätten, hätte ich das vielleicht bejaht. Aber wir haben uns früh mit der Thematik befasst. Wir haben vor vier Jahren eine IT-Security-Roadmap entwickelt und setzten diese konsequent um. Ich denke, dass wir hier in einigen Punkten weiter sind als andere Krankenhausbetreiber. Herzstück unseres Sicherheitskonzepts sind ein sogenanntes Security Information and Event Management – kurz SIEM – und ein Security Operations Center – Abkürzung SOC."

Was darf sich der interessierte Laie darunter vorstellen?

"Das SIEM überwacht unsere IT-Systeme und Applikationen. Es sendet Warnungen aus, wenn es eine Lücke in unseren Sicherheitsvorkehrungen entdeckt und eine Bedrohung identifiziert hat. Das geschieht automatisiert und rund um die Uhr. Das Ziel ist, die potenzielle Bedrohung so früh wie möglich zu entdecken, um rasch reagieren zu können. Dazu nutzen die Systeme, die das SIEM füttern, übrigens auch Künstliche Intelligenz. Die Entscheidung darüber, ob und wie reagiert wird, trifft aber nicht die Maschine, sondern ein Mensch – und dieser befindet sich im Security Operations Center. Er muss im Einzelfall entscheiden, wie mit der Warnung des SIEM umzugehen ist."
 

Welche Möglichkeiten gibt es da?

"Im Grunde genommen geht es um folgende Frage: Wie groß ist die Bedrohung wirklich? Ist es ein vergleichsweise ungefährliches Problem, das man zu einem späteren Zeitpunkt mit einem Batch beheben kann, oder muss sofort gehandelt werden? Das ist in einem Krankenhaus eine sehr verantwortungsvolle Entscheidung, da es dazu führen kann, dass man ein System oder eine Applikation vom Netz nehmen muss. Sie steht dann vorläufig nicht mehr zur Verfügung. Sie können sich vorstellen, was das bedeuten kann."
 

Wer trifft diese Entscheidung? Der Mitarbeiter oder die Mitarbeiterin im Security Operations Center oder Sie als IT-Leiter?

"Das kommt immer auf den Einzelfall an. Wir haben eine Meldekette erarbeitet, in der festgelegt ist, wer bei welcher Thematik involviert werden muss. Dazu gehören die IT-Security, der IT-Leiter, der betroffene Fachbereich oder die betroffene Abteilung und unter Umständen auch das Top Management. Dieser Kreis entscheidet, ob es zu einer Abschaltung kommt."

Gab es so einen Fall bei Ihnen schon einmal?

"Zum Glück bislang noch nicht."

Das kann sich ändern …

"… ja durchaus. Wir nehmen das Thema nicht auf die leichte Schulter."

Sie haben erwähnt, dass Sie im SIEM-Umfeld auch KI einsetzen. Wird die KI den Kampf gegen Cyber-Angriffe erleichtern?

Reden wir über andere Herausforderung. Sie haben die Ablöse alter Applikationen genannt, die nicht mehr serviciert werden. SAP stellt bis 2030 seine Krankenhaus-Software IS-H ein. Betrifft Sie das auch?

"Nein, wir habe in diesem Bereich seit vielen Jahren eine andere Lösung im Einsatz. Wir haben aber dennoch ein anderes SAP-Thema, das uns derzeit beschäftigt: SAP stellt bis 2030 das Service für sein ERP-System ECC ein …"
 

… zur Erklärung für Laien: Das ist das Herzstück der SAP-Produktpalette, mit dem Unternehmen ihre wichtigsten Geschäftsprozesse und Zahlenwerke managen.

"Und ECC wird nun durch das neue Produkt S4 Hana abgelöst. So wie viele andere Krankenhausbetreiber auch, befinden wir uns derzeit daher in einem großen Umstellungsprozess."
 

Wie weit sind Sie hier?

"Wir haben gemeinsam mit SAP eine Roadmap erarbeitet. Derzeit definieren wir die zukünftigen Soll-Prozesse und führen eine Fit-and-Gap-Analyse durch. Das bedeutet: Wie sehr entsprechen unsere Ist-Prozesse dem Ziel? Wo gibt es Lücken, und wie können wir die schließen?"

Wie groß sind diese Lücken?

"Sie werden kleiner. Unser klares Ziel ist es, möglichst nah am Standard zu bleiben, um bei Updates weniger Probleme zu haben und auch Neuerungen gut nutzen zu können. Dazu muss ich aber auch eine Besonderheit erklären: Im Unterschied zu den meisten anderen Krankenhausbetreibern in Österreich sind wir nicht nur in einem einzigen Bundesland tätig. Unsere sieben Häuser sind auf sechs Bundesländer verteilt. Das bedeutet für die IT: Wir haben eine erhöhte Vielfalt in den Prozessen, da es in jedem Bundesland etwas andere Regularien gibt."

Es lebe der österreichische Föderalismus.

"Das haben Sie gesagt. Diese Komplexität in den Prozessen möchten wir als IT natürlich reduzieren. Je komplexer, desto aufwendiger. Wir verstehen die Umstellung auf S4 Hana daher durchaus auch als Chance, alte, liebgewonnene Zöpfe abzuschneiden und neue, möglichst einheitliche Prozesse zu implementieren."

Neue Prozesse sind in einem Unternehmen so beliebt wie nosokomiale Infektionen auf der Intensivstation.

"Sie schaffen das nur, wenn Sie die Menschen mitnehmen und sie einbinden. Und das meine ich ernst. Wir sind bei der Erhebung der Ist-Prozesse zum Beispiel folgendermaßen vorgegangen: Wir haben die Ist-Prozesse in jedem unserer Häuser einzeln erhoben. Dabei waren aber immer Vertreter eines anderen Hauses mit dabei. Das Ziel: Die Kolleginnen und Kollegen sollten ein Gefühl dafür bekommen, wie unterschiedlich die Prozesse wirklich sind und ob man die einzelnen Sonderlösungen wirklich benötigt. Das hat hervorragend geklappt."

Würden Sie das Einbinden der Mitarbeiterinnen und Mitarbeiter als den Schlüssel für den Erfolg von IT-Implementierungen sehen?

"Klare Antwort: Ja – unbedingt. Ich gebe Ihnen ein anderes Beispiel. Wir haben die digitale Spracherkennung im Pflegebereich in einem Pilotprojekt in Graz eingeführt. Die Idee: Der Pfleger oder die Pflegerin spricht direkt bei der Arbeit mit dem Patienten in eine mobile App und erfasst so die Pflegemaßnahmen. Wir haben dann aber bei der Einführung festgestellt, dass viele Kolleginnen und Kollegen eine Hemmung davor haben, vor dem Patienten in ein Gerät zu sprechen."

Wie haben Sie das gelöst?

"Wir sind in Feedback-Gesprächen gemeinsam auf die Idee gekommen, dass die Kollegen nicht mit dem Gerät sprechen, sondern mit den Patienten. Sie erklären ihnen, was sie machen und erfassen so die wichtigen Informationen. Das hat super funktioniert. Mittlerweile rollen wir die Spracherkennung im gesamten Haus in Graz aus."

Haben Sie einen Rat an Ihre IT-Leiter-Kollegen, wie erfolgreiche Digitalisierung funktioniert?

"Keinen Rat, aber eine Erkenntnis: Die Digitalisierung muss immer aus der Sicht der betroffenen Mitarbeiterinnen und Mitarbeiter gesehen werden, die damit arbeiten sollen. Es geht nicht darum, was wir uns als IT-Experten technisch vorstellen können, sondern darum, was die Fachbereiche benötigen, damit ihr Arbeitsalltag einfacher wird. "

 Quelle: ÖKZ 3/2024, 65. Jahrgang, Springer-Verlag.