Um den regulatorischen Anforderungen für Hersteller von medizinischen Produkten zu entsprechen, hat Roche Diagnostics für seinen Servicebereich mit Unterstützung der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA ein zertifizierbares Informations-sicherheits-Managementsystem eingeführt. Weil damit Alleinstellungsmerkale im Markt geschaffen werden konnten, verlief das Projekt deutlich über eine Pflichterfüllung hinaus.
Personenbezogene Daten genießen generell einen besonderen Schutz, vor allem wenn es sich um Informationen zum Gesundheitszustand konkreter Personen handelt. Sie unterliegen nicht nur der ärztlichen Schweigepflicht, sondern werden in Europa und anderen Ländern auch durch datenschutzrechtliche Bestimmungen besonders geschützt.
Dies gilt auch in Großbritannien, wo der dortige Gesundheitsdienst – National Health Service (NHS) hohe Sicherheitsanforderungen an Unternehmen, die mit Gesundheitsdaten arbeiten, stellt. Auch die englische Niederlassung der Roche Diagnostics, die zum weltweit drittgrößten Pharmakonzern F. Hoffmann-La Roche AG gehört und Gesundheitseinrichtungen mit Produkten zur Prävention, Diagnose und Therapie beliefert, unterliegt solchen regulatorischen Pflichten.
Vor diesem Hintergrund beauftragte die globale Roche Diagnostics Customer-Support Organisation die TÜV TRUST IT, für den Service eine Informationssicherheitsstrategie zu identifizieren, die den rechtlichen Vorgaben der englischen Gesundheitsbehörde entspricht. Bei dieser vorgelagerten Strategieentwicklung ermittelten die Security-Spezialisten zunächst, welche Organisationseinheiten des Unternehmens im In- und Ausland von den Anforderungen des NHS betroffen sind.
»Wichtig war dabei vor allem die Erkenntnis, dass nicht nur die Tochtergesellschaft die Anforderungen der NHS erfüllen muss, sondern auch jeder Dritte, dem die englische Tochtergesellschaft Patientendaten übermittelt«, erläutert Hans Georg Seiberlich, Head of Global Customer Support Quality bei Roche Diagnostics. »Darunter waren neben Lieferanten auch weitere Gesellschaften der Roche Diagnostics in verschiedenen Ländern.« Der Hintergrund: Werden beispielsweise bei lokalen technischen Problemen Gesundheitsdaten an einen anderen Standort übertragen, muss nicht nur der gesamte technische Kommunikationsvorgang hohen Datenschutzkriterien entsprechen, sondern es sind auch eine Vielzahl weiterer regulatorischer Bedingungen zu erfüllen. Sie reichen von der Prozessgestaltung über Schulungspflichten für das involvierte Personal zu bestimmten Verfahren bis zur Datenspeicherung.
Informationssicherheit als Bestandteil des Geschäftsmodells. Bei der differenzierten Analyse der konkreten Handlungsnotwendigkeiten wurde gleichzeitig das nicht unbedingt erwartete Ergebnis ermittelt, dass die Anforderungen der NHS in hohem Maß dem internationalen Standard ISO/IEC 27001:2013 entsprechen. Aus diesem Grund erfolgte die Entscheidung, ein globales Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001:2013 zu etablieren und zu zertifizieren. Da der Schutz von Gesundheitsdaten ein wesentlicher Bestandteil des Geschäftsmodells von F. Hoffmann-La Roche ist, bildete dieses Projekt auch die generelle Ausrichtung des Konzerns ab.
Um den jeweiligen Handlungsbedarf zu ermitteln, wurde mittels simulierter Audits (Mock-Audits) die Konformität mit den Anforderungen der ISO/IEC 27001:2013 bestimmt. Anhand dieser Prüfungen ließen sich die fehlenden Anforderungen identifizieren und konnte die Vorgehensweise erstellt werden. Dabei wurde nicht nur Wert auf die Umsetzung der technischen Anforderungen gelegt, sondern ein elementarer Teil des Projekts war fachübergreifend und organisatorisch geprägt.
Für die Umsetzung des Projekts wählte TÜV TRUST IT die ISMS Bebauungsplanmethodik mit schrittweiser Implementierung pro Geschäftseinheit. »Statt einer Big-Bang-Lösung haben wir eine Methodik gewählt, bei der zunächst kleinere Sequenzen mit ihren jeweiligen Aktivitäten, Prozessen, Schulungen und Awareness-Kampagnen realisiert und dann ausgerollt wurden«, erläutert Jan Kiefer, Projektverantwortlicher der TÜV TRUST IT. Gleichzeitig war sie von dem Prinzip geleitet, nur in Ausnahmefällen eigens für das ISMS konzipierte Prozesse in die vorliegenden Organisationsverhältnisse einzuführen, sondern vorhandene Abläufe anzupassen oder zu erweitern. »Um die Akzeptanz zu erhöhen und den zeitlichen Aufwand zu begrenzen, sollte Bestehendes möglichst weiter verwendet werden«, so Kiefer.
Indem die Einführung des ISMS mit der Zertifizierung nach ISO/IEC 27001:2013 bestätigt wurde, sind nun die Standorte in Deutschland, der Schweiz und England Teil des globalen Informationssicherheits-Managementsystem. Im Interesse einer Risikoverteilung wurden die Standorte nicht gleichzeitig, sondern nacheinander zertifiziert, da ein Scheitern der Zertifizierung nur Teilprojekte und nicht das gesamte Projekt betroffen hätte. »Die pragmatische und kompetente Herangehensweise der TÜV TRUST IT als Beratungspartner an ein solch komplexes Projekt hat entscheidend zum Erfolg beigetragen«, zieht auch Seiberlich ein positives Fazit.
Da gleichzeitig auch eine nahtlose Integration des Risiko- und Qualitätsmanagements in das globale System der Roche Global erfolgte, konnte sichergestellt werden, dass die Prozesse nachhaltig gelebt werden und keine ineffizienten Workarounds entstehen. Rob Chapman, Projektleiter bei Roche Diagnostics Global Customer Support, zeigt sich mit dem Ergebnis zufrieden. »Das ISMS und die damit verbundenen Anforderungen an die Informationssicherheit ist heute ein integraler Bestandteil unserer Firmenkultur.«
Wichtige Erfolgsfaktoren. Dass sich dieses Ergebnis in dem zweijährigen Projekt erreichen ließ, resultierte nicht zuletzt aus den richtigen Weichenstellungen zu Beginn. Dazu gehört einerseits die aktive Unterstützung des Vorhabens durch ein klares Commitment des Top-Managements, andererseits konnte ein Projektteam zusammengestellt werden, das fachlich alle wichtigen Parteien im Unternehmen von der Technik über das Business bis Qualitäts- und Regulierungsmanagement berücksichtigte. Auch die gute Vernetzung der Mitglieder im Lenkungsausschuss und dass Mitarbeiter mit Fachexpertise in der Software-Entwicklung und dem Support einbezogen werden konnten, die sich im Unternehmen gut auskennen, gehörten zu den Erfolgsfaktoren.
Mit der Konstituierung des Teams allein war es aber nicht getan. Denn um zielorientiert und ohne nennenswerte Reibungsverluste agieren zu können, mussten auch die unterschiedlichen Arbeitsweisen innerhalb eines internationalen Projekts im Umgang mit der Informationssicherheit und teilweise unterschiedlichen Zeitzonen in Einklang gebracht werden.
Neues Selbstverständnis geschaffen. Von nicht geringerer Bedeutung für das Gelingen des Vorhabens war auch, dass die anfänglichen Diskrepanzen im Verständnis von Informationssicherheit schnell beseitigt werden konnten. »Ausgangspunkt war, dass keine Unterscheidung von IT-Sicherheit und Informationssicherheit vorgenommen wurde. Deshalb standen zu Beginn sehr technisch geprägte Definitionen im Raum, von denen sich vor allem Vertreter der IT angesprochen fühlten«, beschreibt Kiefer eine Herausforderung zu Beginn des Projekts. Andere Aspekte wie die Prozessgestaltung, die sicherheitsfachliche Schulung der operativen Mitarbeiter oder die Notwendigkeiten von Handlungsanweisungen für das Personal habe hingegen weniger im Blickfeld gestanden. »Es musste ein verändertes Selbstverständnis dahin gehend eingeleitet werden, dass Informationssicherheit kein Synonym von IT-Sicherheit ist.«
Gleichzeitig galt es in dem Projekt, ein großes Augenmerk auf die Schulungen in der Informationssicherheit und Akzeptanzbildung zu richten. Dazu gehörten E-Learning-Maßnahmen für alle der rund 1.000 Beschäftigen im Geltungsbereich der Services von Roche Diagnostics. Mitarbeiter in einer Multiplikatorfunktion haben sogar an ISO-27001-Auditor-Schulungen teilgenommen, um zur aktiven Mitgestaltung einen tieferen Einblick in diesen ISMS-Standard zu gelangen und weil sie in Sachen Informationssicherheit auf den Geschmack gekommen waren. Dies ließ sich im Verlauf des Projekts auch an der steigenden Motivation und der Mitwirkungsbereitschaft aller Beteiligten ablesen, obwohl ihnen infolge der Dringlichkeit durch die NHS eine hohe Realisierungsdisziplin abverlangt wurde.
Wilfried Heinrich
ist Fachautor und Geschäftsführer
der Agentur denkfabrik groupcom GmbH in Köln