Kemp: „Es bleibt immer ein Restrisiko“

Im Interview mit dem Fachmagazin f&w erläuert die ehemalige Oracle-Deutschland-Chefin Stefanie Kemp, wie sie den digitalen Umbau der Sana Kliniken AG gestalten will. Seit September 2022 ist sie neue Chief Transformation Officer im Konzernvorstand. Über ihre Visionen vom Krankenhaus der Zukunft und ihre Prioritäten in der Cybersicherheit spricht die Sana-Vorständin im f&w-Interview. 

Frau Kemp, was haben Sie in Ihrer neuen Position als Chief Transformation Officer (CTO) im Vorstand der Sana Kliniken nach vier Monaten mitgenommen? 

Bisher habe ich vor allem den großen Willen wahrgenommen, dass wir bei Sana die digitale Transformation des Gesundheitssystems durchführen möchten –technologisch und operativ auf Prozessebene, insbesondere aber kulturell. Mit 35 Jahren Berufserfahrung in der Technologiebranche schaue ich von außen auf die digitalen Konzernthemen und sehe einige Dinge, die wir künftig besser machen können. Dafür müssen wir uns organisatorisch neu aufstellen und strategische Ziele für das digitale Krankenhaus der Zukunft klar definieren. Dazu haben wir in uns in meinem neuen Ressort die Karten gelegt. Transformation ist mit Technologien, Digitalisierung, Datenschutz und Informationssicherheit verknüpft. Wichtig ist darüber hinaus die Verbindung zur Unternehmensstrategie und vor allem eines: den Patienten in den Mittelpunkt zu stellen – sei es in der ambulanten oder klinischen Versorgung oder in der Nachsorge. Über diese Kette müssen wir jetzt die Transformation definieren und die richtigen Touchpoints finden.

Welche Themen haben Sie schon als „nicht optimal“ identifiziert? 

Ich habe vier Schwerpunkte identifiziert. Zentral ist, sich in eine Persona hineinzudenken: den Patienten. Der Patient ist Kunde im Krankenhaus – fühlt sich aber innerhalb der Abläufe viel zu häufig als Störfaktor. Wenn ich aus Sicht des Patienten auf die Prozesse blicke, sehe ich, dass wir besser informieren und Prozesse transparenter gestalten können, beispielsweise in der Diagnostik und in den Therapieansätzen. Diese können wir digital unterstützen, sodass der Patient nicht nur besser informiert wird, sondern auch die Mitarbeitenden in den Kliniken entlastet und ihre Tätigkeiten optimiert werden, womit ich den zweiten Punkt benannt habe. Ein Beispiel aus der Pflege: die Vitalzeichenmessung. Es gibt Lösungen am Markt, anhand derer man Patienten mit Sensoren ausstattet, die die Vitalwerte und -daten automatisch messen und in die Krankenhausinformationssysteme übertragen. Solche Lösungen könnten die Pflegekräfte entlasten, zudem sinken die Fehlerquoten. Drittens reden wir immer wieder über das Krankenhauszukunftsgesetz. Insgesamt ist das eine gute Initiative. Jetzt kommt es darauf an, die Themen umzusetzen. Wir brauchen eine agilere, kleinteiligere Projektmethodik um schneller zu werden. Und viertens schaue ich mir die IT-Architektur an, prüfe, ob wir auch Cloudlösungen einsetzen können. Für Ergebnisse ist es zu früh. Momentan definiere ich mit dem neuen Chief Information Security Officer (CISO), Sascha Fröhlich, den Ist-Zustand, um erst einmal eine Prozesssicherheit für die Transformation zu schaffen.

Haben Sie bei all den Projekten auch ein ganz persönliches Lieblingsthema?

Ja, tatsächlich: Mein Lieblingsthema ist das digitale Krankenhaus – also einen digitalen Zwilling als grüne Wiese zu erstellen und dort die gesamte Patient Journey zu betrachten. 

Warum hat der Sana-Konzern mit Sascha Fröhlich als CISO eine komplett neue Stelle im digitalen Ressort geschaffen, die Ihrer CTO-Vorstandsposition direkt untergeordnet ist? 

Sana hat in den letzten Jahren einige Häuser übernommen, in dieser Zeit ist im digitalen Sektor etwas liegen geblieben – das hat viel mit Prozessen sowie Standards zu tun und hängt damit zusammen, dass wir in unterschiedlichen Regionen teilweise auch unterschiedlich reguliert sind, beispielsweise beim Patienten-Check-in oder in der Dokumentationspflicht. Um künftig innovativer zu agieren, haben wir diese Position geschaffen und mit Sascha Fröhlich besetzt. Mittlerweile arbeiten fünf Personen in seinem Team. Bei ihm landen alle Themen, die mit der Informationssicherheit sowie der IT-Security in Zusammenhang stehen. Wir müssen heute immer aus Sicht der Informationssicherheit – also der Vorgaben, Regulierungen, dem Datenschutz – auf die Bereiche blicken. Informationssicherheit hat Top-Priorität. Auch deshalb ist er direkt mir unterstellt.

Wie werden die Ergebnisse auf Konzernebene runtergebrochen?

Sascha Fröhlich entwickelt die Informationssicherheitsrichtlinien des Konzerns. Es gibt noch Sicherheitsaspekte, die wir nicht ausreichend abdecken, aber die notwendigerweise abgedeckt werden müssen. Er entwirft aktuell eine Roadmap, analysiert die Bedarfe und Schwachstellen. Unter anderem nutzen wir dafür die klassische Risikomatrix, die aufzeigt, wo welches Risiko mit welcher Wahrscheinlichkeit und welche Auswirkungen eintreten könnten, sodass wir am Ende einen Notfallplan haben. Als nächstes gehen wir damit hinaus in die einzelnen Häuser und Regionen, in denen es insgesamt 14 Informationssicherheitsbeauftragte gibt. Wir haben eine ganz klare Kaskade. Es reicht aber nicht aus, die Beauftragten zu informieren. Sie brauchen auch ein Modell, um die Strukturen zu definieren, regelmäßig zu berichten – also ein internes Berichtwesen, auch um IT-Sicherheitsvorfälle zu melden. Diese müssen an die Abteilung für Informationssicherheit zurückgespielt werden. Die jeweiligen Informationssicherheitsbeauftragten stellen wiederum sicher, dass die Informationen über Vorfälle an der richtigen Stelle ankommen und entsprechende Maßnahmen innerhalb der einzelnen Häuser und Regionen tatsächlich umgesetzt werden.

Welche großen Schwachstellen sehen Sie in der IT-Sicherheit und wie wollen Sie diese jetzt angehen? 

Die größte Schwachstelle sitzt vor dem Computer – das ist und bleibt der Mensch. Ein Beispiel: Grundsätzlich ist es aus datenschutzrechtlichen Gründen nicht erlaubt, Namen oder Kontaktdaten herauszugeben. Aber wie reagieren Mitarbeiter, wenn eine externe Anfrage kommt? Eine große Bedrohung geht insbesondere von der sogenannten Ransomware aus – Schadsoftware, die meist per E-Mail versendet wird. Hier gibt es noch viele Sicherheitslücken. 99 Prozent der Empfänger wissen zwar, es könnte ein Hackerangriff sein. Aber ein Prozent könnte auf das in der E-Mail enthaltene Dokument klicken. Diejenigen gilt es zu sensibilisieren und zu schulen – Bewusstsein zu schaffen. Wir haben rund 35.000 Mitarbeiterinnen und Mitarbeiter. Schon jetzt ist sicher: Wir frischen das alte Awarenesstraining für Informationssicherheit und IT-Security auf. Die Schulung wird Pflicht für alle Beschäftigten, die an Computersystemen arbeiten oder in der kritischen Infrastruktur mit Informationen umgehen. Dabei geht es auch darum, wie Mitarbeitende ihren Arbeitsplatz verlassen und ob sie die Geräte in den Schutzzustand versetzen. Ab Januar 2023 wollen wir damit starten. Wir wollen auch die klassischen Penetrationstests durchführen, Phishing-Mails rausschicken, um zu sehen, in welchen Bereichen die Kolleginnen und Kollegen sensibilisiert werden müssen. Zudem prüfen wir Kommunikationstools, wie WhatsApp. Diese App steht bei Sana schon länger auf der roten Liste, doch könnten die damals identifizierten Sicherheitslücken inzwischen überholt sein oder neue hinzugekommen sein. 

Wie sichert sich Sana gegen Hackerangriffe? 

Wir sichern unsere gesamte Hardwareumgebung auf Serverseite ab. Denn Hacking kommt nicht immer per E-Mail, Systeme werden auch auf andere Weise angegriffen. Selbstverständlich setzen wir auch E-Mail-Filter ein. Von den 416.000 E-Mails, die täglich bei uns reinkommen, werden fast 86 Prozent – also 358.000 Nachrichten –  als gefährlich eingestuft. Das sind heute mehr als vor einem Jahr, Tendenz steigend. Insgesamt sichern wir uns maximal mit den technologischen Möglichkeiten ab, die wir haben. Im nächsten Schritt kommen die Trainings hinzu, um das Bewusstsein zu schärfen. Aber es bleibt immer ein Restrisiko, das wir nicht abdecken können. 

Bis wann soll der digitale Umbau – die Transformation – bei Sana abgeschlossen sein? Gibt es überhaupt einen Abschluss? 

Ein digitales Krankenhaus wollen wir als digitale grüne Wiese in den nächsten 18 bis 24 Monaten skizzieren, um anhand dessen die Bedeutung vom Patienten-Check-in über die Behandlung bis hin zum Entlassmanagement aufzuzeichnen und alle Prozesse einmal zu überdenken. Von einem Umbau möchte ich aber nicht sprechen. Es ist vielmehr eine Reise. Es bleibt die Frage, wie viel wir tatsächlich erreichen wollen. In jeder Transformation gibt es eine Halbwertszeit von drei bis fünf Monaten, dann kommen die nächsten neuen Ideen. Es geht also eher darum, wie wir mit dem ständigen Change umgehen. 

Das Interview führte Anika Pfeiffer.