Das Gesundheitswesen und viele medizinische Prozesse sind ohne IT nicht mehr effizient möglich. Zunehmend unterstützen oder übernehmen IT-gestützte Geräte medizinische Prozesse: In der Röntgenpraxis liefern CT, MRT und Ultraschall die Entscheidungsgrundlage für das Personal; modernste Technik nutzt darüber hinaus Big Data: State-of-the-Art-Computertomografie-Scanner können zum Beispiel aus medizinischer Sicht auffällige Bereiche im Bild direkt hervorheben.
In geräteintensiven klinischen Bereichen prallen immer verschiedene Interessenslagen aufeinander: Das medizinische Personal denkt an seine Bedürfnisse, um die Geschäftsprozesse zu erfüllen, die Krankenhausleitung an wirtschaftliche KPI und wegen Fachkräftemangel und Kostendruck sitzen nicht in jedem Haus ausreichend viele IT-Sicherheitsexperten. Es erfordert Kompetenzen, die IT-Infrastruktur sicher zu betreiben und mit der Entwicklungsdynamik den Anforderungen Schritt zu halten. Fachkräfte sind teuer und Krankenhäuser konkurrieren mit Branchen, die entsprechenden Fachkräften bessere Rahmenbedingungen bieten können.
Dieser Rahmen bedingt das Sicherheitsniveau; kommt es zu einem Cyberangriff, greift es zu kurz, die Schuld beim Krankenhaus zu suchen. Gerade Angriffe auf Kliniken mit Cryptotrojanern oder Ransomware haben in den vergangenen Jahren zugenommen. Die Gefahrenlage ist unterschiedlich – manche Krankenhäuser und Kliniken besitzen das notwendige Know-how und das Bewusstsein für Gefährdungen, andere nicht. Für vernetzte Medizinprodukte wie CT-Scanner gilt: Für komplexe (Bedrohungs-)Szenarien gibt es keine einfachen Lösungen. Abbildung 1 stellt vereinfacht Anforderungen an die IT-Sicherheit aus Sicht des Betreibers für den Betrieb von vernetzten CT-Anlagen dar.
Verschärfung der Lage zur IT-Sicherheit
Öffentliche Krankenhäuser, Unikliniken und Arztpraxen sind häufig im Visier von Kriminellen, wenn es darum geht, die IT der Gesundheitseinrichtung durch einen Hackerangriff zu übernehmen oder teilweise stillzulegen. Solche Angriffe können massive wirtschaftliche und gesellschaftliche Folgen haben. Cyberkriminelle empfinden die technischen Hürden mit denen Krankenhäuser gegen Hackerangriffe geschützt sind als eher niedrig. Der Präsident des Bundeskriminalamts beschreibt die Lage so: „Cyberangriffe gegen Krankenhäuser und Arztpraxen sind für die Kriminellen schnell attraktiv und in der Folge lukrativ“. Schwierig gestalte sich zudem die Strafverfolgung der Cyberkriminellen, die Krankenhäuser angreifen. Sie sei langwierig und werde einmal mehr erschwert, da die Täter sich in der Regel im Ausland aufhielten.
Unter Cyberangriffen werden alle digitalen Attacken auf Behörden, Unternehmen oder Einzelpersonen (z. B. Krankenhäuser, Kliniken, Arztpraxen) verstanden, die darauf abzielen, geschützte Daten zu stehlen oder Infrastrukturen und Netzwerke zu stören bzw. lahmzulegen. Cyberangriffe erfolgen u. a. über Schadsoftware (Ransomware, Spyware, Malware), manuelles Hacking, (D)DoS-Angriffe, Website- und Werbemanipulation (Defacing), Identitätstäuschung oder Phishing. Die Angriffe sind oft politisch motiviert. Cyberkriminelle betreiben (Wissenschafts-)Spionage oder versuchen Geld von den Krankenhäusern zu erpressen.
Fallbeispiele gehackter Krankenhäuser 2023/2024
Hier finden Sie Links zu Berichten gehackter Krankenhäuser in den Jahren 2023 und 2024:
- Katholische Hospitalvereinigung Ostwestfalen (KHO) 12/2023
- Bezirkskliniken Mittelfranken 01/2024
- Klinikverbund Soest 02/2024
- Krankenhaus Lindenbrunn 02/2024
Vorgehensweise der Cyberkriminellen
Meist erfolgen solche Cyberangriffe zunächst niederschwellig: Die Cyberkriminellen verschicken zum Beispiel E-Mails an Krankenhaus-/Klinikmitarbeiter, die auf Links klicken, arglos Anhänge öffnen oder auch manipulierte Webseiten ansteuern. Das Arsenal der Cyberangreifer ist groß – es gibt unzählige, teilweise komplizierte IT-Sicherheitslücken vornehmlich an komplexen vernetzten Medizinprodukten (z. B. CT-Scannern). Viele IT-Sicherheitslücken sind nicht bekannt und werden deshalb nicht geschlossen, es gibt keine Resilienz.
Das Angriffsszenario ist oft gleich: Erst mal in den IT-Systemen angekommen, schauen sich die Cyberangreifer um, suchen nach weiteren Sicherheitslecks und installieren einen eigenen Programmcode, der ihnen eine vollständige Fernsteuerung von ganzen IT-Anlagen und medizinischen Geräten (z. B. die Fernsteuerung eines CT-Scanners) erlaubt. Häufig enden die Angriffsattacken mit sogenannten Ransomware-Angriffen. Dabei werden digitale Daten auf Servern oder Steuercomputern von medizinischen Geräten verschlüsselt und manchmal vorher abgegriffen, um ein weiteres Druckmittel zu haben. Danach blockieren die Cyberangreifer IT-Systeme, sie manipulieren Datenbanken, schalten Webseiten ab und sperren Zugänge (damit IT-Personal nichts mehr unternehmen kann) oder führen eine Fehlfunktion eines Medizingeräts aus und gefährden so den Patienten. Die Folge: Der Zugriff auf die Patientenakten (z. B. Patientenarchiv) fällt weg, oft auch die Buchungssysteme für Operationen (Krankenhausinformationssysteme), die Zugriffe auf bildgebende Systeme (CT-Scanner) und vieles mehr. Gleichzeitig fordern die Hacker Lösegeld – nicht selten hohe Summen von mehreren Hunderttausend Euro. Die Cyberangreifer attackieren vor allem deshalb vermehrt Kliniken, weil hier der Druck hoch ist, schnell wieder normal arbeiten zu können. Die Chance, mit der Erpressung erfolgreich zu sein und Lösegeld zu erhalten, ist groß.
Die Cyberkriminellen sind seit der Coronapandemie ab 2021 wieder permanent aktiv. Das bedeutet: Sie haben nicht nur digitale Werkzeuge entwickelt, um in IT-Systeme einzudringen, Daten zu verschlüsseln und Lösegeld zu fordern (und zu kassieren), sondern sie bieten diese Werkzeuge sogar anderen Cyberkriminellen als fertigen Werkzeugkasten an (sogenannter digitaler Franchisebetrieb). Andere Cyberbanden nutzen das Know-how und die Technologie und teilen ihre Beute. Sie zahlen eine Provision. Die Angreifer kommen aus aller Welt. Schon allein aufgrund dieses Franchisesystems nehmen die Ransomware-Angriffe zu und sind durch die Strafbehörden nur schwierig zu verfolgen. Angriffe auf lebenserhaltende und Großgerätesysteme sind nachweisbar möglich. Nach Ansicht von Experten des Bundesamts für die Sicherheit in der Informationstechnik (BSI) brauchen nicht nur Kliniken und Krankenhäuser Resilienzkonzepte: Sollte ein Angriff erfolgen und gelingen, müssen schnell Notfallsysteme an den Start – und alle notwendigen Daten müssen verfügbar sein. Es reicht nicht, nur alle paar Wochen Back-ups anzufertigen und die Daten der Großgeräteserver überhaupt nicht zu sichern.
Die Absicherung von CT-Geräten gegen IT-Sicherheits-Gefährdungen stellt aufgrund der Vielzahl von Netzwerk-Protokollen und Übertragungsports eine Herausforderung für Verantwortliche aus der IT-Abteilung und der Medizintechnik dar. Die Ursache liegt in inhärenten Schwachstellen begründet, die auf veraltete Betriebssysteme, feste oder schwache Passwörter, Schwierigkeiten beim Patchen der Systeme, physische Zugänglichkeit zu Medizingeräten, zu deren IT-Komponenten oder den Technikräumen, fehlerhafte Betriebssystemkonfigurationen, fehlende integrierte Sicherheitsmaßnahmen und unsichere Kommunikationsprotokolle zurückzuführen sind. Die aus der Standard-IT bekannten Sicherheitskonfigurationen lassen sich bei CT-Geräten und deren IT-Systemen nur teilweise umsetzen, weil die Medizinproduktehersteller zusätzliche Software auf einem Medizingerät nicht gestatten (Änderung der Zweckbestimmung des Medizinprodukts). Um die IT-Sicherheit an CT-Geräten zu erhöhen, bieten Medizinproduktehersteller (z. B. Siemens Healthineers GmbH und Philips Medizin Systeme GmbH) komplexe eigene Sicherheitskonzepte an.
Best Practices
Im Fokus der Verbesserung zur Cybersicherheit von vernetzten Medizinprodukten hat das BSI einen „Leitfaden zur Cybersicherheit von Medizinprodukten“ des Expertenkreises CyberMed zur Nutzung des MDS2 (Manufacturer Disclosure Statement for Medical Device Security) veröffentlicht. Der Expertenkreis CyberMed (EK CyberMed) in der Allianz für Cybersicherheit (ACS) ist ein Zusammenschluss von Vertretern von Industrie, Anwendern und Behörden, die sich aktiv mit dem Thema Cybersicherheit von Medizintechnik befassen bzw. dafür Verantwortung tragen.
Ebenfalls informativ im Kontext des sicheren Betriebs vernetzter CT-Geräte und deren dazugehörige Server- und Client-Umgebungen ist die Veröffentlichung des BSI: „Cybersicherheitsanforderungen an netzwerkfähige Medizinprodukte“. In diesem Dokument werden „Best Practices“ zunächst für Hersteller von Medizinprodukten vorgestellt, die ihrerseits das Krankenhaus proaktiv bei der Umsetzung der IT-Sicherheit, insbesondere auch bei Großgeräten wie CT-Scanner unterstützen. Es lassen sich aber auch für Betreiber Empfehlungen zum sicheren IT-Betrieb vernetzter Medizinprodukte wie im Umfeld von vernetzten CT-Geräten ableiten. Die Empfehlungen dieses Dokuments stellen das Cybersicherheitsniveau nach dem derzeitigen Stand der Technik dar.
IT-Sicherheitsgesetz 2.0
Das IT-Sicherheitsgesetz 2.0 (IT-SiGe 2.0) von 2021 ist eine Weiterentwicklung des IT-Sicherheitsgesetzes, das erstmals im Jahr 2015 in Deutschland eingeführt wurde. Angesichts der zunehmenden Bedrohungen und Risiken im digitalen Zeitalter hat die Bundesregierung beschlossen, die Gesetzgebung zu verstärken und die Sicherheit im Bereich der Informationstechnologie zu verbessern. Das IT-Sicherheitsgesetz 2.0 bietet einen umfassenden rechtlichen Rahmen, um die digitale Infrastruktur des Landes zu schützen und den Schutz personenbezogener Daten zu gewährleisten. Das IT-SiGe 2.0 wurde um folgende Punkte erweitert:
- Abschnitt-1: Erweiterter Anwendungsbereich
- Abschnitt-2: Meldepflicht und Präventionsmaßnahmen
- Abschnitt-3: Nationales Cyber-Abwehrzentrum
- Abschnitt-4: Strafen und Sanktionen
NIS2-Richtlinie
Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU. Unternehmen, die von den Mitgliedstaaten als Betreiber wesentlicher Dienste in den oben genannten Sektoren eingestuft wurden, müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren. Das Ziel der EU-Richtlinie NIS2 (Network and Information Security) ist die Verbesserung der Cybersicherheit für Betreiber kritischer Infrastrukturen (KRITIS) – was auch Krankenhäuser und andere medizinische Einrichtungen einschließt. Wichtig: Die NIS2-Richtlinie wurde im Dezember 2020 von der Europäischen Kommission vorgeschlagen, trat am 16. Januar 2023 auf EU-Ebene in Kraft und sieht vor, dass die Pflichten der Richtlinie bis zum 17. Oktober 2024 umgesetzt werden.
Wichtige Anbieter digitaler Dienste, wie z. B. Dienstleister von Healthcare-Cloud-Computing-Diensten und Online-Marktplätzen (z. B. für Medical Apps), müssen die Sicherheits- und Benachrichtigungsanforderungen der Richtlinie erfüllen. Bezugnehmend auf die neue NIS2-Richtlinie bestehen enge Verbindungen und konkrete Überlappungen zum IT-Sicherheitsgesetz 2.0, da sie gemeinsame Ziele verfolgen und sich gegenseitig ergänzen. Beide Rechtsinstrumente haben das übergeordnete Ziel, die Cybersicherheit zu stärken und den Schutz von Informationssystemen vor Cyberbedrohungen zu verbessern.
Das fordert die neue NIS2-Richtlinie
Neben Vorgaben und Fristen zur Meldung von Sicherheitsvorfällen bringt NIS2 eine Reihe von Verpflichtungen für betroffene Kliniken und Krankenhäuser mit sich, darunter die Registrierung bei der zuständigen Behörde im eigenen Mitgliedstaat, die Offenlegung von Kontaktdaten und die Meldung erheblicher Sicherheitsvorfälle, d. h. von Vorfällen, die zu schweren Betriebsstörungen führen können. Die größte Veränderung für die Unternehmen werden jedoch die zusätzlichen Sicherheitsanforderungen sein, die durch NIS2 auferlegt werden. Des Weiteren fordert NIS2 verschiedene Maßnahmen bezüglich des Krisenmanagements, der Vorfallsbewältigung, der Kryptografie und weiteren sicherheitsrelevanten Bereichen. Krankenhäuser – die zu den Sektoren mit hoher Kritikalität gehören – müssen bei Nichtbeachtung der NIS2-Richtlinie mit Strafen bis zu einem Höchstbetrag von mindestens 10 Millionen Euro oder 2 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist.
B3S-Standard (Krankenhäuser)
Im Gesundheitswesen spielen Daten eine entscheidende Rolle für eine effektive Patientenversorgung und das reibungslose Funktionieren von Krankenhäusern. Die digitale Transformation hat die Art und Weise, wie Daten im Gesundheitswesen ausgetauscht werden, revolutioniert. Gleichzeitig ist es von größter Bedeutung, die Vertraulichkeit, Integrität und Verfügbarkeit dieser Daten sicherzustellen. Der B3S-Standard (Business-to-Business Security Standard) bietet Krankenhäusern einen Rahmen für eine sichere und effiziente Kommunikation und den Schutz sensibler Gesundheitsdaten. Der B3S-Standard ist ein branchenspezifisches Rahmenwerk, das darauf abzielt, die IT-Sicherheit und den Datenschutz im Gesundheitswesen zu verbessern. Er bietet Krankenhäusern klare Richtlinien und Best Practices für den sicheren Austausch von Daten mit externen Partnern, wie beispielsweise Laboren, Versicherungen oder anderen medizinischen Einrichtungen. Der B3S-Standard wurde entwickelt, um die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Patientendaten zu gewährleisten und gleichzeitig die Effizienz der Geschäftsprozesse in Krankenhäusern zu verbessern.
Vorteile der Anwendung des B3S-Standards für Krankenhäuser sind:
- Sicherheit
- Interoperabilität
- Effizienz
- Compliance
Die Implementierung des B3S-Standards erfordert eine systematische Vorgehensweise: Bewertung der aktuellen Sicherheitslage, Entwicklung einer Sicherheitsstrategie, Implementierung technischer Lösungen und Schulung sowie Bewusstseinsbildung. Es ist wichtig, dass Mitarbeiterinnen und Mitarbeiter in Krankenhäusern über die Bedeutung der IT-Sicherheit und den richtigen Umgang mit sensiblen Daten informiert sind. Schulungen und Schulungsprogramme sollten durchgeführt werden, um das Bewusstsein für Sicherheitsrisiken zu schärfen und das Verhalten im Umgang mit Daten zu verbessern. Der B3S-Standard hat zukünftig das Potenzial, sich zu einem Standard für den sicheren Datenaustausch im Gesundheitswesen zu entwickeln. Durch die stetige Weiterentwicklung und Anpassung an neue Technologien und Bedrohungen wird er sicherstellen, dass Krankenhäuser auch zukünftig den Schutz ihrer Daten gewährleisten können. Die enge Zusammenarbeit von Krankenhäusern, Behörden und anderen Akteuren im Gesundheitswesen ist entscheidend, um den B3S-Standard weiter voranzutreiben und seine breite Akzeptanz zu fördern.
Technisch-organisatorischen Maßnahmen (TOM)
Abhilfe gegen Cybersecurity-Risiken schaffen kann zunächst die Einführung von technisch-organisatorischen Maßnahmen (TOM) zur Erhöhung der IT-Sicherheit und im weiteren Verlauf die Einführung eines Zero-Trust-Sicherheitsmodells. Es funktioniert nach dem Prinzip: „Vertraue niemandem“. Damit ist gemeint, dass der Zugriff auf CT-Untersuchungsgeräte, deren IT-Anwendungen und den dazugehörigen Patientendaten niemals als ausreichend geschützt bewertet werden sollte, selbst wenn sich das CT-Scanner-System innerhalb separierter Netzwerkgrenzen (z. B. VLAN) befindet. Zero Trust kann in jeder Anwendung vor Ort oder in (Zukunft) auch in einer Cloud implementiert werden, je nach den Sicherheitsanforderungen und Vorgaben des Krankenhauses.
Für die Einrichtung eines Zero-Trust-Konzepts für Medizingeräte ist Expertenwissen erforderlich. Eine Umsetzung dieses Modells beginnt mit der Identifizierung aller Geräte im Medizinischen IT-Netzwerk (MIT), auf die dann automatisch eine Zero-Trust-Policy mit sogenannten „Least Privilege“ angewendet wird. In der Folge wird nur relevanten Systemen und Nutzern Zugriff auf die vernetzten CT-Anlagen und deren IT-Systeme gewährt. Das betrifft auch die Serviceorganisation des Medizinprodukteherstellers. Die Abbildungen 2 und 3 stellen schematisch dar, wie mit Unterstützung von IT-Sicherheitskonzepten des Medizinprodukteherstellers oder einer herstellerunabhängigen Cybersecurity-Lösung die Umsetzung des B3S-Standards durch den Betreiber beschleunigt und anhand praktisch wirksamer Konzepte umgesetzt werden kann. Mit den dargestellten Schemata lassen sich die Compliance-IT-Netzwerk-Anforderungen für Medizinische IT-Netzwerke (BSI-CS 108 und 054 sowie B3S Krankenhaus) erfüllen und auditieren.
Die Sicherheit der informationstechnischen Systeme in Krankenhäusern und Kliniken muss dauerhaft gewährleistet werden, sie dient in letzter Konsequenz auch der Patientensicherheit. Die Deutsche Krankenhausgesellschaft unterstützt diesen Prozess durch die Bereitstellung eines Branchenspezifischen Sicherheitsstandards (B3S) im Sinne des § 8a BSI-Gesetz. Der B3S wird in Abstimmung mit dem Branchenarbeitskreis „Medizinische Versorgung“ des UP KRITIS sowie der hierfür zuständigen Gremien der Deutschen Krankenhausgesellschaft erstellt, und vom Bundesamt für Sicherheit in der Informationstechnik wird geprüft, ob er für die Einhaltung der gesetzlich geforderten Maßnahmen geeignet ist.
KRITIS-Standard (Krankenhäuser)
Krankenhäuser sind aufgrund ihrer herausragenden Bedeutung für die Bevölkerung eine zentrale Kritische Infrastruktur. Die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) definiert im Hinblick auf die Sicherheit in der Informationstechnik Krankenhäuser mit mehr als 30.000 vollstationären Behandlungsfällen pro Jahr als kritische Anlagen im Bereich der stationären Versorgung. Dieser Schwellenwert spiegelt bewusst nur die Sicht des Bundes wider, regionale Versorgungsstrukturen werden dabei nicht berücksichtigt.
Eine flächendeckende medizinische Versorgung der Bevölkerung kann allein durch die Einrichtungen, die unter die BSI-KritisV fallen, besonders in weitläufigen Gebieten mit nur einem oder wenigen Krankenhäusern, jedoch nicht sichergestellt werden. So kann auch der Ausfall von Krankenhäusern mit niedrigeren Versorgungskennzahlen Kreise und Kommunen vor erhebliche Versorgungsprobleme stellen. Somit sind auch Krankenhäuser, die nicht unter das IT-Sicherheitsgesetz fallen Kritische Infrastrukturen im Hinblick auf die Versorgung der Bevölkerung. Die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV), (zuletzt geändert durch Art. 1 V v. 29.11.2023 I Nr. 339) finden Sie hier.
Nach der BSI-KritisV müssen die genannten Krankenhäuser und Kliniken den Nachweis über den Einsatz eines Systems zur Angriffserkennung (SzA) erbringen, z. B. im Rahmen der Durchführung von Audits. Darunter versteht man: KRITIS-Betreiber müssen gegenüber dem BSI allgemein die Erfüllung der Anforderungen aus § 8a Absatz 1 und Absatz 1a BSIG durch die entsprechenden Nachweise bestätigen. Daher muss ein Nachweis nach § 8a Absatz 3 BSIG, um als vollständig zu gelten, ab dem 1. Mai 2023 auch die Ergebnisse der Prüfung der Systeme zur Angriffserkennung inklusive der aufgedeckten Sicherheitsmängel enthalten (siehe auch Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG).
Analog gilt gemäß § 11 Absatz 1f EnWG ein Nachweis zu Angriffserkennungssystemen als vollständig, wenn die Ergebnisse der Prüfung der Systeme zur Angriffserkennung inklusive der aufgedeckten Sicherheitsmängel enthalten sind. Daraus kann man ableiten, dass dies mit der normalen Prüfung/Zertifizierung erfolgen kann. Der erste Nachweis ist aber nach EnWG am 1.5.23 zu erbringen. Die Orientierungshilfe des BSI finden Sie hier. Abbildung 4 stellt schematisch dar, wie am Fallbeispiel secunet medical connect eine CT-Scanner-Umgebung in einer Krankenhauseinrichtung, die unter die BSI-KritisV fällt, sicher betrieben und überwacht werden kann.
Die Security-Gateway-Technologie sorgt mit entsprechenden Sicherheitsfunktionen für einen vertrauensvollen und ungehinderten Informationsfluss zwischen Medizingeräten und datenbetriebenen Diensten in der IT-Infrastruktur. Die über das Gateway bereitgestellte sichere Ausführungsumgebung kann flexibel für zusätzliche Anwendungen, insbesondere für eigene bestehende Tools, genutzt werden. So lassen sich beispielsweise Geräteüberwachung, Security Monitoring, Fernwartungszugriffe, Protokollübersetzer, Datenschnittstellen u. v. m. an die Maschinen und in die sensiblen Netzwerke integrieren. So sind auch nutzerfreundliche Konzepte für das Security Monitoring mit vorbewerteten Meldungen und Reportformaten (Melden von Sicherheitsvorfällen) gut möglich, die ein schnelles und einfaches Handling für den vom Krankenhausbetreiber bestellten IT-Sicherheitsbeauftragten (IT-SiBe) ermöglichen. Durch die Abstraktion sowohl auf Hardwareebene (verschiedene Geräteklassen und Schnittstellen) als auch auf Anwendungsebene (sichere Ausführungsumgebung) können unterschiedliche Bedürfnisse von großen ebenso wie kleinen IT-Sicherheitsteams im Klinikum berücksichtigt und Lösungen dafür entwickelt werden.
Autor: Jörg Schönfeld
Dieser Beitrag ist ein Teil des ausführlichen Fachbeitrags „Vernetzte Arbeitsplätze Computertomografie“ des Wissensportals „Medizintechnik und Informationstechnologie“, herausgegeben von Jörg Schönfeld bei TÜV Media GmbH. Dieser behandelt die Themen Funktionsprinzip, Betrieb und medizinische Behandlungsumgebung eines CT-Scanners, sowie die begleitende Infrastruktur und den Arbeitsschutz, die Instandhaltung, das technische und klinische Risikomanagement und führt in die Themen RIS, Dosismanagementsystem und Künstliche Intelligenz im Zusammenhang mit CT-Scannern ein.