2007-08-11 20:28:08

WLAN im Spitalseinsatz

Landesklinikum in Mistelbach:

Im „Landesklinikum Weinviertel Mistelbach/Gänserndorf“ wurde vom österreichischen Colubris Partner COMNET ein durchgängiges WLAN-Netz für den Röntgendienst und die elektronische Visite installiert.

Michael Reisner

Druckversion

Für den Leiter der Informations- und Kommunikationstechnologie der NÖ Landesklinikenholding, Mag. Thomas Pöchacker, sind die aktuellen IT-Entwicklungen im Landesklinikum Mistelbach beispielhaft für ein modernes, integriertes Denken. Durch Umsetzung eines Technologiebündels ergibt sich oft erst die optimale Nutzung moderner Möglichkeiten. Ein PACS-System in der Radiologie ermöglicht die digitale Nutzung aller Bilddaten im Klinikum für den Dienstbetrieb. Durch Einsatz von W-LAN Technologie und Einführung der Laptop-Visite ist die optimale Nutzung dieser Daten möglich, nämlich beim Patienten. Ein hochmodernes Zentralarchiv ermöglicht die effektive und effiziente Nutzung des sehr hohen Datenvolumens. Die Möglichkeit der hohen, aber sich rechnenden und zukunftsträchtigen Investition bedarf einer modernen und professionellen Unterstützung.

In NÖ wurden diese Investitionen durch den NÖGUS unter Vorsitz von Hrn. Landesrat Mag. Wolfgang Sobotka ermöglicht. Ein Lehrbeispiel für die integrierte Sicht auf allen Fach- und Managementebenen, wie sie bei Unternehmen heute für den Zukunftserfolg nötig ist.

 

 

 

Multimedia im Klinikum

Im Zuge der Neuerrichtung der WLAN Ausstattung des Projekts „Landesklinikum Weinviertel Mistelbach/Gänserndorf“ wurde vom österreichischen Colubris Partner COMNET, ein durchgängiges WLAN-Netz für den zentral organisierten Röntgendienst und die elektronische Visite installiert. Die Hauptüberlegung dabei war, das Landesklinikum auf das Multimedia-Zeitalter vorzubereiten und eine intelligente Netzinfrastruktur zu installieren, die zu einem nahtlosen internen Informationsfluss und damit zu einer erheblichen Verbesserung des Arbeitsablaufs in kritischen Bereichen des Klinikalltags beiträgt. Von Multimedia-Anwendungen wird das Landesklinikum in Zukunft in doppelter Hinsicht tangiert. Zum einen erwartet die Klinikleitung ein leistungsfähiges Netz, das zu einer Straffung der internen Kommunikation beiträgt, Rationalisierungspotentiale bei der Datenerfassung und -übermittlung freisetzt und dafür sorgt, dass Fehler vermieden werden. Zum andern spielen integrierte Sprach-, Bild- und Datensysteme für Patienten und Besucher während des Klinikaufenthalts eine immer wichtigere Rolle.

 

PACS

Die Radiologische Abteilung des Weinviertel-Klinikums deckt heute sämtliche Belange der bildgebenden Diagnostik (Radiodiagnostik, Sonografie, Mammografie, Angiografie, Computertomografie, Magnetresonanztomografie), sowohl im stationären als auch im ambulanten Bereich ab. Die Einführung einer integrierten EDV-Lösung für die Radiologie und zuweisende Abteilungen (PACS) legte die Grundlage für ein weitgehend filmloses Krankenhaus. Das System erhöht den Patientenkomfort und die Ärzte- und Pflegerzufriedenheit und führt zur Reduktion des Verwaltungs- und Archivaufwandes. Aus diesem Grund stehen im Landesklinikum in Mistelbach heute sämtliche Untersuchungsresultate, wie Messergebnisse oder Röntgenbilder während der Visite, sofort zur Verfügung und die Ärzte können im direkten Gespräch mit dem Patienten die Schritte der Therapie und weitere Termine festlegen. Alle Vereinbarungen werden mit dem Laptop dokumentiert und direkt in den zentral abgelegten, elektronischen Patientenakten gespeichert. „Durch Straffung der internen Kommunikation und Rationalisierung der Datenerfassung und -übermittlung lässt sich Arbeitszeit einsparen, und Fehler können vermieden werden" erklärt Günter Faber, Leiter der EDV Abteilung.

Möglich wurde dies nur auf Basis einer intelligenten WLAN-Infrastruktur. Neben Vorteilen wie hohe Bandbreiten und Zukunftssicherheit verspricht man sich von der WLAN-Einführung auch mehr Flexibilität bei der Netzverwaltung. Das Charakteristikum eines Landesklinikums besteht gerade darin, dass es flexibel auf die Art der Nutzung einer Vielzahl von unterschiedlichen Teilnehmern einzurichten ist. Immer mehr mobile Endgeräte sind serienmäßig mit WLAN-Zugängen ausgestattet. Personal Digital Assistants (PDAs) und besonders Pen-Tablets finden in Verbindung mit dem Klinik-WLAN weite Verbreitung. Mit diesen flexiblen Eingabekomponenten können die gebräuchlichen Formulare und Dokumente eingelesen und auf dem PC ausgefüllt werden. Neue Befunde werden vor Ort in den PC eingegeben und gelangen über das WLAN sofort in das Krankenhausinformationssystem.

Bevor die Möglichkeiten der WLANs ausgeschöpft werden konnten, mussten allerdings noch Probleme mit der Datensicherheit gelöst werden. Der Schutz vertraulicher, persönlicher und medizinischer Daten ist für medizinische Einrichtungen von entscheidender Bedeutung. Daher mussten die Anbieter nachweisen, dass die WLANs den Datenschutzbestimmungen entsprechen und keine Interferenzen mit anderen drahtlosen und medizinischen Systemen entstehen.

WLAN-Stufenkonzept

Bei der Netzplanung musste berücksichtigt werden, dass den unterschiedlichen Nutzern – entsprechend ihrem Status, ihrer Funktion und der genutzten Anwendung - unterschiedliche Bandbreiten bereitzustellen sind. Lastspitzen sorgen in vielen Unternehmensnetzen immer wieder dafür, dass es eng wird, und es kommt durch Überlastungen zu teils erheblichen Datenverlusten. Aber auch andere übertragungstechnische Parameter wie Latency oder Jitter können, wenn sie gewisse Toleranzwerte überschreiten, zu Störungen einzelner Services oder auch der gesamten Kommunikation führen. Auf Grund ihrer Bedeutung für die Übertragungsqualität war das Verlustverhalten für das Landesklinikum das primäre K.o.-Kriterium. Auch ergaben sich beim Aufbau vom WiFi-Netzwerk einige Fragen im Sicherheitsbereich. Die Sicherheitsmechanismen sollten keine Auswirkungen auf die Performance der unterschiedlichen Applikationen haben. Einige Sicherheitsmechanismen, die sich optimal für den Transport von Daten eignen, erzeugen eine wahrnehmbare Verzögerung oder führen bei Sprachverbindungen zu erheblichen Paketverlusten. Dies macht sich besonders bemerkbar beim Roaming der mobilen Telefone zwischen zwei Access Points. Darüber hinaus sollten bei der Konvergenz von Sprache und Daten bei beiden Servicetypen die spezifischen Sicherheitsanforderungen berücksichtigt werden.

Zukünftig muss das Gesamtnetz, den Anforderungen entsprechend, in mehrere Teilbereiche untergliedert werden. Im Gesundheitswesen spielt die Sicherheit sensitiver Daten eine extrem wichtige Rolle. Daher darf aus datenschutzrechtlichen Gründen der Zugriff auf das Ärzte- und das Verwaltungsnetz per WLAN, nur von ausgewählten Teilnehmern erfolgen.

Im Netzwerk des Landesklinikums soll zukünftig noch die Möglichkeit geschaffen werden, den Patienten einen direkten Zugang zum Internet zu ermöglichen. "Wer ins Krankenhaus kommt, gerät in eine fremde Welt. Da ist es von Vorteil, wenn die Patienten den Kontakt zum gewohnten Alltag behalten und wie gewohnt im Internet surfen und eMails schreiben können", meint die Direktion im Landesklinikum in Mistelbach. "Das Wohlbefinden der Patienten spielt im Heilungsprozess eine wesentliche Rolle. Auch entfernte Freunde und Angehörige können via Web elektronische Genesungswünsche übermitteln oder per Chat einen Krankenbesuch abstatten. Und die Patienten fühlen sich im ungewohnten Krankenhausalltag weniger vom Leben abgeschnitten.“

Dieses Konzept, das nach einer eingehenden Analyse der Anforderungen, von der COMNET Computer-Netzwerke-GmbH zusammen mit der IT-Abteilung des Landesklinikums entwickelt wurde, erwies sich unter wirtschaftlichen und technischen Aspekten am sinnvollsten. "Unser Ziel war ein maßvoller und bedarfsgerechter Einsatz der WLAN-Technik in solchen Bereichen in denen dies notwendig ist, damit das Landesklinikum zukünftigen Ansprüchen genügt. ", so Wolfgang Krapesch, Key Account Manager der COMNET.

Produktanforderungen und -auswahlkriterien

Entsprechend der Gesamtkonzeption wurden die Anforderungen an die einzusetzenden Produkte definiert. Für die WLAN-Umgebungen war dies verhältnismäßig einfach möglich, da es sich um "State-of-the-art-Technik" handelt. In den strategischen Bereichen wurden nach eingehender Funknetzplanung 120 Multiservice Access Points (MAPs) installiert. Die MAPs arbeiten nach dem IEEE 802.11 g/b Standard und stellen den Endgeräten eine transparente Anbindung an das Netz des Landesklinikums, sowohl mit 54 MBit/s, als auch mit 11 MBit/s zur Verfügung. Die Unterstützung beider Funkstandards gewährleistet auch eine Rückwärtskompatibilität mit älteren Geräten. Gemischte Anschlüsse sind vor allem im Patientenbereich notwendig, während das Ärzte- und Pflegernetz in reiner 54 MBit/s-Technik realisiert wurde.

Als etwas komplexer erwies sich die Planung der Sicherheitsmechanismen in der WLAN-Umgebung. In der Vergangenheit genügte die Installation eines einfachen Access Points um den Zugang der Benutzer per WLAN zu gewährleisten. Heute kommuniziert eine Vielzahl unterschiedlicher Komponenten, mit den unterschiedlichsten Sicherheitsanforderungen, per WLAN. Um den individuellen Sicherheitsanforderungen gerecht zu werden, wurden im Landesklinikum eine virtuelle Access Point Technologie genutzt. Diese Funktion schafft die Voraussetzung für, an individuelle Sicherheitsanforderungen angepasste, Netzdienste.

Ein virtueller AP stellt eine logische Zugangskomponente innerhalb eines realen Access Points dar und erbringt gegenüber den WLAN Endgeräten die gleichen Dienste und Funktionen wie ein normaler, physikalischer AP. Jeder virtuelle AP verfügt über einen vollständigen 802.11 Media Access Control (MAC) Layer, inklusive dem individuellen Basic Service Set Identifikator (BSSID), dem Service Set Identifikator (SSID) und den notwendigen Sicherheitsfunktionen. Durch die Implementation eines kompletten MAC Protokollstacks in jedem virtuellen AP wird sichergestellt, dass sämtliche IEEE 802.11 Standards eingehalten werden und somit keine Interoperabilitätsprobleme mit anderen Wi-Fi Komponenten entstehen.

Jede MAC Instanz agiert dabei wie ein physikalischer AP und broadcastet (sendet) periodisch eine Beacon Sequenz aus. Der Beacon ist eine Art Leuchtfeuer mit dessen Hilfe die SSID und die wichtigsten Betriebsparametern propagiert werden. Der WLAN-Client sendet eine Anforderungsabfrage (Probe Request), die der Access Point mit einer Anforderungsantwort (Probe Response) quittiert. Sind die gegenseitigen Parameter passend, beginnt der Einbuchungsvorgang des WLAN Clients auf dem Access Point. Durch die unabhängigen MAC Instanzen ist gewährleistet, dass mehrere virtuelle APs die gleiche SSID (für unterschiedliche Dienste) propagieren können. Dieses Verfahren bietet besonders Vorteile für Wireless ISPs, die ihre Nutzer von einer einfachen Authenifizierungsmethode (auch bekannt als “Web Login”), auf eine wesentlich sichere Zugangsmethode (auf Basis von WPA, WPA2) migrieren wollen und dabei ihr Branding auf der bereits bekannten SSID beibehalten wollen.

Der Schlüssel zur Interoperabilität virtueller APs, liegt in der Bereitstellung unabhängiger MAC Protokolle (inklusive universeller BSSIDs pro SSID). Dieses Verfahren wird auch als “Single SSIDs/Beacon, Multiple Beacon, Multiple BSSIDs” Methode bezeichnet und jeder Management Frame enthält nur noch eine SSID. Der Netzzugangspunkt übermittelt somit die individuellen Beacon Frames während des Standard Beacon Intervalls, für jeden konfigurierten, virtuellen AP und propagiert ebenfalls pro virtuellen AP den individuellen BSSID (oder MAC Adresse). Die Zugangskomponente reagiert auf Probe Requests der unterstützten SSIDs (inklusive Broadcast SSIDs) mit einem Probe Response und übermittelt damit die Betriebsparameter des virtuellen APs.

Virtuelle APs sorgen für konsistente Sicherheit

Die virtuellen Access Points garantieren, dass ein Hinzufügen eines WLAN Zugangspunkts in das Kliniknnetz, keine Änderungen der bereits verfügbaren Ethernet Switching Infrastruktur, der Sicherheitsregeln und des Managements zur Folge hat. Die WLAN Architektur von Colubris erweitert die VLAN Infrastruktur durch ein Mapping der virtuellen APs (und der entsprechenden WLAN Nutzern) in die festgelegten VLAN Gruppen, bei gleichzeitiger Einhaltung aller Sicherheitsfunktionen (sowohl im LAN- als auch im WLAN-Bereich).

Die virtuellen Access Points unterstützen alle wesentlichen WLAN-Authentifizierungs- und -Sicherheitsmechanismen. Diese lassen sich unabhängig von einander konfigurieren und dem Datenverkehr der jeweiligen Nutzer zuordnen. Hierzu zählen:

  • VPN: Terminiert VPN Tunnel zwischen dem Access Point und dem Client auf Basis der Protokolle IPSec, L2TP oder PPTP.
  • WPA: 802.1X/EAP Authentifizierung und RC4 Verschlüsselung rotieren gemäß den Festlegungen der Wi-Fi Allianz auf Basis von TKIP die jeweiligen Schlüsselworte.
  • WEP: RC4 Verschlüsselung auf Basis von Shared Keys. Garantiert eine Rückwärtskompatibilität zu nicht WPA-kompatiblen WLAN-Komponenten
  • WPA2/802.11i: Integrierte AES Verschlüsselungs-Hardware garantiert die Unterstützung kommender IEEE 802.11 Sicherheitsstandards.
  • Ungeschützt: Bietet den Internetzugang für Patienten und Besucher. Ein ungeschütztes WLAN (Broadcast der SSIDs) wird nur in Zusammenhang mit zusätzlichen Schutzmaßnahmen (beispielsweise Krankenhausportal) eingesetzt.

Der Netzadministrator kann dadurch auf jedem virtuellen AP die individuellen Sicherheitsmechanismen festlegen und diese entsprechend den VLAN Nutzergruppen zuzuordnen. Die individuelle Authentifizierung der Benutzer erfolgt auf Basis von Tags, welche den Datenverkehr des betreffenden Nutzers einem spezifischen VLAN zuordnet. Auch die Zuordnung der IP Adresse durch DHCP erfolgt anhand der VLAN-Kennung.

Die virtuellen APs sorgen nicht nur für eine individuelle Kontrolle der Benutzer, sondern ermöglichen auch eine Vielzahl unterschiedlicher Zugangsvarianten. Die individuelle Vergabe der VLAN Tags erfolgt anhand der vom Autorisierungsserver (Radius Server) übermittelten, individuellen Benutzerfreigaben. Darüber hinaus unterstützt diese Lösung mobile Benutzer. Die mobilen WLAN Clients sind auch in Bewegung zwischen unterschiedlichen SSIDs immer mit dem gleichen VLAN verbunden.

InCharge Netzwerkmanagementsystem

Gesteuert wird das gesamte WLAN durch das InCharge Netzmanagementsystem, über welches sämtliche Konfigurationsarbeiten an den Access Points, das Performance Monitoring, das Fehlermanagement und das Troubleshooting durchgeführt werden. Bereits bei der Installation erkennt das InCharge NMS automatisch alle neuen Netzelemente im WLAN und ermöglicht dem Administrator diese für die spätere Konfiguration oder das Management in Gruppen zu organisieren. Im Betrieb überwacht InCharge NMS periodisch alle Konfigurationen der Netzelemente und stellt sicher, dass die Policies eingehalten werden. Wird ein falsch konfigurierter Access Point gefunden, wird ein Alarm erzeugt oder die falsch eingestellten Parameter automatisch korrigiert.

Darüber hinaus sammelt und korreliert das InCharge NMS alle wichtigen Performance- und Sicherheitsinformationen und stellt dem Netzadministrator alle, für den Betrieb notwendigen Daten (inklusive der WLAN Clients), zur Verfügung.

Im Februar 2006 wurde das Lösungskonzept der COMNET für das Landesklinikum Weinviertel Mistelbach/Gänserndorf für den Computer Partner Channel Award 2006 nominiert. Die unabhängige Jury bewertete den Lösungsansatz, die gesamtheitliche Optimierung der Prozesse, den hohen Automatisierungsgrad sowie die Zukunfts- und Innovationssicherheit der einzelnen, eingereichten Projekte. Wesentlich war auch, dass das realisierte Projekt maßgeblich die Effizienz und Performance des Kunden gesteigert hat.

Landesklinikum Weinviertel Mistelbach/Gänserndorf

Das Landesklinikum Weinviertel Mistelbach/Gänserndorf, mit dem Schwerpunktkrankenhaus und dem Ausbildungszentrum für Gesundheitsberufe in Mistelbach sowie dem Medizinischen Zentrum in Gänserndorf, erfüllt mit seinen modernen Einrichtungen sämtliche Auflagen der Gesundheitsversorgung.

Das Landesklinikum hat rund 1400 Beschäftigte, 13 Fachabteilungen, 4 Institute und behandelt im Jahr rund 100.000 Patienten ambulant und 30.000 Patienten stationär. Im Sinne von "Vorsorgen, Heilen und Lindern" gewährleistet das Landesklinikum Weinviertel Mistelbach/Gänserndorf die notwendigen Ressourcen zur optimalen Gesundheitsversorgung.

COMNET

COMNET gehört zu den führenden Netzwerkausstattern in Österreich. Seit 1988 plant, realisiert und betreut COMNET sichere und leistungsfähige Netze. COMNET realisiert Netzwerklösungen, mit denen Unternehmen ihr Kerngeschäft stärken, ausbauen, absichern und konkrete Wettbewerbsvorteile erzielen.

COMNET schafft die richtige Infrastruktur, gewährleistet deren Sicherheit, etabliert das passende Management und sorgt für professionellen Service. Das COMNET Portfolio umfasst Lösungen für Netzwerk-Infrastruktur (CONNECT), für Netzwerk-Sicherheit (PROTECT) und für Netzwerk-Management (CONTROL).

Colubris Networks

Die von Colubris entwickelten Lösungen, werden weltweit vertrieben. Zu den Kunden zählen sowohl die bekanntesten Wireless Carrier, als auch führende Großunternehmen und Institutionen aus den Bereichen Schulen, Universitäten, Handel und Logistik und aus dem Gesundheitswesen. Inzwischen sind weltweit mehr als 100.000 Colubris WLAN Zugänge installiert. Die Lösungen von Colubris sind als einzige FAA zertifizierte WLAN Lösung in der internationalen Luftfahrt einsetzbar. Weitere Informationen über das Colubris Multiservice WLAN System erhalten Sie auf unserer Web Site: www.colubris.com