Was bringt der EU-GMP-Annex 11 im Hinblick auf die IT-Sicherheit?
  • Unübersehbar nehmen die Sicherheitsaspekte einen großen Raum ein. Dies ist beachtenswert, ebenso wie die Forderung an die Qualifizierung der IT-Infrastruktur.
  • Die Neufassung des Annex 11 beschreibt die Anforderungen an computergestützte Systeme ganzheitlicher und detaillierter als bisher, trotzdem ist das Gerüst der Vorgaben nicht so starr, das es keinen Platz für unternehmensspezifische Interpretationen und individuelle Umsetzungsstrategien ließe.
  • Jedoch sind Ansätze und Vorgehensweisen die auf dem aktuellen Stand der Technik basieren, mittlerweile durch diese Leitlinie bindend.
  • Für Unternehmen bedeutet der konsequente Einsatz des Risikomanagements, dass hierdurch eine effizientere und damit kostengünstigere Umsetzung der Validierungsaktivitäten unterstützt wird.
  • Betrachtet man insgesamt die Änderungen hinsichtlich des Einsatzes der IT, so kann es als Trend bezeichnet werden, dass die Aspekte computergestützter Systeme durchgängig in der EU-GMP-Richtlinie zunehmen; bezeichnend ist die parallele Überarbeitung des Kapitels 4 (Dokumentation) im Part I als Folge der Novellierung des Annex 11.

Obwohl die inhaltlichen Grundzüge des EU-GMP-Annex 11 heute noch in vielen Bereichen der IT anwendbar sind, fiel es sowohl Inspektoren als auch den Verantwortlichen in Unternehmen zunehmend schwer, die im Einsatz befindlichen technischen Neuerungen mithilfe dieses Regelwerks zu bewerten. Wenig erstaunlich im Prinzip, hat diese – Anfang der achtziger Jahre verfasste – „Ergänzende Leitlinie für computergestützte Systeme“ doch seitdem nicht viele Änderungen erfahren. Ganz im Gegensatz zur Informationstechnologie – hier hat es in der jüngsten Vergangenheit enorme Neuerungen und Fortschritte gegeben.

IT in der Produktion – notwendiger denn je
Um in einem globalen Markt wettbewerbsfähig bleiben zu können, bedarf es nicht mehr nur einer hohen Innovationsfähigkeit; ebenso relevant im Sinne der Profitabilität ist eine Steigerung der Effizienz durch schlanke Geschäftsprozesse und Produktionsabläufe. Beides wird heutzutage in hohem Maße durch den Einsatz von IT bewerkstelligt. Auf der einen Seite eröffnet somit die Technologie hervorragende Möglichkeiten zur Optimierung, auf der anderen Seite entstehen neue Bedrohungen als Kehrseite der Fortschrittsmedaille. Denn durch den Einsatz modernster IT-Systeme in der Produktion ist diese heute anfälliger denn je gegen illegale An- und Übergriffe. Wirtschaftsspionage und -kriminalität mittels Viren und Trojanern sind keine bloße Fiktion mehr. Folglich sind die aus diesen Angriffsszenarien resultierenden Auswirkungen vielfältig – machbar wird so das Ausspionieren von Forschungsdaten, aber auch die Manipulation der Daten für die Herstellung von Rezepturen oder das Verursachen eines Stillstands der Produktionsbänder.

Ein erster Blick auf die Neuerungen
Auf die Frage nach profilierten Änderungen im Annex 11 treten – unter anderem – zwei Merkmale hervor. Zum einen ist es der vergrößerte Umfang des Leitfadens: Hier sind nun insgesamt 17 Unterkapitel entlang eines typischen Software-(Projekt)-Lebenszyklus angeordnet. Inhaltlich folgt nach einer Erläuterung der allgemeinen Aspekte die Projektphase, die nur aus dem Kapitel „Validierung“ besteht, sowie die operative Phase mit anschließendem Glossar. Zum anderen ist es bedeutsam, dass direkt in der Einleitung die Zielsetzung definiert wird: Die EDV-Anwendung muss validiert und die IT-Infrastruktur qualifiziert werden.
Demgemäß betont das erste Kapitel „Risikomanagement“ die Notwendigkeit einer umfassenden Risikobetrachtung, stets im Hinblick auf Produktqualität und -sicherheit sowie Datensicherheit und -integrität. Diese Sichtweise entspricht den bereits bekannten drei Hauptzielen aus dem ISPE GAMP 5: Gewährleisten der Patientensicherheit sowie Sicherstellen von Produktqualität und Datenintegrität. Dies bedeutet für den Betreiber, dass er Umfang und Tiefe seiner Validierungsaktivitäten im Hinblick auf die eigene dokumentierte Risikoeinschätzung nicht nur begründen sondern auch verteidigen muss. Hinsichtlich der geforderten Validierung ist allgemein als Trend erkennbar, dass ein umfassendes Risikomanagement als geeignete Maßnahme betrachtet wird, um den Aufwand und somit letztendlich die Kosten in vertretbaren Grenzen zu halten, ohne dass dies mit Abstrichen am eigentlichen Ziel – dem Nachweis der „fitness for intended use“ – verbunden ist.
Kapitel 2 „Personal“ zeigt beispielhaft, dass einerseits eindeutige Anforderungen vorgegeben sind, andererseits den Unternehmen eine Gestaltungsfreiheit bei der Umsetzung zugebilligt wird. So findet zwar der Hinweis auf die Notwendigkeit von klar definierten Rollen und Verantwortlichkeiten statt, allerdings ohne detaillierte Anleitung dahingehend, welche Aufgaben konkret den Process Ownern, System Ownern und Qualified Persons zufallen. Wichtig ist, dass die Ausführungen dabei jedoch nicht nur die internen Abläufe regeln, sondern auch die externen einbeziehen – so wird für die Zusammenarbeit mit Lieferanten und (Entwicklungs-)Dienstleistern vorgeschrieben, dass hier alle Aufgaben und Verantwortlichkeiten explizit festgelegt sein müssen. Eine grundsätzliche Notwendigkeit zur Durchführung von Audits ist nicht gefordert; hier obliegt den Unternehmen, dies im Rahmen einer individuellen Risikobetrachtung zu evaluieren.

Sicherheit steht im Mittelpunkt
Vor dem Einsatz im laufenden Betrieb müssen in der Projektphase alle GMP-kritischen Systeme validiert werden. Im Gegensatz zum bisherigen Leitfaden wird in der neuen Fassung das Thema Validierung weitaus umfassender und spezifischer behandelt. So ist bereits bei der Entwicklung der gewählten Validierungsstrategie darauf zu achten, dass alle relevanten Schritte im Lebenszyklus nicht nur abgedeckt sondern auch unter Berücksichtigung möglicher Risiken begründet sind. Wiederum wird deutlich, dass dem Thema Sicherheit hier ein hoher Stellenwert zukommt.
Dies bezieht sich zum einen auf die Infrastruktur im Allgemeinen. Als Ausgangspunkt hat dazu die Inventarisierung aller computergestützten Systeme zu erfolgen – und speziell für kritische Systeme gilt es zudem, sowohl eine detaillierte Beschreibung der physischen und logischen Architektur als auch eine zum Datenaustausch mit anderen Systemen vorzuweisen. Die differenzierten Vorgaben reflektieren dabei jedoch nicht nur auf die unternehmensinternen Systeme, sondern ebenfalls auf die Leistungen externer Dienstleister. So ist zum einen darauf zu achten, dass der Softwarehersteller die Anwendung „gemäß eines geeigneten Qualitätsmanagements entwickelt“ als auch, dass für konfigurierte Software und Individualentwicklungen Qualitäts- und Leistungsanforderungen über den gesamten Lebenszyklus der Software sichergestellt sind.
Zum anderen muss gleichwohl die Datenintegrität gewährleistet werden. Vor dem Hintergrund, dass im Projekt – unter Umständen – eine Datenmigration durchgeführt wird, ist im Rahmen der Validierung sicherzustellen, dass keine Wert- oder Bedeutungsveränderung der Daten stattfinden kann. Da im laufenden Produktionsbetrieb – wie bereits erwähnt – die Daten- und Systemintegrität beim Einsatz von IT-Systemen einen Risikofaktor für die Produktqualität darstellen kann, sind hier weitreichende (Kontroll-)Maßnahmen zu erbringen. Diese betreffen sowohl Daten, Systeme und Netzwerke als auch alle Personen, die in diesem Prozess mitwirken.
In der Praxis werden oftmals kritische Informationen – etwa Labormessdaten – durch manuelle oder automatische Eingabe übertragen. Um an dieser Stelle das Risiko bezüglich Übertragungsfehlern möglichst zu minimieren, müssen diese vor dem Weiterverarbeiten alternativ durch eine „Vier-Augen-Kontrolle“ oder eine Eingabevalidierung überprüft werden. Zusätzlich bedarf es einer Maßnahmenplanung und -überprüfung inklusive Dokumentation hinsichtlich möglicher Auswirkungen von fehlerhaften Dateneingaben.

Datenspeicher gegen äußere
Einwirkungen schützen

Dem Fakt, dass Unternehmen mittlerweile zunehmend mehr auf eine funktionierende IT angewiesen sind und die Systeme zudem eine ideale Angriffsfläche auch für kriminelle Machenschaften bieten, wird Rechnung getragen. Zum Beispiel durch die Vorgabe, dass Datenspeicher gegen äußere Einwirkungen zu schützen und der korrekte Datenzugriff sowie die Datenintegrität über die Speicherzeit gewährleistet werden müssen. Im Sinne des Risikomanagements gilt es darüberhinaus funktionierende Verfahren hinsichtlich Backup und Recovery vorzuweisen – beides notwendige Faktoren, um – im Falle eines Systemabsturzes einen schnellen Wiederanlauf der Systeme durchführen zu können.
Ein weiterer Schutz der Systeme erfolgt über physische und logische Zugriffskontrollen. Die notwendigen Restriktionen sind dabei jeweils abhängig von der Kritikalität der Daten. So ist es beispielsweise empfehlenswert, den Zugriff auf Daten in der F&E-Abteilung auf spezifische Personen zu beschränken. Vorgeschrieben ist jedoch, dass zukünftig die Historie der Zugangsberechtigungen sowie jegliche Änderungen von Daten und Dokumenten mit Zeitstempel aufgezeichnet werden.
Aber auch laufende Änderungen am computergestützten System bergen ein nicht zu unterschätzendes Risiko. Aus diesem Grund unterliegen diese Vorgänge dem Change Control- und Konfigurationsmanagement und dürfen nur gemäß einer definierten Prozedur vorgenommen werden. Periodische Überprüfungen, unter anderem hinsichtlich des Funktionsumfangs, Abweichungen, Änderungshistorie, Leistung und Zuverlässigkeit, dienen dazu, den validierten Zustand zu erhalten.

 

 

Autor:

Dr. Thomas Karlewski, Managing Consultant Chemgineering;

Wolfgang Straßer, Geschäftsführer @-yet

 

Sie möchten gerne weiterlesen?

Unternehmen

@-yet GmbH

Schloß Eicherhof
42799 Leichlingen
Germany