Betrieb computergestützter Systeme – ein Überblick
Auszug aus dem GMP-BERATER, Kapitel 9.F, Betrieb computergestützter Systeme
5 Min. Lesezeit | von Dr. Dennis Sandkühler
Erschienen im LOGFILE 24/2025
Die rasante Entwicklung der Informationstechnologie hat computergestützte Systeme zu einem zentralen Bestandteil der pharmazeutischen Industrie gemacht. Sie sind unverzichtbar für die Verwaltung sensibler Daten, die Steuerung von Produktionsprozessen und die Gewährleistung der Einhaltung gesetzlicher Vorschriften. Dieser Leitartikel bietet einen Überblick über wichtige Aspekte beim Betrieb computergestützter Systeme.
Welche regulatorischen Anforderungen und IT-Sicherheitsmaßnahmen müssen beim Betrieb computergestützter Systeme in der pharmazeutischen Industrie beachtet werden?
Computersysteme sind entscheidend für moderne pharmazeutische und biotechnologische Produktionsprozesse. Sie verwalten sensible Daten, steuern Abläufe und gewährleisten die Einhaltung von Vorschriften, was sie zugleich zu einer Herausforderung in Sachen Compliance und IT-Sicherheit macht. Der EU-GMP-Leitfaden Anhang 11 setzt klare Anforderungen an computergestützte Systeme, die in regulierten Bereichen eingesetzt werden. Diese reichen von der Validierung der Systeme über die Sicherstellung der Datenintegrität bis hin zu detaillierten Vorgaben für Benutzerverwaltung, Audit Trails und Änderungsmanagement. Ergänzend dazu bietet der ISPE GAMP® 5 2nd Edition ein praxisnahes Rahmenwerk für die Umsetzung dieser Anforderungen. Mit der zunehmenden Digitalisierung wachsen auch die Anforderungen an die IT-Sicherheit. Internationale Standards wie ISO 27001 und die NIST-Richtlinien setzen Maßstäbe für den Schutz vor Cyberangriffen, den kontrollierten Zugang zu Systemen und den sicheren Umgang mit kritischen Daten. Eine kontinuierliche Risikobewertung ist essenziell, um potenzielle Bedrohungen frühzeitig zu erkennen und geeignete Schutzmaßnahmen zu ergreifen.
Welche Maßnahmen sind erforderlich, um computergestützte Systeme erfolgreich in den Betrieb zu überführen und eine stabile Betriebsphase sicherzustellen?
Die Einführung eines neuen Systems oder eines Updates ist nicht mit dem letzten Validierungstest abgeschlossen. Erst die geplante Übergabe in den operativen Betrieb entscheidet über die langfristige Stabilität. Damit dieser Übergang reibungslos verläuft, sind bereits in der Implementierungsphase Maßnahmen zur Betriebsvorbereitung zu treffen. Dazu gehört die detaillierte Dokumentation der Systemkonfiguration, die eine nachvollziehbare Basis für Wartung und zukünftige Änderungen schafft. Zudem sollte eine Hypercare-Phase eingeplant werden, in der das Projektteam die Betriebsorganisation intensiv unterstützt. Frühzeitige Schulungen der Key-User, Administratoren und Support-Teams sichern die notwendige Expertise für den späteren Betrieb. Eine klare Zuweisung von Verantwortlichkeiten in Service Level Agreements (SLA) und Qualitätssicherungsvereinbarungen (QSV) stellt sicher, dass Supportprozesse definiert sind und potenzielle Probleme schnell eskaliert werden können.
Welche speziellen Anforderungen und Prozesse gelten für den Betrieb und die Wartung validierter computergestützter Systeme im Vergleich zu allgemeinen IT-Systemen? Und wie können Datenintegrität, Benutzerverwaltung und Zugriffskontrollen sichergestellt werden, um Compliance- und Sicherheitsanforderungen zu erfüllen?
Der Betrieb validierter Systeme folgt weit strengeren Vorgaben als herkömmliche IT-Systeme. Während in der allgemeinen IT agile Anpassungen und kurzfristige Updates üblich sind, gilt für GMP-relevante Systeme ein striktes Änderungsmanagement. Jede Modifikation muss geplant, dokumentiert, validiert und genehmigt werden, bevor sie umgesetzt werden darf. Neben der technischen Wartung umfasst der Betrieb dieser Systeme auch regulatorische Anforderungen wie die regelmäßige Überprüfung der Benutzerrechte, die Überwachung der Audit Trails und die Sicherstellung, dass das System weiterhin mit den ursprünglichen Spezifikationen übereinstimmt. Besonders Systeme, die direkten Einfluss auf Produktqualität und Patientensicherheit haben, erfordern eine engmaschige Kontrolle. Die Datenintegrität ist die Grundlage eines regelkonformen Betriebs computergestützter Systeme. Änderungen an Daten und Konfigurationen müssen vollständig dokumentiert und nachvollziehbar sein. Audit Trails erfassen diese Änderungen und erlauben eine lückenlose Nachverfolgung. Ein durchdachtes Benutzer- und Zugangsmanagement minimiert Sicherheitsrisiken. Die Vergabe von Zugriffsrechten sollte rollenbasiert erfolgen, sodass jeder Nutzer nur Zugriff auf die für ihn relevanten Funktionen hat. Regelmäßige Überprüfungen der Benutzerrechte verhindern, dass unautorisierte Personen Zugang zu kritischen Systemen haben. Zudem müssen Unternehmen sicherstellen, dass ihre Backup- und Wiederherstellungsmechanismen so konzipiert sind, dass keine Datenverluste auftreten und ein Systemausfall schnell behoben werden kann.
Wie greifen Vorfall-, Problem- und Änderungsmanagement ineinander, um Systemstabilität und Compliance in einer regulierten Umgebung zu gewährleisten? Und welche Strategien sind notwendig, um Systemverfügbarkeit, Datenwiederherstellung und Notfallplanung sicherzustellen?
Der zuverlässige Betrieb computergestützter Systeme erfordert ein eng verzahntes Vorfall-, Problem- und Änderungsmanagement. Das Vorfallmanagement (Incident Management) sorgt für die schnelle Reaktion auf unerwartete Systemstörungen, sodass der Betrieb so schnell wie möglich wiederhergestellt wird. Wenn sich ein Vorfall wiederholt oder schwerwiegender ausfällt, kommt das Problemmanagement ins Spiel: Es identifiziert die Ursache und entwickelt eine langfristige Lösung. Geplante Systemänderungen fallen unter das Änderungsmanagement (Change Control). Hierbei werden Modifikationen bewertet, auf Risiken geprüft und erst nach Genehmigung und Validierung umgesetzt. CAPA-Prozesse (Corrective and Preventive Actions) ergänzen diese Mechanismen, indem sie strukturiert Abweichungen analysieren und präventive Maßnahmen implementieren. Systemverfügbarkeit und Notfallplanung sind kritische Erfolgsfaktoren für den stabilen Betrieb computergestützter Systeme. Eine robuste Backup-Strategie ist essenziell, um den Datenbestand jederzeit wiederherstellen zu können. Zusätzlich müssen Unternehmen Disaster Recovery Pläne (DRP) entwickeln, die beschreiben, wie im Falle eines größeren Systemausfalls eine Wiederherstellung erfolgen kann. In Verbindung mit einem Business Continuity Plan (BCP) werden Maßnahmen definiert, um kritische Geschäftsprozesse auch während einer Störung aufrechtzuerhalten. Ein wichtiger Faktor ist die Definition von Recovery Time Objective (RTO) und Recovery Point Objective (RPO), die festlegen, wie schnell ein System wiederhergestellt werden muss und wie viel Datenverlust tolerierbar ist.
Wie können Patches und Updates in validierten computergestützten Systemen implementiert werden, ohne die Systemvalidierung und Compliance zu gefährden?
Das Patch- und Update-Management stellt eine besondere Herausforderung dar, da jede Veränderung am System eine potenzielle Beeinträchtigung der Validierung darstellen kann. Um Compliance und Sicherheit zu gewährleisten, müssen Updates vorab auf Risiken geprüft, in einer Testumgebung validiert und erst nach einer formellen Genehmigung in das Produktivsystem übernommen werden. Alle Änderungen müssen nachvollziehbar dokumentiert werden, um die Auditfähigkeit zu gewährleisten. Besonders sicherheitsrelevante Patches erfordern eine rasche Implementierung, weshalb Notfallverfahren definiert sein sollten, um schnell reagieren zu können.
Welche unterschiedlichen Schwerpunkte haben die Qualitätssicherung und die IT-Abteilung beim Betrieb computergestützter Systeme, und wie können sie effektiv zusammenarbeiten?
Die Qualitätssicherung und die IT-Abteilung verfolgen unterschiedliche, aber sich ergänzende Ziele. Während die Qualitätssicherung sich auf die Einhaltung regulatorischer Vorgaben, Datenintegrität und Audit-Compliance konzentriert, steht für die IT-Abteilung die technische Verfügbarkeit, Wartung und Sicherheit im Mittelpunkt. Effektive Zusammenarbeit setzt eine klare Kommunikation voraus. Regelmäßige Meetings, gemeinsame Schulungen und eine enge Abstimmung im Änderungs- und Vorfallmanagement helfen dabei, Systemintegrität und Stabilität sicherzustellen.
Folgende Beiträge könnten Sie auch interessieren
