Praxisverwaltungssysteme, digitale Pflegedokumentation und weitere zentrale Software-Produkte im Gesundheitswesen haben teils erhebliche Mängel bei der IT-Sicherheit. Darauf weist jetzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) hin. Neue Tests zeigen Schwachstellen bei Verschlüsselung, Authentifizierung und Update-Prüfungen.
Die IT-Sicherheit von Software-Produkten im Gesundheitswesen bleibt nach Einschätzung des BSI deutlich verbesserungsbedürftig. Wie die Behörde mitteilt, zeigen aktuelle Untersuchungen der Standardkonfigurationen verschiedener Informations- und Verwaltungssysteme, dass sensible Gesundheitsdaten in Arztpraxen, ambulanten Pflegeeinrichtungen und weiteren Versorgungsbereichen nicht überall ausreichend geschützt sind.
Für den ganzheitlichen Schutz sensibler Gesundheitsdaten sei der Einsatz sicherer Software-Lösungen eine grundlegende Voraussetzung, beispielsweise im Krankenhaus, in der Arztpraxis oder im ambulanten Pflegedienst. Gemeinsam mit den Testergebnissen veröffentlicht das BSI deshalb konkrete Empfehlungen, die Herstellern, Betreibern und Anwendern helfen sollen, die Cybersicherheit im Gesundheitswesen nachhaltig zu stärken.
Praxisverwaltungssysteme: Angriff aus dem Internet möglich
Im Projekt „Sicherheit von Praxisverwaltungssystemen“ (SiPra) wurde die IT-Sicherheit von vier exemplarischen Praxisverwaltungssystemen (PVS) mithilfe von Penetrationstests untersucht. Das Ergebnis: Bei drei der vier getesteten Produkte war es möglich, durch die Verkettung einzelner Schwachstellen einen Angriff aus dem Internet zu ermöglichen.
Zu den identifizierten Problemen zählten unter anderem fehlende Verschlüsselung bei der Datenübertragung sowie der Einsatz veralteter und damit unsicherer Verschlüsselungsalgorithmen. Nach Angaben des BSI wurden die Schwachstellen den betroffenen Herstellern gemeldet und von diesen kurzfristig adressiert und mitigiert.
Die begleitend veröffentlichten Empfehlungen sollen dazu beitragen, solche Angriffsketten künftig zu unterbrechen und die Sicherheit von Praxissoftware im Gesundheitswesen gezielt zu verbessern. Auftragnehmer des Projekts war Enno Rey Netzwerke (ERNW).
Digitale Pflegedokumentation mit Schwächen bei Verschlüsselung und Autorisierung
Auch bei digitalen Pflegedokumentationssystemen sieht das BSI Handlungsbedarf. Im Rahmen der DiPS-Studie wurden drei exemplarische Produkte untersucht. Dabei zeigten sich insbesondere Schwachstellen in den Bereichen Kommunikationsverschlüsselung, Authentifizierung und Prüfung von Software-Updates.
Darüber hinaus entdeckten die Tester architektonische Mängel, die eine sichere und wirksame Nutzerautorisierung erschweren oder sogar unmöglich machen können. Die daraus abgeleiteten Empfehlungen richten sich vor allem an ambulante Pflegedienste und werden durch eine Checkliste ergänzt, die den sicheren Betrieb der Systeme unterstützen soll. Durchgeführt wurde das Projekt vom E-Health-Team des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT).
BSI sieht strukturelle Probleme bei Gesundheits-IT
Die beiden Projekte knüpfen unmittelbar an das bereits bekannte Vorhaben zur Sicherheit von Krankenhausinformationssystemen an. Dessen Empfehlungen liegen nun – nach Kommentaren aus der Öffentlichkeit – in einer aktualisierten Version vor.
Aus Sicht des BSI zeigt sich damit ein wiederkehrendes Muster: Ob Krankenhausinformationssystem, Praxisverwaltungssystem oder Pflegedokumentationssystem: Zentrale Software-Produkte im Gesundheitswesen haben vergleichbare Schwachstellen. Besonders die Themen Nutzerauthentifizierung und Nutzerautorisierung bleiben demnach eine zentrale Herausforderung für die IT-Sicherheit im Gesundheitswesen.
Die Ergebnisse aus SiPra, DiPS und SiKIS machen deutlich, dass sichere digitale Gesundheitsversorgung nur mit robust abgesicherten Software-Produkten möglich ist. Während sich die Empfehlungen aus SiPra vor allem an Hersteller richten, adressieren die Hinweise aus DiPS insbesondere Betreiber und Anwender. Ziel ist es, Schwachstellen schneller zu beheben und die sichere Nutzung digitaler Systeme im Gesundheitswesen insgesamt zu verbessern.
