Tests zeigen erhebliche Schwachstellen bei Praxis- und Pflegesystemen – Empfehlungen sollen Schutz sensibler Gesundheitsdaten verbessern
Bonn (pm/redk). Die IT-Sicherheit zentraler Software-Produkte im Gesundheitswesen weist nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) teils erhebliche Defizite auf. Tests von Praxisverwaltungssystemen und digitalen Pflegedokumentationssystemen zeigen, dass sensible Gesundheitsdaten unter Umständen nicht ausreichend geschützt sind. Das BSI hat deshalb begleitend zu den Untersuchungsergebnissen konkrete Empfehlungen veröffentlicht, um die Sicherheit in Arztpraxen, ambulanten Pflegeeinrichtungen und vergleichbaren Einrichtungen nachhaltig zu stärken.
Ergebnisse aus aktuellen BSI-Tests
Das Bundesamt für Sicherheit in der Informationstechnik ließ im Rahmen mehrerer Projekte die Standardkonfiguration ausgewählter Software-Produkte im Gesundheitswesen prüfen. Ziel war es, den aktuellen Stand der IT-Sicherheit realistisch einzuschätzen und konkrete Schwachstellen zu identifizieren. Untersucht wurden dabei insbesondere Systeme, die in Arztpraxen und ambulanten Pflegediensten als zentrale Informations- und Verwaltungslösungen eingesetzt werden.
Die aktuellen Projekte knüpfen an frühere Untersuchungen zur Sicherheit von Krankenhausinformationssystemen an. Deren Empfehlungen liegen inzwischen in aktualisierter Fassung vor, nachdem Rückmeldungen aus der Fachöffentlichkeit eingearbeitet wurden.
Praxisverwaltungssysteme: Angriffe aus dem Internet möglich
Im Projekt „Sicherheit von Praxisverwaltungssystemen“ (SiPra) wurden vier exemplarische Praxisverwaltungssysteme mittels Penetrationstests analysiert. Das Ergebnis: Bei drei der vier getesteten Produkte war es möglich, durch die Kombination mehrerer Schwachstellen einen erfolgreichen Angriff aus dem Internet durchzuführen.
Zu den festgestellten Mängeln zählten unter anderem fehlende oder unzureichende Verschlüsselung bei der Datenübertragung sowie der Einsatz veralteter und als unsicher geltender Verschlüsselungsalgorithmen. Die identifizierten Schwachstellen wurden den jeweiligen Herstellern gemeldet und nach Angaben des BSI kurzfristig behoben oder zumindest wirksam entschärft.
Begleitend zum Abschlussbericht veröffentlichte das BSI konkrete Empfehlungen, die darauf abzielen, solche Schwachstellen künftig zu vermeiden und die Sicherheit von Praxisverwaltungssystemen systematisch zu erhöhen. Auftragnehmer des Projekts war das Unternehmen Enno Rey Netzwerke (ERNW).
Pflegedokumentationssysteme mit ähnlichen Defiziten
Auch digitale Pflegedokumentationssysteme standen im Fokus einer eigenen Untersuchung. Im Rahmen der Studie „DiPS“ wurden drei exemplarische Produkte getestet. Dabei zeigten sich insbesondere Schwächen bei der Verschlüsselung der Kommunikation, bei Authentifizierungsverfahren sowie bei der Prüfung und Absicherung von Software-Updates.
Darüber hinaus identifizierten die Tester architektonische Mängel, die eine sichere und nachvollziehbare Nutzerautorisierung erschweren oder unmöglich machen. Diese Schwachstellen wurden ebenfalls an die betroffenen Hersteller kommuniziert.
Die daraus abgeleiteten Empfehlungen richten sich vor allem an Betreiber und Nutzer digitaler Pflegesysteme. Eine ergänzende Checkliste soll ambulanten Pflegediensten dabei helfen, ihre Systeme sicher zu konfigurieren und zu betreiben. Auftragnehmer dieses Projekts war das e-Health-Team des Fraunhofer-Institut für Sichere Informationstechnologie.
Zentrale Herausforderung: Schutz sensibler Gesundheitsdaten
Die Projektergebnisse machen deutlich, dass zentrale Software-Produkte im Gesundheitswesen weiterhin vergleichbare sicherheitsrelevante Schwachstellen aufweisen. Besonders kritisch bleiben laut BSI die Themen Nutzerauthentifizierung und -autorisierung – unabhängig davon, ob es sich um Krankenhausinformationssysteme, Praxissoftware oder Pflegedokumentationssysteme handelt.
Für den ganzheitlichen Schutz sensibler Gesundheitsdaten sei daher nicht nur die technische Weiterentwicklung der Produkte durch die Hersteller erforderlich. Ebenso wichtig sei ein sicherer Betrieb durch die Einrichtungen selbst, etwa durch konsequente Updates, sichere Konfigurationen und geschultes Personal.
Bedeutung für Praxen, Pflege und Patienten
Die veröffentlichten Empfehlungen sollen dazu beitragen, die IT-Sicherheit im Gesundheitswesen insgesamt zu erhöhen und das Risiko von Datenabflüssen oder Manipulationen zu reduzieren. Für Arztpraxen und ambulante Pflegedienste bedeutet dies konkret, bestehende Systeme kritisch zu überprüfen und die Hinweise des BSI umzusetzen.
Angesichts zunehmender Digitalisierung und wachsender Bedrohungen durch Cyberangriffe sieht das BSI weiterhin Handlungsbedarf. Die aktuellen Ergebnisse sollen einen Beitrag leisten, Sicherheitsstandards zu verbessern und das Vertrauen von Patientinnen und Patienten in digitale Gesundheitsanwendungen zu stärken.
Weitere Informationen gibt es auf den Seiten des BSI.
