BSI führt Penetrationstests bei Gesundheitssoftware durch – Mängel entdeckt

Aktuelle Studien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zeigen kritische Sicherheitslücken in Arztpraxen, Krankenhäusern und Pflegeeinrichtungen auf.

Untersucht wurden dabei Praxisverwaltungssysteme (PVS), Krankenhausinformationssysteme (KIS) und digitale Pflegedokumentationssysteme durch Penetrationstests. Die Ergebnisse zeigen erhebliche Schwachstellen beim Schutz von Patientendaten.

Welche Risiken bestehen für Patientendaten?

Obwohl Patientendaten nach Art. 9 DSGVO besonders geschützt sind, offenbarten die Tests drastische Sicherheitsmängel. Das größte Risiko stellt die mangelnde Verschlüsselung dar. Angreifende konnten dadurch sensible medizinische Informationen und Passwörter direkt im Netzwerk mitlesen.

Warum weisen die Softwareprodukte solche Mängel auf?

Der Mangel an verbindlichen Sicherheitsanforderungen begründet diese strukturellen Defizite. Der Deutsche Pflegerat fordert daher klare Regeln zur Cybersicherheit. Bislang prüfen Zertifizierungen fast ausschließlich die Interoperabilität oder die funktionalen Anforderungen, keine Sicherheitskriterien. IT-Sicherheit erfordert das gemeinsame Handeln von Herstellern, Regulierenden und Lesenden in der Praxis.

Welche Lösungen fordert die Behörde?

Das BSI veröffentlicht konkrete Handlungsempfehlungen für Hersteller und Betreibende.

Forderungen an die Hersteller

• Strikte Zugriffskontrolle: Implementieren Sie eine lückenlose Authentifizierung und Autorisierung für alle Nutzenden.
• Moderne Verschlüsselung: Nutzen Sie aktuelle TLS-Standards für die Datenübertragung und verschlüsseln Sie Patientendaten auch im ruhenden Zustand (Encryption at Rest).
• Sichere Passwort-Infrastruktur: Setzen Sie starke Passwortrichtlinien durch und verwenden Sie ausschließlich aktuelle Hash-Algorithmen.

Empfehlungen für die Betreibenden

• Konsequente Netzwerksegmentierung: Trennen Sie medizinische Netze von öffentlichen Bereichen wie dem Patienten-WLAN.
• Kontinuierliche Rechteprüfung: Führen Sie regelmäßig Audits aller Nutzerkonten sowie Hersteller-Wartungszugänge durch und löschen Sie veraltete Berechtigungen.
• Transparenz einfordern: Verlangen Sie von Ihren Herstellern aktiv Nachweise über durchgeführte Sicherheitsuntersuchungen und werten Sie diese zur eigenen Risikoeinschätzung aus.

Fazit

Während die Digitalisierung voranschreitet, stagniert die Absicherung der Infrastruktur. Die Handlungsempfehlungen des BSI markieren den notwendigen Wendepunkt. Hersteller und Betreibende tragen nun die Verantwortung für die sofortige Umsetzung dieser Schutzmaßnahmen.