IT-Sicherheit in Arztpraxen und Pflegeeinrichtungen: Empfehlungen des BSI
Für den umfassenden Schutz sensibler Gesundheitsdaten ist der Einsatz sicherer Softwarelösungen in Krankenhäusern, Arztpraxen oder bei ambulanten Pflegediensten unerlässlich. Die IT-Sicherheit entsprechender Produkte weist jedoch noch Verbesserungsbedarf auf. Dies stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach Tests der Standardkonfiguration verschiedener Softwareprodukte im Gesundheitswesen fest. Begleitend zu den Testergebnissen veröffentlicht das BSI Empfehlungen, die dabei helfen sollen, die IT-Sicherheit dieser Produkte künftig zu erhöhen.
Im Auftrag des BSI wurden Informations- und Verwaltungssysteme in Arztpraxen sowie ambulanten Pflegeeinrichtungen untersucht, die als zentrale Softwareprodukte eingesetzt werden. Ziel war es, den aktuellen Stand der IT-Sicherheit zu beurteilen und konkrete Verbesserungshinweise zu formulieren. Die Projekte bauen auf dem Projekt „Sicherheit von Krankenhausinformationssystemen“ auf, dessen Empfehlungen nach Kommentierung durch die Öffentlichkeit nun in der aktuellen Version veröffentlicht sind.
Sicherheit von Praxisverwaltungssystemen (SiPra)
Vier exemplarische Praxisverwaltungssysteme (PVS) wurden mittels Penetrationstests geprüft. Die Ergebnisse zeigen, dass bei drei von vier Produkten die Verkettung einzelner Schwachstellen einen Angriff aus dem Internet ermöglichen kann. Dazu zählen unter anderem fehlende Verschlüsselung bei der Datenübertragung oder der Einsatz veralteter und unsicherer Verschlüsselungsalgorithmen. Die identifizierten Schwachstellen wurden den Herstellern gemeldet und unverzüglich behoben. Die veröffentlichten Empfehlungen helfen, die Verkettung zu unterbrechen und die Sicherheit von PVS zu erhöhen. Auftragnehmer war die Firma Enno Rey Netzwerke (ERNW).
DiPS – Studie zur Sicherheit von digitalen Pflegedokumentationssystemen
Mit einem ähnlichen Ansatz wurde die IT-Sicherheit digitaler Pflegedokumentationssysteme untersucht. Bei drei getesteten Produkten traten insbesondere Schwachstellen bei Kommunikationsverschlüsselung, Authentifizierung und der Prüfung von Software-Updates auf. Auch architektonische Mängel, die eine sichere Nutzerautorisierung verhindern, wurden entdeckt und den Anbietern kommuniziert. Die daraus abgeleiteten Empfehlungen richten sich an ambulante Pflegedienste und sollen helfen, die Systeme sicher zu betreiben und die IT-Sicherheit insgesamt zu erhöhen. Auftragnehmer war das e-Health-Team des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT).
Beide Projekte verdeutlichen: Für den sicheren Umgang mit Gesundheitsdaten ist eine hohe Sicherheit zentraler Softwareprodukte erforderlich. Ob Krankenhausinformationssystem, Praxisverwaltungssystem oder Pflegedokumentationssystem – Authentifizierung und Autorisierung der Nutzer bleiben eine Herausforderung.
Die Ergebnisse von SiPra und DiPS ergänzen die Erkenntnisse aus SiKIS und zeigen vergleichbare Schwachstellen in unterschiedlichen Produkten des Gesundheitswesens. Während sich die Empfehlungen von SiPra primär an Hersteller richten, adressieren die Empfehlungen von DiPS vor allem Betreiber und Nutzer. So tragen sie dazu bei, Schwachstellen zu beheben und den sicheren Einsatz der Systeme zu gewährleisten.
Die Empfehlungen können bis zum 17. Juni 2026 kommentiert werden.
Darüber hinaus ist das BSI in diesem Jahr auf der DMEA in Halle 2.2, Stand C-106 vertreten. Dort stehen Expertinnen und Experten für Rückfragen zu diesen Projekten und weiteren BSI-Aktivitäten im Gesundheitswesen zur Verfügung.
Weiteres zu SiPra:
- Abschlussbericht zum Projekt Sicherheit von Praxisverwaltungssystemen (SiPra)
- Empfehlungen zur Steigerung der IT-Sicherheit von Praxisverwaltungssystemen (zur Kommentierung bis 17. Juni 2026)
Weiteres zu DiPS:
- Abschlussbericht zum Projekt Studie zur Sicherheit von digitalen Pflegedokumentationssystemen (DiPS)
- Handlungsempfehlungen zur Verbesserung der IT-Sicherheit in ambulanten Pflegediensten (zur Kommentierung bis 17. Juni 2026)
Weiteres zu SiKIS:
