Bundesamt moniert Softwaresicherheit im Gesundheitswesen

Bonn – Das Bundesamt für Sicherheit in der Informationstechnik (BSI) mahnt einen besseren Schutz sensibler Gesundheitsdaten in der Software von Arztpraxen, Krankenhäusern und in der Pflege an. Die IT-Sicherheit von Softwareprodukten im Gesundheitswesen sei „ausbaufähig“, teilte das Amt mit.

„Medizinische Einrichtungen stellen attraktive Ziele für Cyberkriminelle dar“, warnt das Bundesamt. Mit gestohlenen oder verschlüsselten Patientendaten ließen sich unter Umständen hohe Geldbeträge erpressen.

Darüber hinaus resultierten Cyberattacken oft in langen Ausfallzeiten bei medizinischen Behandlungen, abgesagten oder verschobenen Operationen, unzureichender Notfallversorgung, Verlust von Daten und hohen gesundheitlichen sowie finanziellen Schäden.

In Deutschland werden nach Angaben des Bundesamts mehr als 120 Praxisverwaltungssysteme (PVS) vertrieben. Damit das BSI trotz des heterogenen Feldes einen tieferen Einblick in den Stand der IT-Sicherheit von PVS in Deutschland gewinnen konnte, hat das BSI vier Produkte im Rahmen einer exemplarischen Sicherheitsuntersuchung getestet.

„Trotz verschiedener Technologien und Testbedingungen konnten innerhalb der PVS eine Reihe vergleichbarer Schwachstellen festgestellt werden“, berichten die Sicherheitsexperten. Diese Schwachstellen betreffen die Verwendung veralteter kryptografischer Algorithmen sowie eine fehlende Verschlüsselung von übertragenen oder gespeicherten Daten.

Auch die unsichere Verarbeitung von Dateianhängen an unterschiedlichster Stelle war ein wiederkehrender Fund. Durch eine Verkettung mehrerer Schwachstellen sind laut dem BSI grundsätzlich Angriffe aus dem Internet möglich. Die Sicherheitsuntersuchungen zeigten, „dass im Bereich der IT-Sicherheit von PVS Handlungsbedarf besteht“, lautet das Fazit des BSI.

In einer Übersicht fasst das Amt zusammen, welche Schritte für mehr Datensicherheit in PVS notwendig sind. Dazu genügen laut BSI keine Einzelmaßnahmen – nötig ist vielmehr ein abgestimmtes Zusammenspiel von Herstellern, Betreibern und Anwendern gleichermaßen.

Im Kern zielen die BSI-Anforderungen darauf ab, Sicherheitsaspekte bereits bei der Entwicklung und standardmäßig im Betrieb zu verankern („Security by Design“ und „Security by Default“). Dazu gehört zunächst die konsequente Umsetzung effektiver Zugriffskontrollen. Jede Aktion innerhalb des Systems sollte an eine Authentifizierung und Autorisierung gebunden sein, idealerweise über eine mehrschichtige Architektur.

PVS sollten dazu die Verwendung starker Passwörter aktiv erzwingen und damit verhindern, dass leicht erratbare Zugangsdaten den Schutz sensibler Informationen unterlaufen. Ergänzend dazu seien Mechanismen erforderlich, die den Zugriff auf Dateien begrenzten.

Außerdem sei die sichere Speicherung der Daten essenziell. Dazu gehörten eine Verschlüsselung sensibler Informationen im Ruhezustand als auch bei der Speicherung auf Datenträgern, etwa durch Festplattenverschlüsselung.

Unverzichtbar sei außerdem die Verwendung aktueller kryptografischer Verfahren – nicht nur die Speicherorte, sondern auch die Kommunikationswege müssten konsequent durch eine Transportverschlüsselung abgesichert werden, um das Mitlesen oder Manipulieren von Daten zu verhindern, so das BSI.

Ähnlich wie bei den PVS hat das Bundesamt auch die IT-Sicherheit von digitalen Pflegedokumentationssystemen betrachtet. Bei der Testung von drei exemplarischen Produkten fielen insbesondere Schwachstellen bei der Kommunikationsverschlüsselung, der Authentifizierung und der Prüfung von Software-Updates auf. Auch architektonische Schwachstellen, die eine sichere und effektive Nutzerautorisierung unmöglich machten, fielen auf.

hil