Der Schutz sensibler Gesundheitsdaten setzt voraus, dass die eingesetzten Software-Produkte ein angemessenes Maß an IT-Sicherheit gewährleisten. Gerade im Gesundheitswesen sind digitale Systeme regelmäßig zentraler Bestandteil der täglichen Nutzung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt nach der Prüfung verschiedener Software-Produkte im Gesundheitswesen zu dem Ergebnis, dass die IT-Sicherheit ausbaufähig ist.
Untersucht wurden Software-Produkte, die in Arztpraxen und ambulanten Pflegeeinrichtungen eingesetzt werden. Das BSI veröffentlichte hierzu sowohl die Testergebnisse als auch begleitende Empfehlungen, mit denen die IT-Sicherheit der betroffenen Produktgruppen künftig gestärkt werden soll.
Praxisverwaltungssysteme: Angriffe aus dem Internet möglich
Zum Zwecke des Projekts „Sicherheit von Praxisverwaltungssystemen“ (SiPra) wurden vier Praxisverwaltungssysteme untersucht. Praxisverwaltungssysteme nehmen in Arztpraxen eine zentrale Rolle ein, da sie regelmäßig Informations- und Verwaltungsprozesse unterstützen.
Bei drei der vier untersuchten Produkte konnten einzelne Schwachstellen einen Angriff aus dem Internet ermöglichen. Dabei handelte es sich um Produkte mit unterschiedlichen Technologien. Dies verdeutlicht, dass die festgestellten Risiken nicht auf eine einzelne technische Ausgestaltung beschränkt waren.
Zu den identifizierten Schwachstellen gehörten unter anderem fehlende Verschlüsselungsverfahren bei der Datenübertragung sowie der Einsatz veralteter und daher unsicherer Verschlüsselungsalgorithmen. Nach Angaben des BSI wurden die festgestellten Schwachstellen den jeweiligen Herstellern mitgeteilt und von diesen unverzüglich adressiert.
Die begleitenden Empfehlungen sollen dazu beitragen, entsprechende Schwachstellenketten künftig zu unterbrechen und die Sicherheit von Praxisverwaltungssystemen weiter zu erhöhen.
Digitale Pflegedokumentation: Schwächen bei Verschlüsselung und Authentifizierung
Auch digitale Pflegedokumentationssysteme wurden mit einem vergleichbaren Vorgehen betrachtet. Das BSI untersuchte in seiner Studie zur Sicherheit von digitalen Pflegedokumentationssystemen (DiPS) drei Produkte, die in ambulanten Pflegeeinrichtungen eingesetzt werden.
Dabei fielen insbesondere Schwachstellen bei der Kommunikationsverschlüsselung, der Authentifizierung und der Prüfung von Software-Updates auf. Darüber hinaus wurden architektonische Schwachstellen festgestellt, die eine sichere Nutzerautorisierung unmöglich machen können.
Zentrale Bedeutung sicherer Software-Produkte
Die Ergebnisse der Projekte zeigen, dass eine sichere Verarbeitung von Gesundheitsdaten maßgeblich von der Sicherheit der eingesetzten Software-Produkte abhängt. Dies betrifft nicht nur einzelne Anwendungen, sondern zentrale Systeme wie Krankenhausinformationssysteme, Praxisverwaltungssysteme und Pflegedokumentationssysteme.
Das BSI weist darauf hin, dass Nutzerauthentifizierung und Nutzerautorisierung weiterhin Herausforderungen darstellen. Die Ergebnisse aus den Projekten zu Praxisverwaltungssystemen und digitalen Pflegedokumentationssystemen ergänzen die Erkenntnisse aus dem Projekt zur Sicherheit von Krankenhausinformationssystemen. Gleichzeitig benennen sie vergleichbare Schwachstellen in unterschiedlichen Produkten des Gesundheitswesens.
Fazit
Die Feststellungen des BSI machen deutlich, dass IT-Sicherheit im Gesundheitswesen eine Grundvoraussetzung für den vertrauenswürdigen Umgang mit sensiblen Gesundheitsdaten ist .
Für Einrichtungen des Gesundheitswesens verdeutlichen die Feststellungen des BSI einen Prüf- und Handlungsbedarf. Arztpraxen und ambulante Pflegeeinrichtungen sollten die eingesetzten Software-Produkte insbesondere im Hinblick auf Verschlüsselung, Authentifizierung, Software-Updates und Berechtigungskonzepte überprüfen.
Die Ergebnisse zeigen, dass IT-Sicherheit nicht allein Aufgabe der Hersteller ist. Einrichtungen bleiben gehalten, einen sicheren Betrieb der eingesetzten Systeme organisatorisch und technisch abzusichern und die Empfehlungen des BSI in ihre Sicherheitsprozesse einzubeziehen.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
