|
18.03.2026 07:07 Uhr |
Während der Digitalisierungsdruck infolge gesetzlicher Vorgaben stetig zunimmt, bleibt die IT-Sicherheit zentraler Softwareprodukte im Gesundheitswesen zurück. Zu diesem Ergebnis gelangt das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach der Auswertung mehrerer in Auftrag gegebener Studien, die darauf abzielten, den etablierten Stand der IT-Sicherheit besser einzuschätzen und konkrete Verbesserungshinweise zu erarbeiten.
Die verpflichtende Anbindung an die Telematikinfrastruktur (TI), jetzt auch für die Pflege und die elektronische Patientenakte, werde die Angriffsfläche weiter vergrößern, so das BSI. Daher plädiert die Behörde für weitergehende Untersuchungen, der Deutsche Pflegerat fordert gesetzliche Regelungen zur Cybersicherheit mit verbindlichen Herstellerstandards. Das BSI verdeutlicht dabei auch anhand der Untersuchungsergebnisse, dass die IT-Sicherheit im Gesundheitswesen kein Nischenthema bleiben soll, sondern als gemeinsame Aufgabe von Herstellern, Betreibern und Regulierern verstanden wird.
In den Projekten SiKIS (Sicherheitseigenschaften von Krankenhausinformationssystemen), SiPra (Sicherheit von Praxisverwaltungssystemen) und DiPS (Studie zur Sicherheit von digitalen Pflegedokumentationssystemen) gab es insgesamt neun Penetrationstests im Auftrag des BSI. Die drei Studien, die vermutlich zwischen 2024 und Anfang 2025 durchgeführt wurden, ergeben zusammen ein umfassendes Bild der IT-Sicherheitslage der zentralen Softwareprodukte im deutschen Gesundheitswesen. Bereits in früheren Untersuchungen wie dem Projekt CyberPraxMed hatte das BSI in Arztpraxen vor Ort teils schwerwiegende Sicherheitsmängel festgestellt, darunter unzureichenden Schutz vor Schadsoftware, mangelndes Patch-Management und fehlende Backups. Die aktuellen Projekte gehen nun einen Schritt weiter und nehmen nicht die Praxen selbst, sondern die dort eingesetzte Software ins Visier.
Laut BSI ziehen sich fehlende Verschlüsselung, veraltete kryptografische Verfahren, unsichere Authentifizierung und architektonische Schwächen wie ein roter Faden durch Praxisverwaltungssysteme (PVS), Krankenhausinformationssysteme (KIS) und digitale Pflegedokumentationssysteme. In mehreren Fällen gelang es den Testern, über eine Verkettung einzelner Schwachstellen Angriffe aus dem Internet zu konstruieren.
Das BSI ließ durch die Firma ERNW Enno Rey Netzwerke GmbH vier nicht namentlich genannte PVS testen. Die Ergebnisse sind ernüchternd: Obwohl die vier Systeme auf unterschiedlichen Technologien basieren, traten in allen vergleichbare Schwachstellenklassen auf. Bei drei der vier getesteten Produkte konnten die Tester dem SiPra-Abschlussbericht (PDF) zufolge durch eine Verkettung einzelner Schwachstellen Angriffsketten konstruieren, die einen Zugriff aus dem Internet ermöglichen – mit unterschiedlicher Kritikalität, aber durchweg besorgniserregend.
Laut Bericht gibt es unter anderem Architektur- und Konzeptprobleme inklusive unsicherer Annahmen zur Vertrauenswürdigkeit des Praxisnetzes anstelle einer Zero-Trust-Absicherung und granulärer Absicherung. Teilweise waren die PVS-Server über Online-Zugänge direkt im Internet erreichbar und die Authentifizierung umgehbar. Ferner fehlte in mehreren PVS die Transportverschlüsselung. Die Kommunikation im lokalen Praxisnetzwerk wurde unverschlüsselt übertragen – einschließlich medizinischer Patientendaten, Passwort-Hashes und Konfigurationsdaten. Zu weiteren Mängeln zählen fehlende Passwortrichtlinien, veraltete kryptografische Verfahren und unsichere Annahmen zur Vertrauenswürdigkeit von zum Beispiel WLAN oder Mitarbeitern anstelle von Zero Trust.
Hersteller argumentieren zwar, dass das Praxisnetzwerk als vertrauenswürdig gelte, doch bereits in früheren BSI-Untersuchungen zeigte sich, dass dies häufig nicht der Realität entspricht. Ungesicherte WLAN-Netze, offene LAN-Ports in Behandlungsräumen oder mit Malware infizierte Praxis-PCs können dazu führen, dass Dritte den Netzwerkverkehr mitlesen. An verschiedenen Stellen – von Patientenakten und Kommunikationssystemen – konnten demnach Dateien angehängt werden, die in mehreren Fällen beim Öffnen direkt mit dem Standardprogramm des Betriebssystems ausgeführt wurden. In manchen Systemen ließ sich zudem der angezeigte Dateiname verschleiern, sodass selbst technisch geschultes Personal eine als Bilddatei getarnte Schadsoftware nicht erkennen konnte.
Die Veröffentlichung der Ergebnisse hat sich verzögert. Auf Nachfrage von heise online erklärte das BSI Ende 2025: „Aus Sicht des BSI haben die Rückmeldungen der Hersteller zur Identifizierbarkeit der Produkte die Veröffentlichung zwar verzögert, die Qualität des Berichts aber weiter gesteigert.“ Im Juni 2025 habe ein BSI-Mitarbeiter bereits einen Vortrag zum Projekt gehalten. Da die getesteten Produkte aus Neutralitätsgründen des BSI nicht namentlich genannt werden, musste sichergestellt werden, dass die anonymisierten Ergebnisse keine Rückschlüsse auf einzelne Hersteller ermöglichen.
Das Projekt zu Sicherheitseigenschaften von Krankenhausinformationssystemen, kurz SiKIS, (PDF) macht auf zahlreiche Mängel aufmerksam. Im Auftrag des BSI testeten das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) und Open Source Security GmbH zwei repräsentative Krankenhausinformationssysteme (KIS). Für die Tests stellten zwei Krankenhäuser Testumgebungen mit anonymisierten Daten bereit. Zu den Mängeln gehörten unter anderem:
Eines der getesteten KIS nutzte zudem einen einzigen Datenbankzugang für alle Nutzer. Angreifer konnten sämtliche Daten lesen und schreiben und neue Administratorkonten erstellen.
SiKIS untersuchte zusätzlich die gängigen medizinischen Datenaustauschformate. Dabei bemängelte das BSI, dass gängige Protokolle wie HL7 v2, das seit Jahren Standard für den Datenaustausch ist, über keinerlei Sicherheitsfeatures verfügt. Auch der DICOM-Standard, das umfassende Sicherheitserweiterungen spezifiziert, werde in Krankenhäusern nahezu ausnahmslos ohne selbige eingesetzt. Forscher haben in der Vergangenheit immer wieder gezeigt, wie sich DICOM-Verbindungen angreifen lassen.
Erstmals neu untersuchte das BSI mit dem Projekt DiPS die Sicherheit von digitalen Pflegedokumentationssystemen (PDF). Das Fraunhofer SIT testete drei weitverbreitete Systeme, die von den Herstellern als On-Premise-Installationen bereitgestellt wurden. Trotz unterschiedlicher Technologien wiesen alle drei Produkte Schwachstellen auf, insgesamt 13 mit hohem oder kritischem Schweregrad. Dazu zählen etwa unsichere Kommunikationskanäle, bei denen Man-In-The-Middle-Angriffe möglich waren, eine schwache Authentifizierung, Installationspakete mit Datenbankpasswörtern, architektonische Schwächen, fehlende Prüfmechanismen bei Update-Prozessen und ein schwaches Schlüsselmanagement.
Die Umfrage unter 52 Pflegediensten zeigte, dass 43 Pflegedienste regelmäßig unterwegs auf das System zugreifen, 16 dabei direkt über das Internet ohne VPN. 25 bestätigten, dass Hersteller oder IT-Dienstleistende einen permanenten Fernzugang zu ihrem Netzwerk haben. Nicht nur in Arztpraxen und Krankenhäusern, auch bei Pflegediensten bemängelten die Experten eine fehlende Transportverschlüsselung, veraltete kryptografische Verfahren, mangelnde Zugriffskontrollen und das Architekturproblem. Fehlende Passwortrichtlinien fanden sich ebenfalls bei PVS und KIS, unsichere Software-Updates bei KIS und Pflegesoftware, fest kodierte Zugangsdaten, insbesondere bei der Pflegesoftware. Das BSI betont allerdings, dass ein Penetrationstest nur das Vorhandensein von Schwachstellen nachweisen kann – nicht deren Abwesenheit. Wenn eine Schwachstellenklasse in einem Projekt nicht auftrat, bedeutet das lediglich, dass sie im begrenzten Testzeitraum nicht identifiziert wurde.