Praxissoftware mit gravierenden Mängeln
Eine Untersuchung des Bundesamts für Sicherheit in der Informationstechnik zeigt Mängel bei Praxisverwaltungssystemen auf. Unsichere Konfigurationen und veraltete Verschlüsse-lung schaffen Sicherheitsrisiken bei Patientendaten.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen des Projekts „Sicherheit von Praxisverwaltungssystemen“ (SiPra) vier exemplarische Praxisverwaltungssysteme mittels Penetrationstests untersucht. Das alarmierende Ergebnis: Bei drei von vier getesteten Produkten, mit denen sensible Gesundheits- und Patientendaten in Arzt- und Psychotherapeutenpraxen verwaltet werden, ermöglichte die Verkettung einzelner Schwachstellen einen Angriff aus dem Internet. Die identifizierten Sicherheitslücken umfassen u. a. unsichere Datenbank-Konfigurationen, fehlende oder veraltete Verschlüsselungsverfahren bei der Datenübertragung sowie ein mangelhaftes Zugriffsmanagement.
Ärztinnen und Ärzte können Sicherheit nicht selbst prüfen
„Wir benötigen Systeme, die über sichere Konfigurationen und Technik verfügen. Dem Schutz der Daten muss unbedingt Rechnung getragen werden“, fordert Nicole Löhr, Vorständin der KV Niedersachsen und Digitalisierungsexpertin. Die Ärzteschaft müsse sich auf die Sicherheit der eingesetzten Systeme verlassen können, ohne diese selbst technisch prüfen zu können. „Es kann nicht sein, dass am Ende die Ärztinnen und Ärzte für Datenlecks geradestehen müssen.“
Das BSI hat die identifizierten Schwachstellen unmittelbar an die jeweiligen Hersteller kommuniziert, die diese unverzüglich adressierten. Parallel dazu veröffentlichte das Bundesamt Empfehlungen, die das Prinzip „Security by Design“ unterstreichen. Sicherheitsaspekte sollen bereits bei der Entwicklung von Software, Hardware oder IT-Systemen von Beginn an eingeplant werden.
Auch Pflegesysteme sind betroffen
In einem weiteren Projekt testete das BSI die IT-Sicherheit von drei digitalen Pflegedokumentationssystemen. Hier traten ähnliche Mängel zutage: Schwachstellen bei der Kommunikationsverschlüsselung, der Authentifizierung und der Prüfung von Software-Updates. Nutzerauthentifizierung und -autorisierung stellen nach wie vor eine zentrale Herausforderung dar, unabhängig davon, ob es sich um Krankenhausinformations-, Praxisverwaltungs- oder Pflegedokumentationssysteme handelt.
Löhr begrüßt die Arbeit des BSI und versteht die Ergebnisse als Wegweiser für Hersteller: „Im Zuge der voranschreitenden Digitalisierung muss IT-Sicherheit standardmäßig mitgedacht werden.“ Sie wünscht sich, dass die Stichprobenprüfung in absehbarer Zeit wiederholt wird, um die Entwicklung weiter beobachten zu können.