In einem Projekt untersucht wurden demnach unter anderem vier exemplarische Praxisverwaltungssysteme (PVS), aber auch Systeme aus dem Bereich der ambulanten Pflegeeinrichtungen. Dabei habe sich gezeigt, dass bei drei Produkten eine Verkettung einzelner Schwachstellen einen Angriff aus dem Internet ermögliche.

Konkret sei es etwa um veraltete und daher unsichere Algorithmen zur Verschlüsselung von Daten gegangen. Über die Schwachstellen seien die Hersteller informiert worden, die sie auch unverzüglich adressiert hätten.

Penetrationstests zeigten Schwachstellen

Bei den PVS habe man Penetrationstests vorgenommen. „Die Ergebnisse zeigen, dass trotz unterschiedlicher Technologien, bei drei von vier untersuchten Produkten die Verkettung einzelner Schwachstellen einen Angriff aus dem Internet ermöglicht. Die Schwachstellen waren unter anderem: Keine Verwendung von Verschlüsselungsverfahren bei der Datenübertragung oder auch die Verwendung veralteter und daher unsicherer Verschlüsselungsalgorithmen“, heißt es vom BSI.

Ähnlich wurde die IT-Sicherheit von digitalen Pflegedokumentationssystemen auf den Prüfstand gestellt. „Bei der Testung von drei exemplarischen Produkten fielen insbesondere Schwachstellen bei der Kommunikationsverschlüsselung, der Authentifizierung und der Prüfung von Software-Updates auf. Auch architektonische Schwachstellen, die eine sichere und effektive Nutzerautorisierung unmöglich machen, wurden entdeckt und kommuniziert.“

Das Fazit: „Für die sichere Verwendung von Gesundheitsdaten bedarf es einer hohen Sicherheit bei den verschiedenen zentralen Softwareprodukten. Sei es das Krankenhausinformationssystem, das Praxisverwaltungssystem oder das Pflegedokumentationssystem – Nutzerauthentifizierung und -autorisierung stellen weiterhin eine Herausforderung dar“, so das BSI.