Ich hatte hier im Blog ja mehrfach über (nicht vorhandene) Sicherheit von Praxisverwaltungssystemen geschrieben – manches blieb unter der Haube. Wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Pressemitteilung Alarm schlägt und die IT-Sicherheit von Software-Produkten des Gesundheitswesens bemängelt, muss was im Argen liegen.
Kleiner Rückblick auf PVS-Sicherheitsprobleme
Ich hatte im Sommer 2025 in einer Artikelreihe (Zahnarzt Praxis-Verwaltung-System (PVS): Sicherheitslücken beim CGM Z1 – Teil 1) über Sicherheitslücken beim Zahnarzt-Praxisverwaltungssystem Z1 des Koblenzer Unternehmens CGM berichtet. Seinerzeit besserte CGM schnell nach, nachdem ich den Datenschutzbeauftragten von Rheinland-Pfalz in dieser Cause vorgeschickt hatte.
Das Unternehmen bietet auch Praxisverwaltungssoftware für Ärzte an (Medistar), wo mir aus Leserkreisen berichtet wurde, dass es dort ähnlich (schlecht) laufe. Ich habe es nicht weiter verfolgt. Es gibt weitere Praxisverwaltungsprogramme, wo ich über Schwachstellen Kenntnis hatte (z.B. dass Zugriffsberechtigungen auf Patientendaten in einer Anwendermaske vorgegaukelt werden, die dann auf der Datenbank nicht vorhanden sind). Habe ich – teilweise zum Schutz der Hinweisgeber, denen Anwälte im Nacken saßen – hier nicht im Blog aufgegriffen. Wer sich mit IT-Supportern, die in diesem Bereich tätig sind, unterhält, oder ggf. in internen Diskussionsforen zu PVS-Systemen mitliest, weiß, was ich andeuten will.
Das BSI schlägt Alarm
Für den ganzheitlichen Schutz sensibler Gesundheitsdaten ist die Verwendung sicherer Software-Produkte bspw. im Krankenhaus, in der Arztpraxis oder beim ambulanten Pflegedienst notwendig. Im Auftrag des BSI wurde die IT-Sicherheit von Informations- bzw. Verwaltungssystemen in Arztpraxen sowie ambulanten Pflegeeinrichtungen getestet, welche als zentrale Softwareprodukte verwendet werden. Ziel war es, den etablierten Stand der IT-Sicherheit besser einschätzen zu können und konkrete Verbesserungshinweise zu erarbeiten
Die IT-Sicherheit von Software-Produkten im Gesundheitswesen sei allerdings ausbaufähig, meint das BSI. Aus der Ärzteschaft ist mir die Tage ein Hinweis auf diese Mitteilung des Bundesamt für Sicherheit in der Informationstechnik (BSI) zugegangen (danke dafür).
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellte nach der Testung der Standardkonfiguration unterschiedlicher Software-Produkte im Gesundheitswesen erhebliche Sicherheitslücken fest. Das BSI veröffentlicht zusammen mit den Testergebnissen begleitende Empfehlungen, die dabei unterstützen sollen, die IT-Sicherheit dieser Produkte künftig zu stärken.
Sicherheit von Praxisverwaltungssystemen (SiPra)
Im Rahmen des Projekts wurden vier exemplarische Praxisverwaltungssysteme (PVS) mittels Penetrationstests untersucht. Die Ergebnisse zeigen, dass trotz unterschiedlicher Technologien, bei drei von vier untersuchten Produkten die Verkettung einzelner Schwachstellen einen Angriff aus dem Internet ermöglicht. Die Schwachstellen waren unter anderem: Keine Verwendung von Verschlüsselungsverfahren bei der Datenübertragung oder auch die Verwendung veralteter und daher unsicherer Verschlüsselungsalgorithmen. Die identifizierten Schwachstellen wurden an die jeweiligen Hersteller kommuniziert und von diesen unverzüglich adressiert und behoben, heißt es.
DiPS – Studie zur Sicherheit von digitalen Pflegedokumentationssystemen
Mit einem vergleichbaren Vorgehen wurde im Auftrag des BSI die IT-Sicherheit von digitalen Pflegedokumentationssystemen betrachtet. Bei der Testung von drei exemplarischen Produkten fielen insbesondere Schwachstellen bei der Kommunikationsverschlüsselung, der Authentifizierung und der Prüfung von Software-Updates auf. Auch architektonische Schwachstellen, die eine sichere und effektive Nutzerautorisierung unmöglich machen, wurden entdeckt und kommuniziert.
Die daraus aufbauenden Empfehlungen adressieren samt einer Checkliste ambulante Pflegedienste, sodass die Empfehlungen dabei helfen, die Systeme sicher betreiben zu können und die IT-Sicherheit insgesamt verbessern zu können. Auftragnehmer des Projekts war das e-Health-Team des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT).
Die begleitend zum Abschlussbericht veröffentlichten Empfehlungen helfen, die Verkettung zu unterbrechen und die Sicherheit von PVS weiter zu stärken. Auftragnehmer des Projekts war die Firma Enno Rey Netzwerke (ERNW), schreibt das BSI. Details lassen sich in den in der Presseerklärung verlinkten Abschlussberichten nachlesen. heise hat das Thema hier aufgegriffen und nennt einige der gröbsten Schnitzer, die mir in ähnlicher Form bei PVS-Systemen vorgekommen sind.
Ähnliche Beiträge:
Zahnarzt Praxis-Verwaltung-System (PVS): Sicherheitslücken beim CGM Z1 – Teil 1
Reaktionen von CGM auf Meldung der Sicherheitslücken beim Z1-PVS – Teil 2
Korrekturen des Z1 PVS durch CGM und aktueller Stand – Teil 3
MVP: 2013 – 2016
Mein Fazit:
Wenn man ehrlich wäre müsste man das gesamte Machwerk sofort stoppen und zurück zum Papier gehen.
Also wieder analog….
Leider ist die Branche eine echte Goldgrube….
Digitale Röntgenbilder vereinfachen die Arbeit sehr. Ebenso gilt das für alle anderen Bereiche; die Patientenverwaltung wird digital durchaus hilfreich unterstützt. Daher ist die Arbeit an der IT-Sicherheit für mich der bessere Weg, wobei auch der Ausfall der Systeme einbezogen werden muss. Daher kann hier und da Papier durchaus als Backup sinnvoll sein.
Es gibt kein richtiges Leben im falschen.
Ich kenne noch die alte Regel.
Wenn etwas nicht zu 99,99 % safe ist kann es eben nicht genutzt werden.
Auch wenn es an anderer Stelle praktisch ist.
Safety 1st.
Was nützt dir eine Transall, die alle Nase lang abstürzt….
Permanent an der "IT-Sicherheit" zu schrauben ist in der Welt der Telematik eine Sisyphosarbeit….es vergeht kein Tag an dem sich nicht neue Lücken auftun, nachdem gerade drei Dutzend Löcher gestopft wurden.
Da es aber um Milliarden der Big Player mit reichlich Vitamin B+ geht und auf der anderen Seite "nur" um die Daten von Millionen popeliger Kassenpatienten, werden die Prioritäten (natütrlich grob rechtswidrig) anders gesetzt, der (gematische) Laden muss laufen, koste es was es wolle……
Bis zum nächsten grosszügigen Datenabfluss…..
"Auftragnehmer des Projekts war die Firma Enno Rey Netzwerke (ERNW), schreibt das BSI."
ERNW hat u.a. die SiSyPHuS-Studie für das BSI verbrochen und dabei ETWAS geschlampt…
Und daher sind die jetzt aufgezeigten Schwachstellen keine Schwachstellen mehr?
Wie kommst Du auf dieses HAUCHDÜNNE Brett?
ENRW hat in den SiSyPHuS-Studien sowohl wohl-bekannte Schwachstellen übersehen als auch (disassemblierten) Code falsch interpretiert, sprich: UMGEKEHRT wird's ein Schuh! Die davon abgeleiteten Handlungs- bzw. Härtungs-Empfehlungen des BSI stopfen (NICHT NUR) diese Schwachstellen NICHT.
Ich verstehe diese Kritik nicht.
Diese Firma hat sich bei einem vorigen Auftrag nicht mit Ruhm bekleckert, also lautet die messerscharfe Schlussfolgerung, wir sollen künftig alle Äußerungen dieser Firma komplett ignorieren? Habe ich das richtig wiedergegeben?
Im Krankenhaus mache ich aktuell die Erfahrung, dass die Datenschutzeinstellungen für die Weitergabe von Patientendaten so unzureichend implementiert sind, dass eine gewünschte Einschränkung der Datenweitergabe (z. B. nur an den Hausarzt) gar nicht möglich ist. Eine vollständige Sperre der Datenweitergabe stellt dann das Verhältnis zwischen Arzt und Patient auf eine harte Probe; beide sind aber gar nicht dafür verantwortlich.
Ein weiteres Problem ergibt sich dadurch, dass oft jede Behandlung getrennt verarbeitet wird und man die Datenschutzeinstellungen erneut vornehmen muss. Einen zentralen Patientenstammsatz gibt es wohl so nicht. Damit ist auch ohne Cyberangriff die ungewollte Datenweitergabe möglich.
Mit diesem Blick wird die Digitalisierung in einem unverantwortlich hohen Tempo vorangetrieben, was nur zu weiteren Fehlern mit unabsehbaren Folgen für die Betroffenen einhergehen kann.
Kann ich nur bestätigen. Egal, welcher Teil des Gesundheitswesens alles ist miteinander verwoben. Gerade bei Krankenhäusern, welche externe Dienstleister für Labor und Apotheke verwenden wird es wichtig. Das ist vielen nicht bewusst, aber gerade diese beiden werden ausgelagert, ua. aus Kostengründen.
Dann ist da wieder die Frage, wie werden die Daten übertragen. HL7 ist bei den meisten Krankenhausinformationssystemen eine Möglichkeit. Die Laborinformationssysteme kommen damit oft zurecht, bei den Hausärzten oder Apotheken sieht es da ehr schlecht aus. Daher gibt es dann Lösungen, wo Funktionalität über Sicherheit steht.
Die Vorgaben seitens der Politik sind halt ehr, es sollte das und das und das beachtet werden, aber nicht viel konkretes. Man will nicht einschränken, nur die Verantwortung liegt komplett bei den ausführenden Einrichtungen
Es ist irre, was bei der Art von Software alles nicht stimmt! Ich könnte da so viele Dinge aufzuzählen. Standardpasswörter in Konfigurationsdateien, veraltete Abhängigkeiten, veraltete und unsichere Datenbanken, keinerlei Verschlüsselung, eine unzählige Zahl an Zusatzsoftware die mit auf den Rechner kommt, veraltete Programmiersprachen usw.