BSI bemängelt IT-Sicherheit von Software-Produkten des Gesundheitswesens

Veröffentlicht am 19. März 2026 von Günter Born

Gesundheit (Pexels, frei verwendbar)Ich hatte hier im Blog ja mehrfach über (nicht vorhandene) Sicherheit von Praxisverwaltungssystemen geschrieben – manches blieb unter der Haube. Wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Pressemitteilung Alarm schlägt und die IT-Sicherheit von Software-Produkten des Gesundheitswesens bemängelt, muss was im Argen liegen.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

Kleiner Rückblick auf PVS-Sicherheitsprobleme

Ich hatte im Sommer 2025 in einer Artikelreihe (Zahnarzt Praxis-Verwaltung-System (PVS): Sicherheitslücken beim CGM Z1 – Teil 1) über Sicherheitslücken beim Zahnarzt-Praxisverwaltungssystem Z1 des Koblenzer Unternehmens CGM berichtet. Seinerzeit besserte CGM schnell nach, nachdem ich den Datenschutzbeauftragten von Rheinland-Pfalz in dieser Cause vorgeschickt hatte.

Das Unternehmen bietet auch Praxisverwaltungssoftware für Ärzte an (Medistar), wo mir aus Leserkreisen berichtet wurde, dass es dort ähnlich (schlecht) laufe. Ich habe es nicht weiter verfolgt. Es gibt weitere Praxisverwaltungsprogramme, wo ich über Schwachstellen Kenntnis hatte (z.B. dass Zugriffsberechtigungen auf Patientendaten in einer Anwendermaske vorgegaukelt werden, die dann auf der Datenbank nicht vorhanden sind). Habe ich – teilweise zum Schutz der Hinweisgeber, denen Anwälte im Nacken saßen – hier nicht im Blog aufgegriffen. Wer sich mit IT-Supportern, die in diesem Bereich tätig sind, unterhält, oder ggf. in internen Diskussionsforen zu PVS-Systemen mitliest, weiß, was ich andeuten will.

Das BSI schlägt Alarm

Für den ganzheitlichen Schutz sensibler Gesundheitsdaten ist die Verwendung sicherer Software-Produkte bspw. im Krankenhaus, in der Arztpraxis oder beim ambulanten Pflegedienst notwendig. Im Auftrag des BSI wurde die IT-Sicherheit von Informations- bzw. Verwaltungssystemen in Arztpraxen sowie ambulanten Pflegeeinrichtungen getestet, welche als zentrale Softwareprodukte verwendet werden. Ziel war es, den etablierten Stand der IT-Sicherheit besser einschätzen zu können und konkrete Verbesserungshinweise zu erarbeiten

Die IT-Sicherheit von Software-Produkten im Gesundheitswesen sei allerdings ausbaufähig, meint das BSI. Aus der Ärzteschaft ist mir die Tage ein Hinweis auf diese Mitteilung des Bundesamt für Sicherheit in der Informationstechnik (BSI) zugegangen (danke dafür).

BSI bemängelt Sicherheit im Gesundheitswesen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellte nach der Testung der Standardkonfiguration unterschiedlicher Software-Produkte im Gesundheitswesen  erhebliche Sicherheitslücken fest. Das BSI veröffentlicht zusammen mit den Testergebnissen begleitende Empfehlungen, die dabei unterstützen sollen, die IT-Sicherheit dieser Produkte künftig zu stärken.

Sicherheit von Praxisverwaltungssystemen (SiPra)

Im Rahmen des Projekts wurden vier exemplarische Praxisverwaltungssysteme (PVS) mittels Penetrationstests untersucht. Die Ergebnisse zeigen, dass trotz unterschiedlicher Technologien, bei drei von vier untersuchten Produkten die Verkettung einzelner Schwachstellen einen Angriff aus dem Internet ermöglicht. Die Schwachstellen waren unter anderem: Keine Verwendung von Verschlüsselungsverfahren bei der Datenübertragung oder auch die Verwendung veralteter und daher unsicherer Verschlüsselungsalgorithmen. Die identifizierten Schwachstellen wurden an die jeweiligen Hersteller kommuniziert und von diesen unverzüglich adressiert und behoben, heißt es.

DiPS – Studie zur Sicherheit von digitalen Pflegedokumentationssystemen

Mit einem vergleichbaren Vorgehen wurde im Auftrag des BSI die IT-Sicherheit von digitalen Pflegedokumentationssystemen betrachtet. Bei der Testung von drei exemplarischen Produkten fielen insbesondere Schwachstellen bei der Kommunikationsverschlüsselung, der Authentifizierung und der Prüfung von Software-Updates auf. Auch architektonische Schwachstellen, die eine sichere und effektive Nutzerautorisierung unmöglich machen, wurden entdeckt und kommuniziert.

Die daraus aufbauenden Empfehlungen adressieren samt einer Checkliste ambulante Pflegedienste, sodass die Empfehlungen dabei helfen, die Systeme sicher betreiben zu können und die IT-Sicherheit insgesamt verbessern zu können. Auftragnehmer des Projekts war das e-Health-Team des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT).

Die begleitend zum Abschlussbericht veröffentlichten Empfehlungen helfen, die Verkettung zu unterbrechen und die Sicherheit von PVS weiter zu stärken. Auftragnehmer des Projekts war die Firma Enno Rey Netzwerke (ERNW), schreibt das BSI. Details lassen sich in den in der Presseerklärung verlinkten Abschlussberichten nachlesen. heise hat das Thema hier aufgegriffen und nennt einige der gröbsten Schnitzer, die mir in ähnlicher Form bei PVS-Systemen vorgekommen sind.

Ähnliche Beiträge:
Zahnarzt Praxis-Verwaltung-System (PVS): Sicherheitslücken beim CGM Z1 – Teil 1
Reaktionen von CGM auf Meldung der Sicherheitslücken beim Z1-PVS – Teil 2
Korrekturen des Z1 PVS durch CGM und aktueller Stand  – Teil 3

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Ein Kommentar zu BSI bemängelt IT-Sicherheit von Software-Produkten des Gesundheitswesens

  1. robbi sagt:
    19. März 2026 um 00:28 Uhr

    Mein Fazit:
    Wenn man ehrlich wäre müsste man das gesamte Machwerk sofort stoppen und zurück zum Papier gehen.
    Also wieder analog….

    Leider ist die Branche eine echte Goldgrube….

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.