![\"Gesundheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Gesundheit-klein.jpg\" "\\"Gesundheit\\"")
Ich hatte hier im Blog ja mehrfach \u00fcber (nicht vorhandene) Sicherheit von Praxisverwaltungssystemen geschrieben – manches blieb unter der Haube. Wenn das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) in einer Pressemitteilung Alarm schl\u00e4gt und die IT-Sicherheit von Software-Produkten des Gesundheitswesens bem\u00e4ngelt, muss was im Argen liegen.<\/p>\n
<\/p>\n
Das Unternehmen bietet auch Praxisverwaltungssoftware f\u00fcr \u00c4rzte an (Medistar), wo mir aus Leserkreisen berichtet wurde, dass es dort \u00e4hnlich (schlecht) laufe. Ich habe es nicht weiter verfolgt. Es gibt weitere Praxisverwaltungsprogramme, wo ich \u00fcber Schwachstellen Kenntnis hatte (z.B. dass Zugriffsberechtigungen auf Patientendaten in einer Anwendermaske vorgegaukelt werden, die dann auf der Datenbank nicht vorhanden sind). Habe ich – teilweise zum Schutz der Hinweisgeber, denen Anw\u00e4lte im Nacken sa\u00dfen – hier nicht im Blog aufgegriffen. Wer sich mit IT-Supportern, die in diesem Bereich t\u00e4tig sind, unterh\u00e4lt, oder ggf. in internen Diskussionsforen zu PVS-Systemen mitliest, wei\u00df, was ich andeuten will.<\/p>\n F\u00fcr den ganzheitlichen Schutz sensibler Gesundheitsdaten ist die Verwendung sicherer Software-Produkte bspw. im Krankenhaus, in der Arztpraxis oder beim ambulanten Pflegedienst notwendig.\u00a0Im Auftrag des BSI wurde die IT-Sicherheit von Informations- bzw. Verwaltungssystemen in Arztpraxen sowie ambulanten Pflegeeinrichtungen getestet, welche als zentrale Softwareprodukte verwendet werden. Ziel war es, den etablierten Stand der IT-Sicherheit besser einsch\u00e4tzen zu k\u00f6nnen und konkrete Verbesserungshinweise zu erarbeiten<\/p>\n Die IT-Sicherheit von Software-Produkten im Gesundheitswesen sei allerdings ausbauf\u00e4hig, meint das BSI.\u00a0Aus der \u00c4rzteschaft ist mir die Tage ein Hinweis auf diese Mitteilung<\/a> des Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) zugegangen (danke daf\u00fcr).<\/p>\n Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) stellte nach der Testung der Standardkonfiguration unterschiedlicher Software-Produkte im Gesundheitswesen\u00a0 erhebliche Sicherheitsl\u00fccken fest. Das BSI ver\u00f6ffentlicht zusammen mit den Testergebnissen begleitende Empfehlungen, die dabei unterst\u00fctzen sollen, die IT-Sicherheit dieser Produkte k\u00fcnftig zu st\u00e4rken.<\/p>\n Im Rahmen des Projekts wurden vier exemplarische Praxisverwaltungssysteme (PVS) mittels Penetrationstests untersucht. Die Ergebnisse zeigen, dass trotz unterschiedlicher Technologien, bei drei von vier untersuchten Produkten die Verkettung einzelner Schwachstellen einen Angriff aus dem Internet erm\u00f6glicht. Die Schwachstellen waren unter anderem: Keine Verwendung von Verschl\u00fcsselungsverfahren bei der Daten\u00fcbertragung oder auch die Verwendung veralteter und daher unsicherer Verschl\u00fcsselungsalgorithmen. Die identifizierten Schwachstellen wurden an die jeweiligen Hersteller kommuniziert und von diesen unverz\u00fcglich adressiert und behoben, hei\u00dft es.<\/p>\n Mit einem vergleichbaren Vorgehen wurde im Auftrag des BSI die IT-Sicherheit von digitalen Pflegedokumentationssystemen betrachtet. Bei der Testung von drei exemplarischen Produkten fielen insbesondere Schwachstellen bei der Kommunikationsverschl\u00fcsselung, der Authentifizierung und der Pr\u00fcfung von Software-Updates auf. Auch architektonische Schwachstellen, die eine sichere und effektive Nutzerautorisierung unm\u00f6glich machen, wurden entdeckt und kommuniziert.<\/p>\n Die daraus aufbauenden Empfehlungen adressieren samt einer Checkliste ambulante Pflegedienste, sodass die Empfehlungen dabei helfen, die Systeme sicher betreiben zu k\u00f6nnen und die IT-Sicherheit insgesamt verbessern zu k\u00f6nnen. Auftragnehmer des Projekts war das e-Health-Team des Fraunhofer-Instituts f\u00fcr Sichere Informationstechnologie (SIT).<\/p>\n Die begleitend zum Abschlussbericht ver\u00f6ffentlichten Empfehlungen helfen, die Verkettung zu unterbrechen und die Sicherheit von PVS weiter zu st\u00e4rken. Auftragnehmer des Projekts war die Firma Enno Rey Netzwerke (ERNW), schreibt das BSI. Details lassen sich in den in der Presseerkl\u00e4rung<\/a> verlinkten Abschlussberichten nachlesen. heise hat das Thema hier<\/a> aufgegriffen und nennt einige der gr\u00f6bsten Schnitzer, die mir in \u00e4hnlicher Form bei PVS-Systemen vorgekommen sind.<\/p>\n \u00c4hnliche Beitr\u00e4ge: Ich hatte hier im Blog ja mehrfach \u00fcber (nicht vorhandene) Sicherheit von Praxisverwaltungssystemen geschrieben – manches blieb unter der Haube. Wenn das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) in einer Pressemitteilung Alarm schl\u00e4gt und die IT-Sicherheit von Software-Produkten des … Weiterlesen Ich hatte im Sommer 2025 in einer Artikelreihe (Zahnarzt Praxis-Verwaltung-System (PVS): Sicherheitsl\u00fccken beim CGM Z1 \u2013 Teil 1<\/a>) \u00fcber Sicherheitsl\u00fccken beim Zahnarzt-Praxisverwaltungssystem Z1 des Koblenzer Unternehmens CGM berichtet. Seinerzeit besserte CGM schnell nach, nachdem ich den Datenschutzbeauftragten von Rheinland-Pfalz in dieser Cause vorgeschickt hatte.<\/p>\n
Das BSI schl\u00e4gt Alarm<\/h2>\n
![\"BSI](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/03\/image-50.png\")
<\/a><\/p>\nSicherheit von Praxisverwaltungssystemen (SiPra)<\/h3>\n
DiPS \u2013 Studie zur Sicherheit von digitalen Pflegedokumentationssystemen<\/h3>\n
\n<\/strong>Zahnarzt Praxis-Verwaltung-System (PVS): Sicherheitsl\u00fccken beim CGM Z1 \u2013 Teil 1<\/a>
\nReaktionen von CGM auf Meldung der Sicherheitsl\u00fccken beim Z1-PVS \u2013 Teil 2<\/a>
\nKorrekturen des Z1 PVS durch CGM und aktueller Stand\u00a0 \u2013 Teil 3<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"