„Alarmstufe Rot: IT-Sicherheit in Kliniken – Wenn Patientendaten zum Spielball werden!“
Die IT-Sicherheit in Kliniken befindet sich in einer prekären Lage, wie ein Penetrationstest zweier weit verbreiteter Krankenhausinformationssysteme (KIS) deutlich zeigt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beauftragte 2023 das E-Health-Team des Fraunhofer-Instituts für sichere Informationstechnologie mit der Untersuchung dieser kritischen Systeme. Die Ergebnisse sind alarmierend: Die Tester entdeckten eine Vielzahl von Schwachstellen, die Angreifer leicht ausnutzen könnten, um sensible Patientendaten zu stehlen oder ganze Krankenhausprozesse lahmzulegen. Dabei zeigte sich, dass die Fokussierung auf die Verfügbarkeit der Systeme oft zulasten der Datenvertraulichkeit geht. Ein aktuelles Beispiel hierfür ist ein Ransomware-Angriff in Rumänien, bei dem 26 Krankenhäuser zum Opfer gefallen sind – mutmaßlich durch eine Attacke auf oder über das zentrale KIS. Auch vorherige Vorfälle, wie die Ausnutzung einer Schwachstelle im Citrix-Zugang einer Klinik durch Angreifer, verdeutlichen die realistische Bedrohung.
Die Untersuchung deckte eklatante Sicherheitslücken auf. Veraltete Verschlüsselungsalgorithmen wie RC4 und unzureichende Hash-Funktionen für Passwörter wurden identifiziert. Einfache Passwörter mit umfassenden Zugriffsrechten auf Datenbanken sowie fehlender Integritätsschutz von Software erschwerten die Verteidigung zusätzlich. Sogar Cross-Site-Scripting, ein Angriffstyp, der schädlichen Code in Systeme einschleusen kann, wurde in einem KIS festgestellt. Besonders problematisch sind die anfälligen Austauschformate: Aktuelle standardisierte Formate wie FHIR (Fast Healthcare Interoperability Resources), eine Weiterentwicklung von HL7, bieten deutlich bessere Sicherheitsstandards. Die Autoren des Berichts plädieren dringend für deren Umsetzung, um das Risiko von Datendiebstahl und Systemstörungen zu minimieren.
Die Hersteller der KIS zeigten sich kooperativ und haben viele der aufgedeckten Schwachstellen bereits geschlossen. Dennoch mahnen die Experten zur ständigen Vigilanz und zum kontinuierlichen Ausbau der Sicherheitsmaßnahmen in der Gesundheitsversorgung. Das BSI hat auf Basis der Untersuchungsergebnisse umfangreiche Handlungsempfehlungen veröffentlicht, die bis Ende Juni kommentiert werden können. Es liegt nun an allen Akteuren – Politik, Behörden, Herstellern und Kliniken – gemeinsam zu handeln, um die digitale Infrastruktur der Gesundheitsbranche nachhaltig zu sichern und Patientendaten vor Bedrohungen zu schützen. Die Zukunft der digitalen Patientenakte hängt von einer robusten Sicherheitsarchitektur ab, die den hohen Anforderungen der sensiblen Datenverarbeitung gerecht wird. Nur so können wir Vertrauen in die digitale Transformation des Gesundheitswesens schaffen und gleichzeitig die Sicherheit unserer gesundheitlichen Informationen gewährleisten.
Schlagwörter: KIS + BSI + Rumänien
Wie bewerten Sie den Schreibstil des Artikels?