Cybersicherheit
Schwachstellenanalyse des BSI: Auch bei Praxis-EDV „Handlungsbedarf“
Das Bundesamt für Sicherheit in der Informationstechnik wundert sich über fehlende Regelverbindlichkeit zur Cybersicherheit von Praxisverwaltungssystemen.
Veröffentlicht:Bonn. Wie gut sind Softwareanwendungen im Gesundheitswesen von Haus aus gegen Angriffe geschützt? Das hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) prüfen lassen. Mit durchwachsenem Resultat: „Die IT-Sicherheit von Software-Produkten im Gesundheitswesen ist ausbaufähig“, lautet das Behördenresümee. Untersucht wurden Praxisverwaltungssysteme, digitale Pflegedokumentation und Krankenhausinformationssysteme.
Bei einem Test von vier exemplarischen PVS-Produkten hätten drei in der Standardkonfiguration durch „einen Angriff aus dem Internet ermöglicht“. Beispielsweise seien keine Verschlüsselungsverfahren zur Datenübertragung verwendet worden oder aber nur veraltete und daher unsichere Kryptoalgorithmen. Des Weiteren kreiden die Prüfer teils „unzureichendes Zugriffs-Management“ oder auch eine „unsichere Datenbank-Konfiguration“ an.
Verbindliche Richtlinien fehlen
„Die identifizierten Schwachstellen wurden an die jeweiligen Hersteller kommuniziert und von diesen unverzüglich adressiert“, heißt es. Kritisch merkt das Amt außerdem an, dass „keine expliziten und verbindlichen Richtlinien zum Thema IT-Sicherheit von PVS gefunden werden konnten“. Das sei angesichts „der enormen Relevanz des Themas erstaunlich“. Lediglich anhand der KBV-Rahmenvereinbarung (nach § 332b SGB V) könnten Hersteller auf freiwilliger Basis zusätzliche Sicherheitsvorkehrungen nachweisen.
Die Sektoruntersuchung lege allerdings nahe, „dass im Bereich der IT-Sicherheit von PVS Handlungsbedarf besteht“. Insofern könnten nach Ansicht des BSI die Empfehlungen, die sich aus seiner Schwachstellenanalyse ableiten ließen, zur Grundlage dienen, „gemeinsam mit Herstellern branchenspezifische IT-Sicherheitseigenschaften für PVS zu etablieren“, wie es weiter heißt. (cw)
