Drei von vier getesteten PVS zeigen Schwachstellen
Im Auftrag des BSI wurde die IT-Sicherheit von Informations- beziehungsweise Verwaltungssystemen in Arztpraxen sowie ambulanten Pflegeeinrichtungen getestet, die als zentrale Softwareprodukte verwendet werden. Ziel war, den etablierten Stand der IT-Sicherheit besser einschätzen zu können und konkrete Verbesserungshinweise zu erarbeiten.
Die Ergebnisse zeigen, dass trotz unterschiedlicher Technologien bei drei von vier untersuchten Produkten die Verkettung einzelner Schwachstellen einen Angriff aus dem Internet ermöglicht.
Die Schwachstellen waren unter anderem: keine Verwendung von Verschlüsselungsverfahren bei der Datenübertragung oder auch die Verwendung veralteter und daher unsicherer Verschlüsselungsalgorithmen. Die identifizierten Schwachstellen wurden an die jeweiligen Hersteller kommuniziert und von diesen unverzüglich bearbeitet, heißt es.
Die begleitend zum Abschlussbericht veröffentlichten Empfehlungen sollen helfen, die Verkettung zu unterbrechen und die Sicherheit der PVS weiter zu stärken.
Nutzerauthentifizierung und -autorisierung bleiben größte Herausforderung
Mit einem vergleichbaren Vorgehen wurde auch die IT-Sicherheit von digitalen Pflegedokumentationssystemen untersucht. Bei der Testung von drei exemplarischen Produkten fielen insbesondere Schwachstellen bei der Kommunikationsverschlüsselung, der Authentifizierung und der Prüfung von Software-Updates auf. Auch architektonische Schwachstellen, die eine sichere und effektive Nutzerautorisierung unmöglich machen, wurden entdeckt und kommuniziert, schreibt das BSI.
Für die sichere Verwendung von Gesundheitsdaten bedarf es einer hohen Sicherheit bei den verschiedenen zentralen Softwareprodukten. Sei es das Krankenhausinformationssystem, das Praxisverwaltungssystem oder das Pflegedokumentationssystem: Nutzerauthentifizierung und -autorisierung stellen laut BSI weiterhin eine Herausforderung dar.
