BSI: Gesundheitssoftware fällt bei Penetrationstests durch
Besonders schützenswerte Patientendaten, besonders lückenhafte Software: Das Bundesamt für Sicherheit in der Informationstechnik hat im Rahmen zweier Projekte zentrale Softwareprodukte im Gesundheitswesen unter die Lupe genommen. Die Ergebnisse sind wenig erfreulich(öffnet im neuen Fenster) .
Was wurde getestet? – Praxissoftware und Pflegedokumentation im Fokus
Im Projekt Sipra (Sicherheit von Praxisverwaltungssystemen) nahm die Firma ERNW vier Produkte per Penetrationstest(öffnet im neuen Fenster) auseinander. Das Ergebnis: Bei drei davon ließen sich mehrere Schwachstellen zu einer Angriffsmöglichkeit aus dem Internet verketten; begünstigt durch fehlende oder veraltete Verschlüsselung bei der Datenübertragung. Die betroffenen Hersteller wurden informiert und haben die Lücken nach eigenen Angaben bereits geschlossen.
Das Parallelprojekt DiPS (Digitale Pflegedokumentationssysteme) wurde vom E-Health-Team des Fraunhofer-Instituts für Sichere Informationstechnologie(öffnet im neuen Fenster) durchgeführt.
Drei Produkte standen auf dem Prüfstand. Neben Problemen bei Verschlüsselung und Authentifizierung fanden sich auch architektonische Schwachstellen, die eine wirksame Nutzerautorisierung grundsätzlich erschweren. Solche strukturellen Probleme lassen sich nicht mit einem einfachen Update beheben.
Was sind die Kernprobleme? – Authentifizierung bleibt eine Dauerbaustelle
Beide Projekte knüpfen an eine frühere BSI-Untersuchung zu Krankenhausinformationssystemen (Sikis) an. Das Bild ist über alle drei Projekte hinweg verblüffend konsistent: Authentifizierung und Autorisierung bleiben produktübergreifend eine Schwachstelle.
Das BSI veröffentlichte zu beiden Projekten nun Empfehlungen(öffnet im neuen Fenster) – an Hersteller im Fall von Sipra, an Betreiber und Nutzer im Fall von DiPS. Diese können bis zum 17. Juni 2026 öffentlich kommentiert werden, bevor sie in finaler Form erscheinen.
Was bedeutet das für Betroffene? – Handlungsbedarf auf mehreren Ebenen
Arztpraxen und ambulante Pflegedienste sind keine IT-Abteilungen. Sie verlassen sich darauf, dass eingesetzte Software grundlegende Sicherheitsanforderungen erfüllt – und können Lücken kaum selbst schließen, wenn das nicht der Fall ist. Die DiPS-Empfehlungen richten sich daher bewusst an Betreiber und liefern eine Checkliste für den sicheren Betrieb. Auf der DMEA-Messe vom 21. bis zum 23. April 2026 in Berlin (Halle 2.2, Stand C-106) steht das BSI mit Experten vor Ort zur Verfügung.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.