E-HealthGesundheitspolitik

Wie groß sind die Schwachstellen in KIS-Programmen?

Krankenhaus-IT ist gefordert
lz
KIS
© MQ-Illustrations/stock.adobe.com
Newsletter­anmeldung

Bleiben Sie auf dem Laufenden. Der MT-Dialog-Newsletter informiert Sie jede Woche kostenfrei über die wichtigsten Branchen-News, aktuelle Themen und die neusten Stellenangebote.


* Pflichtfeld

Ein Forschungsteam des Fraunhofer-Instituts für Sichere Informationstechnologie SIT hat die IT-Sicherheit von Krankenhausinformationssystemen (KIS) untersucht und verschiedene Schwachstellen gefunden.

In der Studie wurden einerseits etablierte Austauschformate medizinischer Daten (z. B. DICOM [Digital Imaging and Communications in Medicine], HL7 [Health Level 7], FHIR [Fast Healthcare Interoperability Resources]) und deren Spezifikationen hinsichtlich der IT-Sicherheit untersucht. In einem zweiten Schritt wurde die Nutzung dieser Daten in zwei Krankenhausinformationssystemen sicherheitstechnisch untersucht. Für diese Sicherheitstests wurde die Testumgebung der Systeme von zwei unterschiedlichen Krankenhäusern genutzt, die freiwillig an der Studie teilnahmen. Die Studie, die im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) erstellt wurde, fand Sicherheitslücken in der Datenübertragung, der Zugangsverwaltung sowie bei der Verteilung von Software-Updates. Die Forschenden haben die Schwachstellen den Herstellern der betroffenen Systeme mitgeteilt; diese haben die Sicherheitslücken mittlerweile behoben.

Die Ergebnisse sowie Handlungsempfehlungen für KIS-Hersteller und Krankenhäuser werden zudem auf der Medizin-IT-Fachmesse DMEA am 9. und 10. April vorgestellt. Die Ergebnisse sind außerdem hier (PDF) abrufbar.

Ausfall des KIS hätte schwerwiegende Auswirkungen

Schwachstellen im KIS sind besonders problematisch, denn sie sind das Herzstück der Krankenhaus-IT: Hier laufen wichtige Informationen in unterschiedlichen Datenformaten zusammen – Diagnosen, Röntgenbilder, Medikationspläne, Labordaten usw. – und entsprechend viele unterschiedliche Schnittstellen (HL7, DICOM, FHIR etc.) müssen unterstützt werden. Ein Ausfall eines KIS bedeutet deshalb meist auch einen Ausfall der digitalen Behandlungsabläufe, womit die alltägliche Arbeit im Krankenhaus sowie die Versorgung der Patientinnen und Patienten extrem erschwert wird. Wie gravierend sich ein Angriff auf die IT eines Krankenhauses auswirkt, hatte bspw. der Fall der Uniklinik Frankfurt gezeigt, als ein Hackerangriff massive Auswirkungen auf die digitale Infrastruktur hatte. Ein Angriff auf ein KIS, beispielsweise durch Ransomware, kann denn auch schwerwiegende Folgen haben, wie Aufnahmestopps von Patientinnen und Patienten, Abmeldung von der Notfallversorgung und Ausfälle von geplanten Operationen. Das Fraunhofer SIT hat deshalb im Auftrag des BSI die IT-Sicherheit von KIS untersucht und Handlungsempfehlungen für Kliniken und KIS-Hersteller entwickelt, um diese in die Lage zu versetzen, ihre IT besser gegen Angriffe abzusichern. Die Handlungsempfehlungen sind hier (PDF) abrufbar.

Übersicht der in Deutschland eingesetzten KIS
Übersicht der in Deutschland eingesetzten KIS© Quelle: Abschlussbericht zum Projekt Sicherheitseigenschaften von Krankenhausinformationssystemen (SiKIS)

Zwei Beispielsysteme wurden getestet

Dafür haben die Fraunhofer-Forschenden zunächst evaluiert, welche KIS in Krankenhäusern am häufigsten eingesetzt werden und zwei Systeme identifiziert, die in zahlreichen klinischen Einrichtungen eingesetzt werden. Diese beiden Krankenhausinformationssysteme hat das Forschungsteam einem gründlichen Sicherheitstest (Penetrationstest) unterzogen und signifikante Schwachstellen gefunden, beispielsweise bei der Übertragung von Daten, der Speicherung und Verwaltung von Zugängen und Passwörtern sowie bei der Verteilung von Software-Updates. So seien z.B. vom KIS-Client zum KIS-Server und vom KIS-Server zu Drittsystemen, wie der Datenbank, aufgebaute Verbindungen oft nicht oder nur unzureichend verschlüsselt oder es werden veraltete Verschlüsselungsalgorithmen benutzt. Zudem gebe es unzureichende Zertifikatsprüfungen oder einen fehlenden Integritätsschutz der Software sowie unsichere Wartungszugänge oder veraltete Zugänge.

In einem festgelegten Prozess wurden alle identifizierten Schwachstellen mit den betroffenen Herstellerfirmen betrachtet und evaluiert (Coordinated Vulnerability Disclosure). Die Herstellerfirmen haben sich laut Fraunhofer-Team dabei sehr kooperativ gezeigt und konnten bis zum Zeitpunkt der Veröffentlichung der Studie schon die meisten Schwachstellen beheben oder ihre Wirkung begrenzen. Der positive Effekt: Durch dieses Update haben alle Krankenhäuser, die die beiden KIS nutzen und die Updates auch tatsächlich eingespielt haben, signifikant an IT-Sicherheit gewonnen. Das Forschungsteam führt eine Fragerunde zu den Ergebnissen der Untersuchung auf der medizinischen IT-Fachmesse DMEA in Berlin durch, am 9. (14 bis 16 Uhr) und 10. April (10 bis 12 Uhr) am Stand des BSI in Halle 6.2 Stand B-110.

Quelle: idw/Fraunhofer SIT

Artikel teilen

Zur Übersicht

Das könnte Sie auch interessieren:

Online-Angebot der MT im Dialog

Um das Online-Angebot der MT im Dialog uneingeschränkt nutzen zu können, müssen Sie sich einmalig mit Ihrer DVTA-Mitglieds- oder Abonnentennummer registrieren.

zur Registrierung
Zum Login

Stellen- und Rubrikenmarkt

Möchten Sie eine Anzeige in der MT im Dialog schalten?

Stellenmarkt
Industrieanzeige