Während im Gesundheitswesen hochsensible Daten verarbeitet werden, lässt die IT-Sicherheit der entsprechenden Software zu wünschen übrig. Dies ist das Ergebnis von Tests des BSI, welches Handlungsempfehlungen für einen besseren Schutz gibt.
Das BSI hat in einer aktuellen Analyse Sicherheitsmängel in Praxisverwaltungssystemen und Pflegedokumentationssystemen festgestellt, die sensible Gesundheitsdaten gefährden können.
Wie auch in mittlerweile fast allen Branchen, nutzen auch Gesundheitseinrichtungen digitale Lösungen. Auch auch dort spielt deren IT-Sicherheit eine entscheidende Rolle, da hier sensible Gesundheitsdaten verarbeitet werden. Doch nun hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach der Testung der Standardkonfiguration unterschiedlicher Software-Produkte im Gesundheitswesen festgestellt, dass deren IT-Security noch ausbaufähig ist. Zusammen mit den Testergebnissen veröffentlicht das BSI deswegen begleitende Empfehlungen, die dabei unterstützen sollen, die IT-Sicherheit dieser Produkte künftig zu stärken.
Zuerst hat das BSI die IT-Sicherheit von digitalen Praxisverwaltungssystemen genauer unter die Lupe genommen. Das Ziel der Testung von Informations- beziehungsweise Verwaltungssystemen in Arztpraxen sowie ambulanten Pflegeeinrichtungen, die die Firma Enno Rey Netzwerke (ERNW) für das BSI durchgeführt hat, war es, en etablierten Stand der IT-Sicherheit besser einschätzen zu können und konkrete Verbesserungshinweise zu erarbeiten. Im Rahmen des Projekts wurden vier exemplarische Praxisverwaltungssysteme (PVS) mittels Penetrationstests untersucht. Die Ergebnisse zeigen, dass trotz unterschiedlicher Technologien, Cyberangriffe möglich waren. Und das bei drei von vier Produkten. Die Mängel und Lücken in der Absicherung der Software, die das BSI identifizieren konnte und die zu Cyberangriffen führten, waren unter anderem:
Keine Verwendung von Verschlüsselungsverfahren bei der Datenübertragung
Die Verwendung veralteter und daher unsicherer Verschlüsselungsalgorithmen
Diese identifizierten Schwachstellen wurden an die jeweiligen Hersteller kommuniziert und von diesen unverzüglich adressiert und mitigiert. Der entsprechende Bericht des BSI zur Sicherheit von Praxisverwaltungssystemen kann hier heruntergeladen werden.
Seine Empfehlungen für die Steigerung der IT-Sicherheit von Praxisverwaltungssystemen hat das Bundesamt ebenfalls online veröffentlicht. Diese können bis zum 17. Juni 2026 von Herstellern, Betreibern und Nutzern in den Einrichtungen sowie Fachexperten kommentiert werden.
Die Empfehlungen des BSI lauten:
Technisch wirksame Zugriffskontrollen zur Authentifizierung und Autorisierung bei Aktionen sowie Verwendung einer 3-Schicht-Architektur.
Durchsetzung starker Passwortrichtlinien, die die Erstellung und Änderung von Passwörtern kontrollieren.
Normalisierung von Dateipfaden zur Verhinderung von Path-Traversal-Angriffen sowie Prüfung der Benutzerberechtigungen vor Datei-Zugriff.
Deaktivierung automatischer Code-Ausführung in Datenbanken und Vergabe minimaler Privilegien an Clients.
Verschlüsselung sensibler Daten im Ruhezustand und während der Verarbeitung durch Nutzung von Festplattenverschlüsselungen, wie BitLocker.
Anwendung aktueller Verschlüsselungs- und Hashing-Algorithmen sowie Verwendung von Advanced Encryption Standard und des speziell entwickelten Verfahrens „Argon2id“.
Einsatz von Transportverschlüsselung, zum Beispiel TLS, zur Sicherstellung der Vertraulichkeit.
Sorgfältige Prüfung externer Software und Bibliotheken sowie eine regelmäßige Wartung.
Implementierung einer Whitelist für unterstützte Dateitypen zur Vermeidung automatischer Ausführung potenziell gefährlicher Dateitypen.
Ähnlich wurde folgend auch die IT-Sicherheit von Pflegedokumentationssystemen betrachtet. Bei der Testung von drei exemplarischen Produkten fielen diese Mängel besonders auf:
Schwachstellen bei der Kommunikationsverschlüsselung, der Authentifizierung und der Prüfung von Software-Updates
Architektonische Schwachstellen, die eine sichere und effektive Nutzerautorisierung unmöglich machen
Auch diese Fehler wurden an die Hersteller kommuniziert. Die daraus aufbauenden Empfehlungen samt einer Checkliste adressieren ambulante Pflegedienste, um dabei zu helfen, die Systeme sicher betreiben und die IT-Sicherheit insgesamt verbessern zu können. Auftragnehmer des Projekts war das e-Health-Team des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT).
Auch hierzu hat das BSI einen Abschlussbericht veröffentlicht sowie einen Katalog mit Erläuterungen und Empfehlungen. Auch diese können bis zum 17. Juni 2026 kommentiert werden.
Die technischen wie auch organisatorischen Empfehlungen des BSI für sichere Pflegedokumentationssysteme lauten:
Kommunikation in Netzwerken sollte durch Verschlüsselung (TLS) und Authentifizierung geschützt werden. Hersteller sollten bestätigen, dass die Kommunikation des Pflegedokumentationssystems mit aktuellen TLS-Versionen abgesichert ist.
Sichere Konfiguration von TLS muss laut BSI gewährleistet sein, um veraltete Protokolle und Algorithmen zu vermeiden. Hersteller sollten nachweisen, dass ihr System TLS gemäß BSI-Richtlinien nutzt.
Die sichere Authentifizierung wird vom BSI als entscheidend erachtet. Der Server muss während der Einrichtung einer TLS-Verbindung authentifiziert werden, und die Hersteller sollten sicherstellen, dass die Kommunikationspartner gemäß den aktuellen Sicherheitsstandards verifiziert werden.
Netzwerksegmentierung sollte implementiert werden, um den Zugriff zu beschränken und das Risiko von Sicherheitslücken zu minimieren.
Kleinere Anbieter sollten robuste Netzwerkkonfigurationen und sichere Passwörter für WLAN verwenden.
Systeme, die direkt über das Internet erreichbar sind, sollten minimal gehalten und sicher konfiguriert werden. Alternativ kann ein VPN eingesetzt werden, um den Zugriff zu schützen.
Regelmäßige Audits von Nutzerkonten sind dem BSI nach notwendig, um veraltete oder überflüssige Konten zu identifizieren und Berechtigungen zu überprüfen. Ambulante Pflegedienste sollten Benutzerkonten regelmäßig auditeren und ungenutzte Konten löschen.
Wartungszugänge von Herstellern oder Dienstleistern müssen kontrolliert und nur temporär aktiviert werden. Die Dokumentation dieser Zugänge sollte in Absprache mit dem Hersteller erfolgen.
Nutzerkonten müssen mit sicheren Passwörtern geschützt und wenn möglich mit Multifaktor-Authentifizierung (MFA) ausgestattet sein.
Eine Passwortrichtlinie kann helfen, die Sicherheit der Konten zu gewährleisten.
Mobile Geräte sollten verschlüsselt und mit sicheren Zugangscodes versehen sein. Software-Updates sollten regelmäßig durchgeführt werden, um Sicherheitslücken zu schließen.
Es sollten Herstellerempfehlungen zur Absicherung des Pflegedokumentationssystems eingeholt und umgesetzt werden.
Ein Risikomanagementsystem sollte implementiert werden, um Sicherheitsrisiken zu identifizieren und zu bewerten. Risiken sollten dokumentiert werden, auch ohne ein ISMS.
Der physische Zugang zu Geräten sollte eingeschränkt werden, um unbefugten Zugriff zu verhindern.
Bei Beendigung eines Arbeitsverhältnisses müssen alle Zugänge deaktiviert werden.
Bei der Auswahl eines Pflegedokumentationssystems sollte auf den Betriebs- und Wartungsaufwand geachtet werden.
Durch die Unterstützung eines IT-Dienstleister kann die IT-Sicherheit erhöht werden.
Schulungen für Mitarbeitende können dazu beitragen, die System korrekt zu nutzen und achtsam gegenüber Sicherheitsrisiken zu sein.
Beide Untersuchungen verdeutlichen laut BSI, dass die sichere Verwendung von Gesundheitsdaten einer hohen Sicherheit bei den verschiedenen zentralen Softwareprodukten bedarf. Sei es das Krankenhausinformationssystem, das Praxisverwaltungssystem oder das Pflegedokumentationssystem: Nutzerauthentifizierung und -autorisierung stellen weiterhin Herausforderungen dar.
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6a/ee/6aee3525b520c2e632f44566cbba513d/0130142789v2.jpeg "Das BSI hat in einer aktuellen Analyse Sicherheitsmängel in Praxisverwaltungssystemen und Pflegedokumentationssystemen festgestellt, die sensible Gesundheitsdaten gefährden können. (Bild: © everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/3d/a03d38a6d09f4ed77d67e25d0b85d0db/0129965652v2.jpeg "Das KRITIS-Dachgesetz gilt nun auch in Deutschland. (Bild: mixmagic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/84/918426b19b7da0c5166a7291ab22f7bc/0130007715v1.jpeg "Deepfakes und KI-Malware ermöglichen Angriffe in Minuten statt Tagen. Unternehmen müssen ihre Abwehrstrategien an die neue Bedrohungslage anpassen. (Bild: © ภาคภูมิ ปัจจังคะตา - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/d8/add8f6a98ffe40d92e4d067a3b45a183/0130006049v2.jpeg "Die Zahl der Sicherheitsvorfälle in der Cloud nimmt weiter zu. Gleichzeitig fehlt es vielen Teams an Zeit, Kontext und Ressourcen für fundierte Untersuchungen. (Bild: © Jack - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/cb/5dcbdbb272d51572a31dc13c67c1919f/0129871080v1.jpeg "Automatisierte Angriffsfabrik: Laut HP setzen Cyberkriminelle zunehmend auf modulare Malware-Bausteine und KI-generierte Skripte, um Kampagnen schneller zusammenzustellen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4b/06/4b06c8e4cd501c4799d85f1df4e3c38a/0130040891v2.jpeg "Betroffen von den Sicherheitslücken sind die Apple-Produkte macOS, iOS, iPadOS, tvOS, watchOS und visionOS. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/62/a962c633bbdf2f9339fc98bb18925b75/0129989356v1.jpeg "OT-Angriffe beginnen meist in der IT-Ebene – über Phishing, unsichere Fernzugänge oder ungepatchte Server. (Bild: © Gorodenkoff & patcharin.inn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/fb/c3fb60ad37eb13084443888d42cd75d6/0130000287v2.jpeg "Eine physische Zutrittskarte ist bei Mobile-Access-Lösungen überflüssig – sie wird digital auf dem Smartphone hinterlegt. (Bild: HID Global)")
:quality(80)/p7i.vogel.de/wcms/70/12/7012a2d773d5b6551d28fc4c51c754f2/0129998227v2.jpeg "Bereits bei Installation, Mandantenanlage oder Systemkopie liegen in SAP feste Konten und bekannte Zustände vor. Ohne gezielte Absicherung öffnen sie gefährliche Angriffspfade. (Bild: © Ronny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/ef/88ef25eb1b4cedaa7bda212e51aaedab/0129933628v1.jpeg "Die Kernerkenntnis des IBM X-Force Threat Intelligence Index 2026 ist, dass Schwachstellen das Haupttor für Cyberangriffe darstellen, wobei 44 Prozent der Angriffe über öffentlich zugängliche Anwendungen erfolgen und hauptsächlich durch fehlende Authentifizierungskontrollen begünstigt werden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/88/88/8888246a482831015f84702b596ed0b6/0129897907v2.jpeg "Die Zero Day Initiative listet EUVD-2026-9179 / CVE-2026-23600 als Zero-Day-Schwachstelle. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e5/93/e593783eab747d8bd50897c447ce9d2d/0129711721v2.jpeg "Von hybriden Angriffen durch staatliche Akteure sind in der Rüstungsindustrie nicht nur die Hersteller betroffen, sondern auch ihre Zulieferer, Mitarbeiter sowie militärische Nutzer und Forschungseinrichtungen, da sie alle wertvolle Informationen und Technologien bereitstellen oder nutzen. (Bild: Bo Dean - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/49/68/4968cfb619f90613cca8ba77511df54d/0129472744v2.jpeg "Das BSI empfiehlt, klassische asymmetrische Verschlüsselungsverfahren bis Ende 2031 nicht mehr zu verwenden, da sie aufgrund der Entwicklungen im Quantencomputing nicht sicher sind, was einen dringenden Umstieg auf hybride Verfahren, die quantensichere Algorithmen integrieren, erforderlich mache. (Bild: Alex - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/4c/fc4c011b99ee47f24b6c63c3ac094826/0126146033v2.jpeg "Enno Rey zeigt in seiner MCTTP-Keynote, wie Offensive- und Defensive-Security voneinander profitieren können und warum ganzheitliche Sicherheitsstrategien von der Planung bis zur Umsetzung für Unternehmen jeder Branche entscheidend sind. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/28/ea/28eac9a5294c400b4e2b03fb5e1a5c35/0127985427v2.jpeg "Nur noch 34 Prozent der Ransomware-Angriffe im Gesundheitswesen führen zur Datenverschlüsselung. Ein Fünfjahrestief laut Sophos, das zeigt, wie stark die Abwehrfähigkeit gestiegen ist. (© peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/90/2590c550570f504950c0955b661f59d3/0125017847v1.jpeg "Über die Hälfte aller für eine Fastly-Studie Befragten fühlt sich nicht ausreichend vor Cyberattacken geschützt. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/6a/426a5bf012bda682a817773a027864c3/0120141399v2.jpeg "Was macht Gesundheitsdaten so besonders? (© chayantorn - stock.adobe.om / KI-generiert)")