BSI testet Gesundheitssoftware: Gravierende Lücken in Praxis- und Pflegesystemen

Hintergrund: Warum IT-Sicherheit im Gesundheitswesen besonders zählt

Arztpraxen, Krankenhäuser und ambulante Pflegedienste verarbeiten täglich eine Vielzahl sensibler personenbezogener Daten – von Diagnosen über Medikamentenpläne bis hin zu Pflegeverläufen. Genau dort setzen zentrale Softwaresysteme an: Sie steuern Verwaltungsprozesse, dokumentieren Behandlungen und bilden das digitale Rückgrat des Versorgungsalltags. Umso mehr kommt es darauf an, dass diese Systeme nicht nur funktional, sondern auch technisch sicher sind.

Das BSI hat deshalb im Rahmen zweier unabhängiger Projekte die IT-Sicherheit gängiger Softwarelösungen im Gesundheitswesen systematisch untersucht. Die Ergebnisse wurden am 17. März 2026 veröffentlicht. Sie knüpfen an das bereits abgeschlossene Projekt SiKIS zur Sicherheit von Krankenhausinformationssystemen an und erweitern den Blick auf zwei weitere Versorgungsbereiche: Arztpraxen und ambulante Pflege.

Projekt SiPra: Praxisverwaltungssysteme im Penetrationstest

Im Projekt SiPra (Sicherheit von Praxisverwaltungssystemen) wurden vier marktgängige Produkte durch das beauftragte Unternehmen ERNW (Enno Rey Netzwerke) einem systematischen Penetrationstest unterzogen. Das Ziel: den tatsächlichen Sicherheitsstand der Standardkonfigurationen zu ermitteln – also so, wie die Systeme typischerweise in der Praxis betrieben werden, ohne individuelle Härtungsmaßnahmen.

Die Testergebnisse fallen deutlich aus:

• Bei drei von vier untersuchten Systemen konnten einzelne Schwachstellen so miteinander verknüpft werden, dass ein Angriff aus dem Internet theoretisch realisierbar wäre
• Mehrere Produkte übertrugen Daten ohne jede Verschlüsselung – ein grundlegendes Sicherheitsdefizit
• Andere Systeme setzten zwar Verschlüsselung ein, nutzten dabei jedoch veraltete Algorithmen, die dem aktuellen Stand der Technik nicht mehr entsprechen und als unsicher gelten
• Die Schwachstellen traten trotz unterschiedlicher technischer Architekturen der Produkte auf – ein Hinweis darauf, dass es sich nicht um Einzelfälle handelt

Nach der Entdeckung wurden alle identifizierten Schwachstellen den jeweiligen Herstellern gemeldet. Diese reagierten nach BSI-Angaben zügig und leiteten Maßnahmen zur Behebung ein. Die begleitend veröffentlichten Empfehlungen richten sich vorrangig an die Hersteller und sollen helfen, Angriffsketten strukturell zu unterbrechen und die Sicherheit der Produkte langfristig zu verbessern.

Projekt DiPS: Pflegedokumentationssysteme unter der Lupe

Mit einem methodisch vergleichbaren Ansatz untersuchte das e-Health-Team des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) im Projekt DiPS (Digitale Pflegedokumentationssysteme) drei exemplarische Softwareprodukte, die in ambulanten Pflegeeinrichtungen eingesetzt werden.

Auch hier zeigte die Testung ein vielschichtiges Bild an Schwachstellen:

• Kommunikationsverschlüsselung: Ähnlich wie bei den Praxisverwaltungssystemen wurden Defizite bei der sicheren Übertragung von Daten festgestellt
• Authentifizierung: Mechanismen zur Identitätsprüfung von Nutzern wiesen Mängel auf, die unbefugten Zugang begünstigen könnten
• Software-Updates: Die Prüfung auf Integrität und Authentizität von Updates war in mehreren Fällen unzureichend – ein Einfallstor für manipulierte Aktualisierungen
• Systemarchitektur: Besonders schwer wiegen architektonische Schwachstellen, die eine wirksame Nutzerautorisierung strukturell erschweren oder gar unmöglich machen – und die sich nicht durch einfache Konfigurationsänderungen beheben lassen

Die Empfehlungen aus DiPS richten sich – anders als bei SiPra – primär an Betreiber und Nutzer ambulanter Pflegedienste. Eine begleitende Checkliste soll dabei helfen, die Systeme im laufenden Betrieb sicherer zu gestalten und Risiken zu minimieren, auch wenn Hersteller noch keine vollständigen Korrekturen eingespielt haben.

Übergreifendes Muster: Authentifizierung bleibt Achillesferse

Die Ergebnisse aus SiPra und DiPS lassen sich nicht isoliert betrachten. Sie ergänzen die bereits vorliegenden Erkenntnisse aus dem Projekt SiKIS, das Krankenhausinformationssysteme in den Blick genommen hatte. Über alle drei Bereiche des Gesundheitswesens hinweg zeichnet sich ein wiederkehrendes Muster ab:

• Nutzerauthentifizierung und -autorisierung sind produktübergreifend die häufigsten Problemfelder
• Schwachstellen entstehen nicht nur durch fehlerhafte Implementierung, sondern auch durch grundlegende Designentscheidungen auf Architekturebene
• Die Probleme betreffen Systeme unterschiedlichster technischer Ausrichtung – von modernen webbasierten Anwendungen bis hin zu älteren Client-Server-Architekturen

Das BSI wertet dies als Beleg dafür, dass Verbesserungen nicht allein durch punktuelle Patches erreicht werden können. Gefordert sind strukturelle Anpassungen – sowohl auf Seiten der Hersteller als auch im Betrieb der Systeme.

Empfehlungen, Kommentierung und Fachdialog

Zu beiden Projekten hat das BSI Empfehlungsdokumente veröffentlicht, die konkrete Maßnahmen für unterschiedliche Zielgruppen benennen:

• SiPra-Empfehlungen → richten sich an Hersteller von Praxisverwaltungssystemen
• DiPS-Empfehlungen inkl. Checkliste → richten sich an Betreiber und Nutzer in der ambulanten Pflege

Beide Dokumente können bis zum 17. Juni 2026 öffentlich kommentiert werden. Das BSI lädt Fachkreise, Hersteller und Verbände ausdrücklich dazu ein, Rückmeldungen einzureichen – wie bereits beim SiKIS-Projekt, dessen aktuelle Fassung durch öffentliche Kommentare weiterentwickelt werden konnte.

Auf der DMEA, der Leitmesse für digitale Gesundheitsversorgung, ist das BSI in diesem Jahr mit einem eigenen Stand vertreten (Halle 2.2, Stand C-106). Dort stehen Expertinnen und Experten für Fachgespräche zu den Projektergebnissen und zur IT-Sicherheit im Gesundheitswesen insgesamt zur Verfügung.

Weiteres zu SiPra:

• Abschlussbericht zum Projekt Sicherheit von Praxisverwaltungssystemen (SiPra)
• Empfehlungen zur Steigerung der IT-Sicherheit von Praxisverwaltungssystemen (zur Kommentierung bis 17. Juni 2026) 

Weiteres zu DiPS:

• Abschlussbericht zum Projekt Studie zur Sicherheit von digitalen Pflegedokumentationssystemen (DiPS)
• Handlungsempfehlungen zur Verbesserung der IT-Sicherheit in ambulanten Pflegediensten (zur Kommentierung bis 17. Juni 2026) 

Weiteres zu SiKIS:

• SiKIS Abschlussbericht
• SiKIS Handlungsempfehlungen

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk