Vor einer Woche hat das #BSI die Ergebnisse zweier #Cybersecurity-Tests veröffentlicht, die erhebliche IT-Sicherheitsmängel in zentralen Softwareprodukten im #Gesundheitswesen belegen – für Süddeutsche Dossier Digitalwende habe ich heute die wichtigsten Fragen zum Thema im Interview beantwortet:
Für wie groß halten Sie das Problem von unsicheren #Software-Produkten im Gesundheitswesen?
Das Problem ist erheblich – und es ist größer, als es die diplomatische BSI-Formulierung „ausbaufähig“ vermuten lässt. Wenn bei drei von vier getesteten Praxisverwaltungssystemen eine Verkettung von Schwachstellen Angriffe aus dem Internet ermöglicht, dann sprechen wir nicht über theoretische Risiken, sondern über konkret ausnutzbare Angriffspfade auf hochsensible Patientendaten. Allein in Deutschland werden über 120 Praxisverwaltungssysteme vertrieben, hinzu kommen Pflegedokumentationssysteme und Krankenhaus-IT. Die Befunde des BSI betreffen also nicht einzelne Nischenprodukte, sondern die digitale Grundinfrastruktur des Gesundheitswesens. Medizinische Einrichtungen sind attraktive Ziele für Cyberkriminelle: Patientendaten und ihre Verschlüsselung eignen sich zur Erpressung, und ein erfolgreicher Angriff kann zu Behandlungsausfällen, verschobenen Operationen und im schlimmsten Fall zu Gefährdungen für Leib und Leben führen.
Welche Sektoren sind nach Ihrer Einschätzung besonders betroffen?
Besonders kritisch ist die Lage bei niedergelassenen Ärzten und ambulanten Pflegediensten, weil dort in der Regel weder dediziertes IT-Sicherheitspersonal noch professionelle Netzwerksegmentierung vorhanden sind – die Software läuft häufig in flachen Netzwerken mit Standardkonfiguration. Aber auch darüber hinaus dürften viele der festgestellten Schwachstellenmuster – fehlende Transportverschlüsselung, veraltete Kryptografie, mangelhafte Authentifizierung – in angrenzenden Bereichen wie Apothekeninformationssystemen, Laborsoftware oder Telemedizinplattformen reproduzierbar sein.
Woran liegt es, dass die Produkte so im Markt sind?
Die Ursachen sind struktureller Natur. Erstens ist der Markt für Gesundheitssoftware historisch von funktionalen Anforderungen und Abrechnungslogik getrieben – IT-Sicherheit war lange kein wettbewerbsrelevantes Differenzierungsmerkmal und kein hartes Zulassungskriterium. Zweitens fehlen für viele Produktkategorien verbindliche Sicherheitszertifizierungen: Während Medizinprodukte der EU-#MDR unterliegen, fallen reine Verwaltungs- und Dokumentationssysteme oft durch das regulatorische Raster. Drittens ist die Beschaffung im Gesundheitswesen stark preis- und funktionsgetrieben. Und viertens haben manche Hersteller über lange Zeit mit Legacy-Architekturen gearbeitet, bei denen nachträgliches „Security by Design“ kaum noch möglich ist, ohne das Produkt grundlegend neu zu entwickeln.
Wie kann politisch dafür gesorgt werden, dass es nicht zu den Problemen kommt?
Es braucht einen regulatorischen Rahmen, der IT-Sicherheit im Gesundheitswesen zur Marktzugangsvoraussetzung macht – nicht nur zur Empfehlung. Konkret sollte der Gesetzgeber verbindliche Mindestsicherheitsanforderungen für Praxisverwaltungs- und Pflegedokumentationssysteme definieren, analog zu den Anforderungen, die der Cyber Resilience Act künftig für vernetzte Produkte vorsieht. Darüber hinaus wäre eine Zertifizierungspflicht oder zumindest eine öffentlich einsehbare Sicherheitsprüfung sinnvoll, damit Einkäufer in Praxen und Pflegeeinrichtungen informierte Entscheidungen treffen können. Das BSI könnte hier mit seinem neuen Prozesszertifizierungsverfahren nach TR-03185, das sichere Softwareentwicklung attestiert, eine zentrale Rolle spielen. Flankierend sind Förderprogramme notwendig, die gerade kleineren Herstellern den Übergang zu sicheren Architekturen finanziell ermöglichen.