Das #BSI hat bei drei von vier getesteten Praxisverwaltungssystemen konkret ausnutzbare Angriffspfade aus dem Internet festgestellt – kein theoretisches Risiko, sondern reale Schwachstellen in der digitalen Grundinfrastruktur des deutschen Gesundheitswesens. Besonders exponiert sind niedergelassene Praxen und ambulante Pflegedienste, wo weder dediziertes IT-Sicherheitspersonal noch professionelle Netzwerkarchitektur vorhanden sind. Das Schadenspotenzial reicht von Datenschutzverletzungen über Erpressung bis zu Behandlungsausfällen mit unmittelbaren Konsequenzen für Leib und Leben.
Die Ursachen dafür sind aber nicht nur bei den Herstellern und ihren Softwareprodukten zu verorten, sondern vielmehr struktureller Natur: Erstens ist der Markt für Gesundheitssoftware historisch von funktionalen Anforderungen und Abrechnungslogik getrieben – IT-Sicherheit war lange kein wettbewerbsrelevantes Differenzierungsmerkmal und kein hartes Zulassungskriterium. Zweitens fehlen für viele Produktkategorien verbindliche Sicherheitszertifizierungen: Während etwa KI-Anwendungen, die für die Diagnose verwendet werden, der europäischen Medizinprodukteverordnung unterliegen und Apps auf Rezept auch Sicherheitsanforderungen durch die Digitale-Gesundheitsanwendungen-Verordnung erfüllen müssen, fallen reine Verwaltungs- und Dokumentationssysteme oft durch das regulatorische Raster, indem sie durch keine spezifischen Sicherheitsanforderungen adressiert werden, die ihrer strukturellen Relevanz und Datensensibilität gerecht werden. Drittens ist die Beschaffung im Gesundheitswesen stark preis- und funktionsgetrieben. Praxisinhaber und Pflegedienstleitungen verfügen selten über die Kompetenz, die IT-Sicherheit eines Produkts vor der Anschaffung zu bewerten. Und viertens haben manche Hersteller über lange Zeit mit Legacy-Architekturen gearbeitet, bei denen nachträgliches „Security by Design“ kaum noch möglich ist, ohne das Produkt grundlegend neu zu entwickeln.
Meine Forderung deshalb: Verbindliche Mindestsicherheitsanforderungen noch stärker zur Marktzugangsvoraussetzung zu machen, sowie eine öffentlich einsehbare Sicherheitsprüfung für Praxisverwaltungs- und Pflegedokumentationssysteme verbindlich einführen. Das BSI könnte mit seiner #Prozesszertifizierung nach TR-03185 eine zentrale Rolle übernehmen – flankiert von Förder- und Forschungsprogrammen insbesondere für kleinere Hersteller, die den Übergang zu sicheren Architekturen ansonsten allein kaum zeitnah stemmen können. Im Besonderen der Gesundheitssektor hat eine strukturelle Verantwortung in der #Daseinsvorsorge, die weit über die Sicherheit von Einzelprodukten hinausgeht und daher gesamtgesellschaftliche Aufgabe ist:
https://www.sz-dossier.de/tiefgaenge/wenn-praxissoftware-zur-sicherheitsluecke-wird-e1fd5860
#denniskenjikipker #cyberresilience #cyberintelligence #cyberintelligenceinstitute #frankfurt #bremen #berlin