1. Top-Themen
  2. IT-Sicherheit & Kritis
  3. BSI bemängelt IT-Sicherheit von Software-Produkten des Gesundheitswesens und veröffentlicht das Projekt "Sicherheit von KIS-Systemen"

BSI bemängelt IT-Sicherheit von Software-Produkten des Gesundheitswesens und veröffentlicht das Projekt "Sicherheit von KIS-Systemen"

Veröffentlicht 17.03.2026 15:00, Kim Wehrs

Für den ganzheitlichen Schutz sensibler Gesundheitsdaten ist die Verwendung sicherer Software-Produkte bspw. im Krankenhaus, in der Arztpraxis oder beim ambulanten Pflegedienst notwendig. Die IT-Sicherheit von Software-Produkten im Gesundheitswesen ist allerdings ausbaufähig. Das stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach der Testung der Standardkonfiguration unterschiedlicher Software-Produkte im Gesundheitswesen fest. Das BSI veröffentlicht zusammen mit den Testergebnissen begleitende Empfehlungen, die dabei unterstützen sollen, die  IT-Sicherheit dieser Produkte künftig zu stärken.

Im Auftrag des BSI wurde die IT-Sicherheit von Informations- bzw. Verwaltungssystemen in Arztpraxen sowie ambulanten Pflegeeinrichtungen getestet, welche als zentrale Softwareprodukte verwendet werden. Ziel war es, den etablierten Stand der IT-Sicherheit besser einschätzen zu können und konkrete Verbesserungshinweise zu erarbeiten. Damit knüpfen die beiden Projekte unmittelbar an das Projekt Sicherheit von Krankenhausinformationssystemen an, dessen Empfehlungen, Dank der Kommentare aus der Öffentlichkeit, nun in der aktuellen Version veröffentlicht werden konnten.

SiKIS

Im Gesundheitswesen werden zahlreiche Gesundheitsdaten von Patientinnen und Patienten erhoben, verarbeitet und zur weiteren Diagnose verwendet. Dafür kommen diverse medizinische Austauschformate (z.B. DICOMHL7FHIRetc.) zum Einsatz. Diese Daten werden in Krankenhäusern von einer speziellen Software, dem Krankenhausinformationssystem (KIS) verwaltet. Im Rahmen der Studie Sicherheitseigenschaften von Krankenausinformationssystemen (SiKIS) wurde die Sicherheit dieser KIS sowie der im Gesundheitswesen am häufigsten verwendeten Nachrichtenaustauschformate genauer analysiert. Als Ergebnis dieser Untersuchungen entstanden zwei Dokumente:

Der SiKIS Abschlussbericht enthält die Ergebnisse der Untersuchungen. Dabei werden zuerst anhand von frei verfügbaren Informationen, die allgemeinen Grundlagen zu Krankenhausinformationssystemen beschrieben. Darauf folgt eine, ebenfalls auf frei verfügbaren Informationen basierende, Analyse der im deutschen Gesundheitswesen am häufigsten verwendeten Nachrichtenaustauschformate (z.B. DICOMHL7FHIRetc.). Dies beinhaltet eine Einschätzung der Cybersicherheitsfunktionen dieser einzelnen Standards. Im nächsten Teil werden die Pentests, welche im Rahmen der Studie an zwei exemplarischen KIS durchgeführt wurden, beschrieben. Nach einer methodischen Einführung in das Vorgehen der Pentests werden hier die Ergebnisse anonymisiert dargestellt.

Die gewonnenen Erkenntnisse aus den Studien und den Penetrationstests werden abschließend in SiKIS Handlungsempfehlungen überführt. Zielgruppe der Handlungsempfehlungen sind die Herstellfirmen von KIS und die betreibenden Krankenhäuser. Die Handlungsempfehlungen beziehen sich nicht auf ein einzelnes KIS, stattdessen werden identifizierte Probleme zu Kategorien zusammengefasst, wodurch eine generalisierte Handlungsempfehlung entsteht. Feedback zur Weiterentwicklung der Handlungsempfehlungen kann per Mail an Primaersystem@bsi.bund.de">Primaersystem@bsi.bund.de gesendet werden.


Quelle: BSI
Foto: Adobe Stock / Vadym


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

NIS2-Compliance als strategische IT-Sicherheitsaufgabe im Krankenhaus
IT-Sicherheit & Kritis
NIS-2

NIS2-Compliance als strategische IT-Sicherheitsaufgabe im Krankenhaus

Roadmap für Krisenübungen in Krankenhäusern - Blaupause für Deutschland
IT-Sicherheit & Kritis
KAEP

Roadmap für Krisenübungen in Krankenhäusern - Blaupause für Deutschland

BSI stellt „Wheel of Motion“ für Cybersicherheit vor
IT-Sicherheit & Kritis
Wheel

BSI stellt „Wheel of Motion“ für Cybersicherheit vor

Gesundheitswesen durch Cyberangriffe geschädigt
IT-Sicherheit & Kritis
NIS-2

Gesundheitswesen durch Cyberangriffe geschädigt

KI-Compliance im Krankenhaus: Zwischen Effizienzgewinn und Risiko
IT-Sicherheit & Kritis
GPU

KI-Compliance im Krankenhaus: Zwischen Effizienzgewinn und Risiko

Sicherheit: systemische Verwundbarkeit und strategische Implikationen
IT-Sicherheit & Kritis
IT

Sicherheit: systemische Verwundbarkeit und strategische Implikationen

Lesen Sie hier die neuesten Beiträge

Magnetpartikelbildgebung erstmals am Menschen eingesetzt
Forschung
UKW

Magnetpartikelbildgebung erstmals am Menschen eingesetzt

CIO und CDO - stimmiges Gesamtkonzept fördert Synergien
IT-Management
SaaS

CIO und CDO - stimmiges Gesamtkonzept fördert Synergien

gematik testet kartenlose Institutions-Identität im Highspeed-Konnektor
Digitalisierung
TI

gematik testet kartenlose Institutions-Identität im Highspeed-Konnektor

Diese Webseite verwendet Cookies.   Mehr Info.      oder