Digitalisierung

BSI deckt Sicherheitslücken in Pflegedokumentationssystemen auf

Das Bundesamt für Sicherheit in der Informationstechnik hat digitale Pflegedokumentationssysteme und Praxisverwaltungssysteme auf IT-Sicherheit getestet. Die Ergebnisse sind ernüchternd: Schwachstellen gibt es bei Verschlüsselung, Authentifizierung und Autorisierung. Für ambulante Pflegedienste wurde nun eine Checkliste erstellt.

Die Kosten für Digitalisierung und IT-Sicherheit entwickeln sich nach Angaben des Verbandes diakonischer Dienstgeber in Deutschland (VdDD) zu einer wachsenden wirtschaftlichen Belastung für diakonische Träger. Bild: Adobe Stock/RerF

Wer einen ambulanten Pflegedienst betreibt, sollte die IT-Sicherheit der eingesetzten Software kritisch hinterfragen. Das legen die Ergebnisse zweier Projekte nahe, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) jetzt veröffentlicht hat. Im Rahmen der Studie „DiPS“ ließ das BSI drei exemplarische digitale Pflegedokumentationssysteme durch das e-Health-Team des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) untersuchen. Die Befunde wiegen schwer.

Pflegedokumentation: Vier Schwachstellenbereiche identifiziert

Laut BSI fielen bei den getesteten Pflegedokumentationssystemen Schwachstellen in vier Bereichen auf: bei der Kommunikationsverschlüsselung, bei der Authentifizierung, bei der Prüfung von Software-Updates sowie in der Systemarchitektur. Letztere machten laut der Studie eine sichere und effektive Nutzerautorisierung unmöglich – ein gravierendes Problem, wenn mehrere Mitarbeitende mit unterschiedlichen Berechtigungen auf sensible Gesundheitsdaten zugreifen.

Aus den Ergebnissen hat das BSI Handlungsempfehlungen einschließlich einer Checkliste erarbeitet, die sich gezielt an ambulante Pflegedienste als Betreiber:innen richten. Die Empfehlungen sollen helfen, die Systeme sicherer zu betreiben.

Auch Praxisverwaltungssysteme betroffen

Parallel untersuchte die Firma Enno Rey Netzwerke (ERNW) im Projekt „SiPra“ vier Praxisverwaltungssysteme (PVS) mittels Penetrationstests. Das Ergebnis laut BSI: Bei drei von vier Produkten ermöglichte die Verkettung einzelner Schwachstellen einen Angriff aus dem Internet. Konkret fehlte es an Verschlüsselung bei der Datenübertragung oder es kamen veraltete, unsichere Verschlüsselungsalgorithmen zum Einsatz. Die Schwachstellen wurden laut BSI an die Hersteller gemeldet und von diesen unverzüglich adressiert und entschärft. Die zugehörigen Empfehlungen richten sich primär an die Hersteller.

Authentifizierung bleibt ein Dauerproblem

Beide Projekte reihen sich in die frühere BSI-Untersuchung „SiKIS“ zur Sicherheit von Krankenhausinformationssystemen ein. Das BSI stellt fest, dass sich über alle drei Produktkategorien hinweg – Krankenhausinformationssysteme, Praxisverwaltungssysteme und Pflegedokumentationssysteme – vergleichbare Schwachstellen finden. Nutzerauthentifizierung und -autorisierung stellten weiterhin eine Herausforderung dar.

Die erarbeiteten Empfehlungen zu beiden Projekten können bis zum 17. Juni 2026 kommentiert werden.

Die Abschlussberichte und Handlungsempfehlungen zu allen drei Projekten stehen auf der BSI-Website zum Download bereit.

Digitalisierung Hilfsmittel Pflegedienstoptimierung Qualitätsmanagement