Bonn, 17. März 2026. Für den ganzheitlichen Schutz sensibler Gesundheitsdaten ist die Verwendung sicherer Software-Produkte bspw. im Krankenhaus, in der Arztpraxis oder beim ambulanten Pflegedienst notwendig. Die IT-Sicherheit von Software-Produkten im Gesundheitswesen ist allerdings ausbaufähig. Das stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach der Testung der Standardkonfiguration unterschiedlicher Software-Produkte im Gesundheitswesen fest. Das BSI veröffentlicht zusammen mit den Testergebnissen begleitende Empfehlungen, die dabei unterstützen sollen, die IT-Sicherheit dieser Produkte künftig zu stärken.
Im Auftrag des BSI wurde die IT-Sicherheit von Informations- bzw. Verwaltungssystemen in Arztpraxen sowie ambulanten Pflegeeinrichtungen getestet, welche als zentrale Softwareprodukte verwendet werden. Ziel war es, den etablierten Stand der IT-Sicherheit besser einschätzen zu können und konkrete Verbesserungshinweise zu erarbeiten. Damit knüpfen die beiden Projekte unmittelbar an das Projekt Sicherheit von Krankenhausinformationssystemen an, dessen Empfehlungen, Dank der Kommentare aus der Öffentlichkeit, nun in der aktuellen Version veröffentlicht werden konnten.
Sicherheit von Praxisverwaltungssystemen (SiPra)
Im Rahmen des Projekts wurden vier exemplarische Praxisverwaltungssysteme (PVS) mittels Penetrationstests untersucht. Die Ergebnisse zeigen, dass trotz unterschiedlicher Technologien, bei drei von vier untersuchten Produkten die Verkettung einzelner Schwachstellen einen Angriff aus dem Internet ermöglicht. Die Schwachstellen waren unter anderem: Keine Verwendung von Verschlüsselungsverfahren bei der Datenübertragung oder auch die Verwendung veralteter und daher unsicherer Verschlüsselungsalgorithmen. Die identifizierten Schwachstellen wurden an die jeweiligen Hersteller kommuniziert und von diesen unverzüglich adressiert und mitigiert.
Die begleitend zum Abschlussbericht veröffentlichten Empfehlungen helfen, die Verkettung zu unterbrechen und die Sicherheit von PVS weiter zu stärken. Auftragnehmer des Projekts war die Firma Enno Rey Netzwerke (ERNW).
DiPS – Studie zur Sicherheit von digitalen Pflegedokumentationssystemen
Mit einem vergleichbaren Vorgehen wurde die IT-Sicherheit von digitalen Pflegedokumentationssystemen betrachtet. Bei der Testung von drei exemplarischen Produkten fielen insbesondere Schwachstellen bei der Kommunikationsverschlüsselung, der Authentifizierung und der Prüfung von Software-Updates auf. Auch architektonische Schwachstellen, die eine sichere und effektive Nutzerautorisierung unmöglich machen, wurden entdeckt und kommuniziert. Die daraus aufbauenden Empfehlungen adressieren samt einer Checkliste ambulante Pflegedienste, sodass die Empfehlungen dabei helfen, die Systeme sicher betreiben zu können und die IT-Sicherheit insgesamt verbessern zu können. Auftragnehmer des Projekts war das e-Health-Team des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT).
Beide Projekte verdeutlichen: Für die sichere Verwendung von Gesundheitsdaten, bedarf es einer hohen Sicherheit bei den verschiedenen zentralen Softwareprodukten. Sei es das Krankenhausinformationssystem, das Praxisverwaltungssystem oder das Pflegedokumentationssystem, Nutzerauthentifizierung und -autorisierung stellen weiterhin eine Herausforderung dar.
Die Projektergebnisse von SiPra und DiPS in Ergänzung zu den Ergebnissen aus SiKIS benennen vergleichbare Schwachstellen in unterschiedlichen Produkten des Gesundheitswesens. Die jeweiligen Empfehlungen widmen sich einerseits den Herstellern (SiPra) und andererseits den Betreibern und Nutzern (DiPS), sodass sie dabei helfen, die Schwachstellen einerseits zu beheben und die sichere Verwendung zu stärken.
Die erarbeiteten Empfehlungen können bis zum 17. Juni 2026 kommentiert werden.
Darüber hinaus freut sich das BSI bei der diesjährigen DMEA mit einem Stand in Halle 2.2, Stand C-106 vertreten zu sein. Dort sind unsere Expertinnen und Experten für Rückfragen zu diesen Projekten und zu weiteren Arbeiten des BSI im Gesundheitswesen ansprechbar.
Weiteres zu SiPra:
• Abschlussbericht zum Projekt Sicherheit von Praxisverwaltungssystemen (SiPra)
• Empfehlungen zur Steigerung der IT-Sicherheit von Praxisverwaltungssystemen (zur Kommentierung bis 17. Juni 2026)
Weiteres zu DiPS:
• Abschlussbericht zum Projekt Studie zur Sicherheit von digitalen Pflegedokumentationssystemen (DiPS)
• Handlungsempfehlungen zur Verbesserung der IT-Sicherheit in ambulanten Pflegediensten (zur Kommentierung bis 17. Juni 2026)
Weiteres zu SiKIS:
• SiKIS Abschlussbericht
• SiKIS Handlungsempfehlungen
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2026/260317_Software-Produkte_Gesundheitswesen.html
© Bundesamt für Sicherheit in der Informationstechnik