Security-Check für Krankenhaus-IT
08.12.2023 - Das BSI beauftragt Studien zur Sicherheit von Krankenhausinformationssystemen und Datenaustauschformaten.
Krankenhäuser verarbeiten zahlreiche Gesundheitsdaten von Patientinnen und Patienten. Das Krankenhausinformationssystem (KIS), eine spezielle Software in der Medizinbranche, ist das Herzstück der medizinischen Versorgung und Datenhaltung. Wie sicher sind diese Systeme, und wie sicher sind sensible Daten bei der Übertragung?
Dies prüft das e-Health-Team des Fraunhofer-Instituts für Sichere Informationstechnologie SIT im jetzt vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gestarteten Projekt SiKIS (Sicherheitseigenschaften von Krankenhausinformationssystemen). Geplant sind unter anderem praktische Sicherheitstests von KIS, wofür noch Test-Kandidaten gesucht werden. Für teilnehmende Hersteller, Kliniken und Krankenhäuser entstehen keine Kosten.
Ein Patient, eine Patientin wird in einem Krankenhaus aufgenommen, auf verschiedenen Stationen untersucht und individuell medizinisch versorgt. Bei jedem Schritt fallen sensible Daten in unterschiedlichen Systemen an: Befunde, Untersuchungsergebnisse, Therapieentscheidungen, OP-Berichte sowie Informationen zu Pflege, Medikation etc. Diese Daten werden an medizinische IT-Systeme im Krankenhaus weitergeleitet, aber auch an Arztpraxen, an die Krankenkasse und andere Teilnehmende der Gesundheitsinfrastruktur.
Zentraler Bestandteil dieser Datenverarbeitung ist in vielen Kliniken das Krankenhausinformationssystem (KIS), in dem die zentrale Patientenakte geführt wird. Wie sicher sind diese Systeme vor Cyber-Angriffen, und wie sicher sind die sensiblen Daten von Patientinnen und Patienten beim Austausch zwischen verschiedenen internen und externen Systemen? Mit dieser Fragestellung hat das BSI das Fraunhofer SIT beauftragt.
Hersteller und Kliniken: KIS-Testsysteme gesucht
Die e-Health-Expertinnen und -Experten des Fraunhofer SIT planen hierfür zunächst eine Marktanalyse, die feststellen soll, welche Systeme und Datenaustauschformate (z. Bsp. HL7, DICOM oder FHIR) im Klinikalltag in Deutschland am häufigsten im Einsatz sind. In einem zweiten Schritt werden sie Krankenhausinformationssysteme auf Herz und Nieren prüfen. Hier suchen die Forschenden KIS-Hersteller und Kliniken, die mit ihnen zusammenarbeiten und ihre KIS mittels Penetrationstests kostenneutral evaluieren lassen möchten. Nach dem Test werden die Ergebnisse zusammen mit einem Prüfzertifikat zur Verfügung gestellt.
Mögliche Schwachstellen werden in enger Zusammenarbeit mit dem BSI in einem Coordinated-Vulnerability-Disclosure-Verfahren dem Hersteller gemeldet. Durch dieses Verfahren werden sicherheitskritische Probleme frühzeitig entdeckt und können frühestmöglich behoben werden.
Basierend auf den vorherigen Ergebnissen werden zum Ende des Projektes abschließende Handlungsempfehlungen für Krankenhäuser und Kliniken erstellt, welche zur Veröffentlichung durch das BSI vorgesehen sind.
Über das Projekt
Das Projekt SiKIS – Sicherheitseigenschaften von Krankenhausinformationssystemen – läuft von November 2023 bis November 2024 und umfasst ein Volumen von rund 200.000 Euro. Neben Fraunhofer SIT ist ein weiterer Projektpartner OpenSource Security (OS-S) aus Steinfurt an der Durchführung des Projektes beteiligt. Auftraggeber ist das BSI.