Gesundheitswesen mit mangelhafter IT-Sicherheit

1
166
Vernetzte Medizingeräte, Telematik, Gesundheits-Apps: Teils mangelt es an der IT-Sicherheit. (Foto: mcmurryjulie, www.pixabay.com)

Im ersten Quartal 2021 startet die elektronische Patientenakte (ePA) mit einer Testphase. Bei der zugrunde liegenden Telematikinfrastruktur fanden IT-Sicherheitsforscher im Sommer noch Sicherheitsprobleme. Auch bei medizinischem Gerät und Gesundheits-Apps sind Sicherheitslücken keine Seltenheit. Schlechte Voraussetzungen, wenn die Digitalisierung in das Gesundheitswesen Einzug halten soll.

Auf einer Veranstaltung des Chaos Computer Clubs präsentierten IT-Sicherheitsforscher Ergebnisse eines Portscans der Telematikinfrastruktur. Gefunden hatten sie 29 Konnektoren, die ohne Authentifizierung erreichbar waren. Hätte es zu diesem Zeitpunkt bereits die elektronische Patientenakte gegeben, hätten Hacker sie ohne große Schwierigkeiten auslesen können, so die Forscher. Die für den Betrieb verantwortliche gematik GmbH wurde vorab informiert, um die Schwachstellen beheben zu können.

Dass der Telematik-Betreiber die Informationssicherheit bei der ePA ernst nimmt, zeigt die bei der TU Graz in Auftrag gegebene Sicherheitsanalyse. Die Autoren kamen zum Schluss, dass die Verschlüsselungsarchitektur gut durchdacht sei. Sie fanden vier Schwachstellen, die allesamt behoben wurden.

Zahlreiche Sicherheitslücken bei Servern und Apps

Sicherheitsprobleme sind auch anderswo offenbar geworden. So seien 200 Server von Gesundheitseinrichtungen mit unzureichendem Datenschutz entdeckt worden. Auch bei Gesundheits-Apps von privaten Anbietern mangele es teils an Datenschutz und Sicherheit. So konnten die Experten bei der Terminvergabe-Lösung Doctolib auf Metadaten zugreifen: Dritte könnten auf diesem Weg ermitteln, bei welchen Arztpraxen Patienten Termine gemacht haben. Über die Corona-Datenspende-App Thryve sei sogar der unbefugte Zugriff auf personalisierte Daten von Fitnessarmbändern möglich gewesen.

Keine Sicherheitsevaluierung bei Medizingeräten

Ein ernüchterndes Zeugnis stellte jüngst auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) aus. Eine aktuelle Studie zeigt IT-Sicherheitsprobleme bei Medizingeräten wie Herzschrittmachern oder Insulinpumpen auf. Eine Stichprobe mit zehn Geräten brachte 150 Sicherheitslücken zutage. Eine parallele Studie zu vernetzten Produkten für den Pflegebereich kam zu ähnlich gravierenden Ergebnissen. Alle sechs getesteten Geräte vom Hausnotrufsystem über die smarte Pillendose bis hin zum Senioren-Tablet wiesen mittlere oder sogar schwerwiegende Schwachstellen auf. Die Cyber-Behörde schließt daraus, dass keinerlei Sicherheitsevaluierung stattgefunden hat und bei der Entwicklung keine der unter anderem vom BSI veröffentlichten Handreichungen zur Sicherheit bei vernetzten Medizinprodukten zu Rate gezogen worden ist.

1 Kommentar

  1. Zitat: “Hätte es zu diesem Zeitpunkt bereits die elektronische Patientenakte gegeben, hätten Hacker sie ohne große Schwierigkeiten auslesen können, so die Forscher.”

    Das suggeriert, dass sämtliche ePAs angreifbar gewesen wären. Richtig ist aber, dass lediglich die ePAs angreifbar gewesen wären, für die die betroffenen 29 Arztpraxen Zugriffsrechte von ihren Patienten eingeräumt bekamen. Nur mal so der Korrektheit wegen.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here