BSI warnt: Medizinsoftware öffnet Hackern Tür und Tor

Alarmierende Sicherheitslücken in Arzt- und Pflegesoftware gefährden sensible Patientendaten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bei Standard-Installationen gängiger Praxisverwaltungssysteme und digitaler Pflegedokumentation gravierende Schwachstellen entdeckt. Die Mängel könnten Cyberangriffen direkt aus dem Internet Tür und Tor öffnen – just zum Zeitpunkt, an dem die elektronische Patientenakte (ePA) flächendeckend eingeführt wird.

Angesichts der alarmierenden Sicherheitslücken in medizinischer Software müssen Unternehmen ihre IT-Infrastruktur proaktiv schützen. Dieser Experten-Report enthüllt effektive Strategien gegen Cyberkriminelle, die ohne Budget-Explosion umsetzbar sind. Wie mittelständische Unternehmen sich gegen Cyberkriminelle wappnen

Projekt SiPra: Praxissoftware als Einfallstor

Die digitalen Praxisverwaltungssysteme (PVS) sind das Rückgrat der ambulanten Versorgung. Sie verwalten Termine, Abrechnungen und höchst sensible Diagnosedaten. In seinem Projekt SiPra ließ das BSI vier marktführende Systeme von Sicherheitsexperten penetrieren – getestet wurde die Standardkonfiguration, wie sie in Praxen üblich ist.

Das Ergebnis ist besorgniserregend: Drei der vier getesteten Systeme wiesen kombinierbare Schwachstellen auf, die einen erfolgreichen Angriff aus dem Internet ermöglichen könnten. Kernproblem ist die unzureichende Verschlüsselung. Teilweise fehlte sie bei der Datenübertragung komplett, teilweise kamen veraltete, leicht zu knackende Algorithmen zum Einsatz. Dabei hat das BSI längst empfohlen, klassische asymmetrische Verschlüsselung bis Ende 2031 auszumustern.

Projekt DiPS: Architektonische Mängel in der Pflege

Parallel untersuchte das BSI in Projekt DiPS Software für die mobile und ambulante Pflege. Auch hier offenbarten sich erhebliche Lücken, vor allem bei Verschlüsselung, Nutzerauthentifizierung und Update-Mechanismen. Besonders problematisch: tief verwurzelte architektonische Schwächen im Software-Design. Solche strukturellen Mängel lassen sich nicht einfach per Patch beheben, sondern erfordern eine grundlegende Überarbeitung der Software.

Sofortmaßnahmen und neue Leitlinien

Das BSI hat die Hersteller informiert, die umgehend mit der Behebung der Lücken begonnen haben. Doch das Flicken einzelner Schwachstellen reicht nicht aus. Daher hat das Amt umfassende Sicherheitsleitlinien für Entwickler und Anwender veröffentlicht.

Für Praxissoftware (SiPra) richten sich die Empfehlungen vor allem an die Hersteller. Sie sollen „Secure-by-Design“-Prinzipien umsetzen und moderne Verschlüsselung verwenden. Für Pflegedokumentationssysteme (DiPS) gibt es eine praktische Checkliste für die Pflegedienste selbst, die oft keine eigene IT-Abteilung haben. Bis zum 17. Juni 2026 können Fachkreise zu den Leitlinien Stellung nehmen.

Warum Gesundheitsdaten so attraktiv für Kriminelle sind

Die Enthüllungen des BSI kommen zu einer Zeit, in der Kliniken und Praxen immer häufiger ins Visier von Cyberkriminellen geraten. Gesundheitsdaten sind im Darknet besonders wertvoll – oft mehr als Kreditkarteninformationen. Sie ermöglichen Identitätsdiebstahl, Versicherungsbetrug oder gezielte Phishing-Angriffe.

Besonders perfide Hacker-Methoden führen aktuell zu Rekordschäden, da Kriminelle gezielt Schwachstellen in der IT-Sicherheit ausnutzen. Ein kostenloser Experten-Guide zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen wirksam vor Phishing und Cyber-Angriffen schützen. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Die größte Gefahr sind jedoch Ransomware-Angriffe. Hacker nutzen Softwarelücken aus, verschlüsseln Patientendatenbanken und fordern Lösegeld. Der Ausfall von Systemen kann Operationen platzen lassen, die Notfallversorgung beeinträchtigen und Praxen in den Ruin treiben. Die Projekte SiPra und DiPS zeigen: Die Einfallstore für solche Katastrophen sind in Standardsoftware bereits vorhanden.

Digitale Gesundheitspolitik steht auf dem Spiel

Seit Anfang 2025 wird die elektronische Patientenakte (ePA) für alle gesetzlich Versicherten eingeführt. Die zentrale Telematikinfrastruktur ist zwar gut gesichert – doch wenn die Praxissoftware am Ende der Kette löchrig ist, ist die gesamte Datensicherheit gefährdet.

Hinzu kommt der geplante Europäische Gesundheitsdatenraum (EHDS), der den grenzüberschreitenden Austausch von Gesundheitsdaten regeln soll. Bei einem Treffen europäischer Gesundheitsministerien Mitte März 2026 in Deutschland stand die absolute Notwendigkeit des Datenschutzes im Mittelpunkt. Der Erfolg von ePA und EHDS hängt maßgeblich vom Vertrauen der Bürger ab. Wenn Patienten fürchten, dass ihre Krankengeschichte durch unsichere Praxissoftware in falsche Hände gerät, werden sie die Digitalisierung ablehnen.

Die kommenden Monate werden entscheidend sein. Die Hersteller stehen unter Druck, die aufgedeckten Mängel zu beheben. Die öffentliche Konsultation bis Juni könnte freiwillige Empfehlungen in verbindliche Zertifizierungspflichten für Medizinsoftware münden. Eines ist klar: Die Innovation im Gesundheitswesen darf der Cybersicherheit nicht davonlaufen.

boerse | 68920564 |