Gravierende Sicherheitslücken in Klinikinformationssystemen entdeckt

Gemäss einem Bericht des Nationalen Testinstituts für Cybersicherheit NTC wurden in Klinikinformationssystemen gravierende Sicherheitslücken festgestellt. Der Bericht gibt Empfehlungen ab, wie die Cybersicherheit in Schweizer Spitälern nachhaltig verbessert werden kann.

Einige Klinikinformationssysteme weisen gemäss einem Bericht gravierende Sicherheitslücken auf. (Bild: Depositphotos.com)

Klinikinformationssysteme bilden das Herzstück moderner Spitäler. Sie steuern den Informationsfluss, verarbeiten sensible Patientendaten und sorgen für reibungslose Abläufe im Spitalumfeld. Die Untersuchung des Natinalen Testinstituts für Cybersicherheit NTC hat nun ergeben, dass die Cybersicherheit dieser essenziellen Systeme in vielen Fällen unzureichend sei. 

Ergebnisse der Analyse

In allen untersuchten Systemen seien gemäss dem Bericht gravierende Sicherheitslücken festgestellt worden. Insgesamt identifiziert der Bericht mehr als 40 mittlere bis schwere Schwachstellen. Drei davon weisen die höchste Kritikalität auf. Als besonders anfällig haben sich Lösungen gezeigt, die auf veralteten Architekturen basieren. Die Hauptprobleme umfassen grundlegende Architekturprobleme, fehlende oder nicht ordnungsgemäss umgesetzte Verschlüsselung, verwundbare Umsysteme sowie eine unzureichende Trennung zwischen Test- und Produktionsumgebungen, wie es im Bericht heisst.

Tests ergaben, dass einige der identifizierten Schwachstellen innerhalb weniger Stunden den vollständigen Zugriff auf Patientendaten und Systeme erlauben. Während die meisten relevanten Schwachstellen inzwischen behoben oder durch mitigierende Massnahmen entschärft wurden, erfordern einige grundlegende Probleme eine umfassende Neugestaltung der Softwarearchitektur, was laut den Herstellern mehrere Jahre in Anspruch nehmen wird. Zudem wurden im Rahmen der Analyse mehrere kritische Schwachstellen in Umsystemen entdeckt, die nicht Teil des definierten Prüfungsumfangs waren, jedoch aufgrund ihrer Auffälligkeit als Zufallsfunde erkannt wurden. 

Im Bericht wird bewusst auf die Nennung von Details zu den Schwachstellen verzichtet. Stattdessen erfolgte eine allgemeine Information über den NTC Vulnerability Hub sowie eine gezielte Benachrichtigung der betroffenen Spitäler über den Cyber Security Hub (CSH) des Bundesamtes für Cybersicherheit (BACS).

Empfehlungen für Spitäler

Der Bericht enthält acht zentrale Empfehlungen zur nachhaltigen Verbesserung der Cybersicherheit in Schweizer Spitälern. Dazu zählt die Berücksichtigung von Cybersicherheitsanforderungen bereits bei der IT-Beschaffung sowie die Durchführung regelmässiger Schwachstellenanalysen zur fortlaufenden Kontrolle. Insbesondere in kleineren Spitälern müssen die Verantwortlichkeiten in Bezug auf die Cybersicherheit klar geregelt und die nötigen Ressourcen bereitgestellt werden. Zudem wird eine verstärkte Vernetzung unter den Spitälern sowie der Zugang zum Cyber Security Hub (CSH) des Bundesamtes für Cybersicherheit (BACS) empfohlen.

Quelle und weitere Informationen: www.ntc.swiss

Dieser Beitrag erschien ursprünglich auf m-q.ch - https://www.m-q.ch/de/gravierende-sicherheitsluecken-in-klinikinformationssystemen-entdeckt/

Weitere Beiträge zum Thema