Krankenwagen in Blaulichtfahrt

Schwachpunkt KIS: BSI Studie zeigt Mängel auf

Krankenhausinformationssysteme (KIS) sind das digitale Rückgrat der medizinischen Versorgung. Doch wie sicher sind diese zentralen Systeme? Um das zu klären beauftragte das Bundesamt für Sicherheit in der Informationstechnik (BSI) das e-Health-Team des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT), welches die IT-Sicherheit deutscher KIS eingehend untersucht und besorgniserregende Schwachstellen aufgedeckt hat. Der unter dem Namen „Sicherheitseigenschaften von Krankenhausinformationssystemen (SiKIS)“ am 27.03.2025 veröffentlichte Abschlussbericht beleuchtet insbesondere die in Deutschland verbreiteten KIS-Architekturen, die in Krankenhäusern verwendeten Kommunikationsprotokolle und die Ergebnisse umfassender Penetrationstests zweier KIS-Implementationen.

Krankenhausinformationssysteme im Allgemeinen

KIS sind die zentralen digitalen Systeme zur Verwaltung von Patientendaten in Krankenhäusern. Sie speichern und verarbeiten den Großteil der im Krankenhaus anfallenden Daten und sind mit diversen spezialisierten Subsystemen wie einem Radiologieinformationssystem (RIS) oder Laborinformationssystem (LIS) vernetzt.

Daraus folgt, dass ein Ausfall dieser Systeme zum Ausfall der kompletten digitalen Behandlungsabläufe führen kann und somit die normalen Krankenhausaktivitäten stark beeinträchtigen würde. Die Zuverlässigkeit der KIS ist daher von zentraler Bedeutung für die Versorgungszuverlässigkeit. Die aktuell größte Gefahr hierfür sehen die Autoren in Ransomware-Angriffen, bei denen nicht erreichbare Systeme immer wieder Aufnahmestopps und das Aussetzen von Operationen zur Folge haben.

Architektonisch stellen die Autoren fest, dass KIS auf dem deutschen Markt entweder in einer Zwei- oder einer Drei-Schicht-Architektur umgesetzt werden.

  • Zwei-Schicht-Architektur: Der KIS-Client greift direkt auf einen zentralen Datenbankserver zu.
  • Drei-Schicht-Architektur: Zwischen KIS-Client und Datenbankserver ist ein Anwendungsserver (KIS-Server) installiert, der die Business-Logik beinhaltet und den Datenbestand verarbeitet.

Untersuchte Protokolle und ihre Sicherheitseigenschaften

Im Rahmen der Studie wurden zunächst gängige Nachrichtenprotokolle auf theoretischer Basis beschrieben und auf ihre Sicherheit hin bewertet. Der Fokus lag auf den in deutschen medizinischen Einrichtungen verwendeten Austauschformaten, zu denen unter anderem Schnittstellen zwischen KIS und Subsystemen gehören.

Die Studie beleuchtete die Sicherheitsfeatures dieser Formate und berücksichtigte dabei, dass deren Implementierung oft nicht vorgeschrieben ist und in der Praxis möglicherweise vernachlässigt wird. Die folgenden Protokolle wurden untersucht:

  • DICOM (medizinische Bilddaten): Spezifiziert Mechanismen zur Verschlüsselung, Authentifizierung und Integritätssicherung. Jedoch ist bekannt, dass es in der Praxis trotzdem meist unsicher verwendet wird.
  • HL7 v2 (klinische & admin. Daten): Spezifiziert keine Sicherheitsmechanismen. Auch hier ist bekannt, dass es in der Praxis meist unsicher verwendet wird.
  • HL7 v3: Spezifiziert wie v2 keine Sicherheitsmechanismen. Zwar gibt es keine Untersuchungen, es ist jedoch anzunehmen, dass auch v3 in der Praxis meist unsicher verwendet wird.
  • FHIR (Weiterentwicklung von HL7): Erzwingt ebenfalls keine Sicherheitsmechanismen, es werden jedoch erstmals konkrete Empfehlungen gemacht. Die Nutzung von HTTP vereinfacht zusätzlich den sicheren Einsatz in der Praxis.
  • ISiK (Anbindung an Messgeräte und Subsysteme): FHIR-Profil mit verpflichtenden Vorgaben zu Verschlüsselung und Autorisierung. Ob die übrigen Mechanismen in der Praxis angewendet werden, ist unbekannt.
  • xDT/KVDT (für niedergelassene Ärzte): Spezifiziert keine Sicherheitsmechanismen. Die Anwendung in der Praxis ist unbekannt.
  • EDIFACT (Abrechnungsdaten): Spezifiziert keine Sicherheitsmechanismen. Es ist von einer unsicheren Anwendung in der Praxis auszugehen.
  • POCT1-A (Point-of-Care Testgeräte): Spezifiziert keine Sicherheitsmechanismen. Die Anwendung in der Praxis ist unbekannt.
  • LIS1/LIS2 (Labordaten): Spezifiziert keine Sicherheitsmechanismen. Die Anwendung in der Praxis ist unbekannt.

Ergebnisse des Penetrationstests

Im Verlauf der Studie standen außerdem zwei KIS einem risikobasierten Penetrationstest auf Testsystemen von Krankenhäusern zum Test. Systemeigenschaften mit hoher Sicherheitsrelevanz wurden priorisiert untersucht. Ziel war es, Angriffe zu untersuchen, die die Vertraulichkeit, Integrität oder Verfügbarkeit der Patientendaten und Prozesse gefährden könnten.

Die generalisierten Ergebnisse zeigen schwerwiegende und vielfältige Schwachstellen in den getesteten KIS auf:

  • Fehlende Verschlüsselung: In einem Fall waren die Verbindungen zwischen Client und Server unverschlüsselt, was die Vertraulichkeit der Daten gefährdete.
  • Unzureichende Zertifikatsprüfung: Ein KIS führte nur eine unzureichende Überprüfung der TLS-Zertifikate durch, was Man-in-the-Middle (MitM)-Angriffe ermöglichen könnte.
  • Zwei-Schicht-Architektur: Eines der Systeme nutzte nur einen Datenbankzugang für alle Nutzer. Selbst niedrig privilegierte Nutzer konnten so sensible Daten abrufen.
  • Veraltete Hash-Algorithmen: Beide KIS verwenden veraltete Algorithmen, um Passwörter zu hashen. Solche Hashes sind relativ schnell knackbar.
  • Veraltete Verschlüsselungsalgorithmen: Ähnlich wie zuvor, nutzte eines der System ein veralteten Algorithmus, um Passwörter zu verschlüsseln.
  • Unsichere und veraltete Wartungszugänge: Es fielen KIS-Zugänge mit trivialen Passwörtern auf, die umfassenden Zugriff auf die Datenbank erlaubten.
  • Fehlender Integritätsschutz der Software: Bei Softwareupdates schützten Codesignaturen die übertragenen Daten nicht vor Veränderungen. Angreifende könnten dadurch die Update-Daten austauschen, um Schadcode einzufügen.
  • Lokale Rechteausweitung: Schwachstellen erlaubten, Angreifenden mit geringen Privilegien ihre Rechte auszuweiten.
  • Unzureichendes Rechtemanagement für Stored Procedures: Bei einem KIS konnten alle Zugangskonten administrativer Stored Procedures in der Datenbank ausführen, was zur Einschränkung der KIS-Funktionalität führte.
  • Cross-Site-Scripting (XSS): Durch unzureichend geprüfte Eingaben war schädlicher JavaScript-Code eingeschleusbar und ausführbar, was z. B. die Änderung von Kennwörtern mit den Rechten des legitimierten Kontos ermöglicht.

Fazit der Studie

Die Autoren kommen in der Studie zu dem Fazit, dass sowohl auf der Seite der Nachrichtenprotokolle als auch bei den KIS Flexibilität und Verfügbarkeit oft Vorrang vor der IT-Sicherheit haben. Sie merken an, dass sich KIS-Hersteller kooperativ bei der Behebung der gefundenen Schwachstellen zeigten, und dass neuere Protokolle Sicherheitsmechanismen spezifizieren, jedoch zeigen sich die in der Praxis angewendeten Systeme trotz dessen äußerst vulnerabel. Basierend auf diesen Studienergebnissen veröffentlichten die Autoren deshalb detaillierte Handlungsempfehlungen, die KIS-Herstellern und Krankenhäusern helfen sollen, die gefundenen Probleme sowohl auf technischer, als auch auf organisatorischer Ebene zu beheben.

Außerdem melden für die Zukunft melden die Autoren weiteren Forschungsbedarf an, um die
Sicherheit von KIS und Krankenhäusern insgesamt zu verbessern. Hierfür müssen insbesondere neue Nachrichtenprotokolle zugänglich für Forscher sein, damit diese von Beginn an auf ihre Sicherheitseigenschaften untersucht werden können. Insgesamt soll die IT-Sicherheit von Krankenhäusern zukünftig mehr in den Fokus der Öffentlichkeit und der Forschung stehen.

getaggt in:

Jonas Hanfland