Experten stellen dem deutschen Gesundheitswesen oft ein schlechtes Zeugnis bei der IT-Security aus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt in einer jetzt veröffentlichten Bestandsaufnahme des Jahres 2024 zu einem anderen Schluss: Insgesamt sei “das Niveau der Informationssicherheit im digitalen Gesundheitswesen grundsätzlich als positiv zu bewerten". Und das, "obwohl die Gefährdungslage für Digitalisierungsprojekte" zugenommen habe.
"Herausfordernd" sei das vergangene Jahr angesichts der laufenden Digitalisierung des Gesundheitssystems aber schon gewesen, räumt das BSI ein. So war das BSI etwa an der Entwicklung der Sicherheitsarchitektur für die ePA beteiligt. Dabei sei es – teils zusammen mit der für die Telematik-Infrastruktur (TI) zuständigen Gematik – allen Meldungen zu möglichen Schwachpunkten nachgegangen. Dies habe etwa zu Anpassungen in den Spezifikationen geführt.
Auf dem Jahreskongress des Chaos Computer Clubs (CCC) im vergangenen Dezember hatten Sicherheitsforscher diverse Sicherheitsmängel bei der elektronischen Patientenakte (ePA) aufgezeigt. Diese sind in dem vorliegenden Bericht aber nicht berücksichtigt.
Vielfalt an IT-Lösungen in Praxen ist kein Nachteil
Die Sicherheit klassischer Medizinprodukte bewegt sich laut dem Report "auf einem gleichbleibend hohen Niveau", auch wenn eine Untersuchung von Krankenhausinformationssystemen dort gerade Probleme ausgemacht hat. Ein nur schwierig einschätzbarer Bereich ist der Bonner Behörde zufolge die Sicherheit der knapp 140.000 Arztpraxen in Deutschland. Dies liege an der breiten Heterogenität der IT-Ausstattung sowie an nicht vorhandenen standardisierten Meldewegen für Sicherheitsvorfälle.
Dass für Praxen keine einheitliche Hard- und Software beschafft werde, sei prinzipiell von Vorteil für die IT-Sicherheit, stellen die Autoren fest. Entdeckte Sicherheitslücken seien so kaum übertragbar. Zugleich erforderte der bunte IT-Salat aber "ein breites IT-sicherheitstechnisches Verständnis in der jeweiligen Arztpraxis".
Nach Betrachtung medizinischer Einrichtungen und einer Umfrage unter ärztlichem Fachpersonal kommt das BSI zu der Erkenntnis, "dass weniger technische Ausstattung als vielmehr Information der Schlüssel zur erfolgreichen Etablierung von Informationssicherheit in der ambulanten Versorgung ist".
Die Kommunikation grundlegender Sicherheitsmechanismen zur Unterstützung des sicheren digitalen Praxisalltags unter Einbezug der Dienstleister vor Ort werde "eine Aufgabe für die kommenden Jahre sein". Das Amt will dabei seine Kompetenz rund um Prävention, Detektion und Reaktion gemeinsam mit den Aufsichtsbehörden, Herstellern, Dienstleistern und Praxispersonal weiter einbringen.
(vbr)
English (US) ·