Epic, Cistec, Ine: Gravierende Löcher bei Schweizer KIS

Das Nationale Testinstitut für Cybersicherheit in Zug hat ernsthafte Sicherheitslücken in Klinikinformationssystemen (KIS) identifiziert. Geprüft wurden die Produkte des US-Unternehmens Epic, Kisim der Zürcher Firma Cistec sowie Ineskis des deutschen Herstellers Ines.

In der Schweiz kommen im Wesentlichen drei bis fünf KIS-Lösungen zum Einsatz. Diese sind speziell auf die Anforderungen und Besonderheiten des schweizerischen Gesundheitswesens zugeschnitten und werden von nahezu allen grösseren Spitälern hierzulande eingesetzt. Gespräche mit verschiedenen Spitälern hätten ergeben, dass trotz der kritischen Bedeutung dieser Systeme nur selten Sicherheitsüberprüfungen durchgeführt werden, schreibt das NTC: «Die Gründe dafür sind vielfältig und reichen vom hohen Spardruck im Gesundheitswesen über ein mangelndes Bewusstsein für IT-Sicherheit bis hin zu unklaren Verantwortlichkeiten.»

Die Überprüfung erfolgte auf Initiative und mit Ressourcen des Nationalen Testinstituts. Die beteiligten Spitäler haben die Überprüfung organisatorisch unterstützt und sich – wie zum Beispiel der Berner Insel Gruppe – an den Kosten beteiligt. Ohne konkrete Namen zu nennen, weist das Institut auch auf Schwierigkeiten bei der Prüfung hin: Einzelne Hersteller hätten das NTC und die Spitäler aufgefordert, Geheimhaltungsvereinbarungen zu unterzeichnen. Das NTC lehne solche Vereinbarungen konsequent ab, wenn sie nicht dem Schutz der Patientendaten, sondern ausschliesslich den Interessen der Hersteller dienen.

Die beteiligten Spitäler wie unter anderem die Kantonsspitäler Zug, Winterthur, Graubünden und Aargau hätten diese Haltung «engagiert» mitgetragen.

Die Tests würden zeigen, dass Überprüfungen der Cybersicherheit dringend notwendig sind, heisst es im Bericht. In jedem der untersuchten Systeme wurden schwerwiegende Schwachstellen identifiziert, wobei einige deutlich stärker betroffen seien als andere. Insgesamt wurden mehr als 40 mittlere bis schwere Schwachstellen identifiziert.

Drei davon weisen die höchste Kritikalität auf. Die Hauptprobleme würden grundlegende Architekturprobleme umfassen, fehlende oder nicht ordnungsgemäss umgesetzte Verschlüsselung, verwundbare Umsysteme sowie eine unzureichende Trennung zwischen Test- und Produktionsumgebungen.

«Einige der identifizierten Schwachstellen ermöglichten innerhalb weniger Stunden den vollständigen Zugriff auf Patientendaten und Systeme», heisst es in der Mitteilung zum Bericht. Während die meisten relevanten Schwachstellen inzwischen behoben oder durch mitigierende Massnahmen entschärft worden seien, würden einige grundlegende Probleme eine umfassende Neugestaltung der Softwarearchitektur erfordern – «was laut den Herstellern mehrere Jahre in Anspruch nehmen wird.»

Im Bericht werde bewusst auf die Nennung von Details zu den Schwachstellen verzichtet. Stattdessen sei eine allgemeine Information über den NTC Vulnerability Hub sowie eine gezielte Benachrichtigung der betroffenen Spitäler über den Cyber Security Hub (CSH) des Bundesamtes für Cybersicherheit (Bacs) erfolgt. Alle Hersteller hätten erkannt, «dass eine Architektur, welche die Sicherheit von Anfang an berücksichtigt, unabdingbar ist», so die NTC-Prüfer. Während einige Hersteller diesen Wandel frühzeitig eingeleitet hätten und bereits weit fortgeschritten seien, würden andere noch am Anfang stehen.

Auf Anfrage der SRF-«Tagesschau» erklärte Cistec zu den Ergebnissen: «Der Test hat bei unserem System eine einzige kritische Lücke gezeigt. Diese konnte nur genutzt werden, wenn man mit allen Rechten im internen Spitalnetz agieren konnte. Die Lücke ist mittlerweile geschlossen.»

Die anderen beiden Firmen, Ines und Epic, teilten mit, «man lege viel Wert auf Cybersicherheit und begrüsse solche Schwachstellenprüfungen.»

Der Bericht enthält auch acht zentrale Empfehlungen zur nachhaltigen Verbesserung der Cybersicherheit in Schweizer Spitälern. «Dazu zählt die Berücksichtigung von Cybersicherheitsanforderungen bereits bei der IT-Beschaffung sowie die Durchführung regelmässiger Schwachstellenanalysen zur fortlaufenden Kontrolle. Insbesondere in kleineren Spitälern müssen die Verantwortlichkeiten in Bezug auf die Cybersicherheit klar geregelt und die nötigen Ressourcen bereitgestellt werden», hält das NTC fest.Zudem wird eine verstärkte Vernetzung unter den Spitälern sowie der Zugang zum Cyber Security Hub empfohlen. Die Ergebnisse der Prüfungen würden die Notwendigkeit regelmässiger Sicherheitsüberprüfungen und klarer Verantwortlichkeiten verdeutlichen, schliesst das Institut.

«Schweizer Spitäler innert Stunden gehackt»: Beitrag in SRF News, 23. Januar 2025.