Epic, Cistec, Ine: Gravierende Löcher bei Schweizer KIS

Das Nationale Testinstitut für Cybersicherheit prüfte die Klinikinformationssysteme grosser Spitäler - und entdeckte Sicherheitslücken, die Zugriff auf Patientendaten ermöglichten.

, 23. Januar 2025 um 13:23
image
Spitalmitarbeiterinnen beim Erfassen von Gesundheitsdaten. Bild: Screenshot/SRF
Das Nationale Testinstitut für Cybersicherheit in Zug hat ernsthafte Sicherheitslücken in Klinikinformationssystemen (KIS) identifiziert. Geprüft wurden die Produkte des US-Unternehmens Epic, Kisim der Zürcher Firma Cistec sowie Ineskis des deutschen Herstellers Ines.
In der Schweiz kommen im Wesentlichen drei bis fünf KIS-Lösungen zum Einsatz. Diese sind speziell auf die Anforderungen und Besonderheiten des schweizerischen Gesundheitswesens zugeschnitten und werden von nahezu allen grösseren Spitälern hierzulande eingesetzt. Gespräche mit verschiedenen Spitälern hätten ergeben, dass trotz der kritischen Bedeutung dieser Systeme nur selten Sicherheitsüberprüfungen durchgeführt werden, schreibt das NTC: «Die Gründe dafür sind vielfältig und reichen vom hohen Spardruck im Gesundheitswesen über ein mangelndes Bewusstsein für IT-Sicherheit bis hin zu unklaren Verantwortlichkeiten.»

Spitäler haben Prüfung unterstützt

Die Überprüfung erfolgte auf Initiative und mit Ressourcen des Nationalen Testinstituts. Die beteiligten Spitäler haben die Überprüfung organisatorisch unterstützt und sich – wie zum Beispiel der Berner Insel Gruppe – an den Kosten beteiligt. Ohne konkrete Namen zu nennen, weist das Institut auch auf Schwierigkeiten bei der Prüfung hin: Einzelne Hersteller hätten das NTC und die Spitäler aufgefordert, Geheimhaltungsvereinbarungen zu unterzeichnen. Das NTC lehne solche Vereinbarungen konsequent ab, wenn sie nicht dem Schutz der Patientendaten, sondern ausschliesslich den Interessen der Hersteller dienen.
Die beteiligten Spitäler wie unter anderem die Kantonsspitäler Zug, Winterthur, Graubünden und Aargau hätten diese Haltung «engagiert» mitgetragen.

40 Schwachstellen

Die Tests würden zeigen, dass Überprüfungen der Cybersicherheit dringend notwendig sind, heisst es im Bericht. In jedem der untersuchten Systeme wurden schwerwiegende Schwachstellen identifiziert, wobei einige deutlich stärker betroffen seien als andere. Insgesamt wurden mehr als 40 mittlere bis schwere Schwachstellen identifiziert.
Drei davon weisen die höchste Kritikalität auf. Die Hauptprobleme würden grundlegende Architekturprobleme umfassen, fehlende oder nicht ordnungsgemäss umgesetzte Verschlüsselung, verwundbare Umsysteme sowie eine unzureichende Trennung zwischen Test- und Produktionsumgebungen.
«Einige der identifizierten Schwachstellen ermöglichten innerhalb weniger Stunden den vollständigen Zugriff auf Patientendaten und Systeme», heisst es in der Mitteilung zum Bericht. Während die meisten relevanten Schwachstellen inzwischen behoben oder durch mitigierende Massnahmen entschärft worden seien, würden einige grundlegende Probleme eine umfassende Neugestaltung der Softwarearchitektur erfordern – «was laut den Herstellern mehrere Jahre in Anspruch nehmen wird.»

Cistec: Kritische Lücke geschlossen

Im Bericht werde bewusst auf die Nennung von Details zu den Schwachstellen verzichtet. Stattdessen sei eine allgemeine Information über den NTC Vulnerability Hub sowie eine gezielte Benachrichtigung der betroffenen Spitäler über den Cyber Security Hub (CSH) des Bundesamtes für Cybersicherheit (Bacs) erfolgt. Alle Hersteller hätten erkannt, «dass eine Architektur, welche die Sicherheit von Anfang an berücksichtigt, unabdingbar ist», so die NTC-Prüfer. Während einige Hersteller diesen Wandel frühzeitig eingeleitet hätten und bereits weit fortgeschritten seien, würden andere noch am Anfang stehen.
Auf Anfrage der SRF-«Tagesschau» erklärte Cistec zu den Ergebnissen: «Der Test hat bei unserem System eine einzige kritische Lücke gezeigt. Diese konnte nur genutzt werden, wenn man mit allen Rechten im internen Spitalnetz agieren konnte. Die Lücke ist mittlerweile geschlossen.»
Die anderen beiden Firmen, Ines und Epic, teilten mit, «man lege viel Wert auf Cybersicherheit und begrüsse solche Schwachstellenprüfungen.»

Empfehlungen

Der Bericht enthält auch acht zentrale Empfehlungen zur nachhaltigen Verbesserung der Cybersicherheit in Schweizer Spitälern. «Dazu zählt die Berücksichtigung von Cybersicherheitsanforderungen bereits bei der IT-Beschaffung sowie die Durchführung regelmässiger Schwachstellenanalysen zur fortlaufenden Kontrolle. Insbesondere in kleineren Spitälern müssen die Verantwortlichkeiten in Bezug auf die Cybersicherheit klar geregelt und die nötigen Ressourcen bereitgestellt werden», hält das NTC fest.Zudem wird eine verstärkte Vernetzung unter den Spitälern sowie der Zugang zum Cyber Security Hub empfohlen. Die Ergebnisse der Prüfungen würden die Notwendigkeit regelmässiger Sicherheitsüberprüfungen und klarer Verantwortlichkeiten verdeutlichen, schliesst das Institut.
  • Dieser Beitrag erschien erstmals auf «Inside-IT» unter dem Titel: Klinikinformationssysteme in der Schweiz haben schwerwiegende Schwachstellen.




«Schweizer Spitäler innert Stunden gehackt»: Beitrag in SRF News, 23. Januar 2025.


  • it
  • cyberattacken
  • cybersicherheit
  • digital & ki
Artikel teilen

Loading

Kommentar

Mehr zum Thema

image

2025 im Zeichen der KI: Drei wichtige Trends für das Gesundheitswesen

Der Wissenschaftsverlag Wolters Kluwer hat herausgearbeitet, wo Künstliche Intelligenz die Medizin in nächster Zeit speziell prägen könnte. Schwerpunkte liegen auf smarter Ausbildung und auf der Patientensicherheit.

image

Gemeinsam erfolgreich: Medinside wächst um über 70 Prozent

In eigener Sache: Medinside erlebte 2024 als Jahr des Wachstums und Erfolgs. Mit Ihrer Unterstützung bauten wir unsere Position als führende Plattform für Gesundheitsprofis weiter aus.

image

Geschafft: Vidymed bringt die Lage wieder unter Kontrolle

Der Ransomware-Angriff auf die Praxis-Gruppe stellte die Ärzte vor enorme Belastungen. Sogar psychologische Betreuung wurde nötig. Doch nun gibt es viel Licht am Ende des Tunnels.

image

Waadtländer Spitäler: Grünes Licht für gemeinsames IT-System

Eine Beschwerde hatte das Projekt blockiert. Der Vorwurf: Die Ausschreibung sei auf Epic zugeschnitten. Nun hat das Kantonsgericht alle Vorwürfe zurückgewiesen.

image

Vidymed leidet immer noch unter Cyberangriff

Auch fast zwei Wochen nach einer Attacke sind die Dossiers der Waadtländer Praxisgruppe noch blockiert.

image

Cyberattacke auf Praxisgruppe Vidymed

Die Waadtländer Gruppe kämpft mit den Folgen eines Cyberangriffs, der ihre IT-Systeme lahmlegte. Ein Krisenstab sucht allfällige Datenlecks.

Vom gleichen Autor

image

Unispital Zürich: Regierungsrat bezieht Position zur KIS-Beschaffung

Amerika oder Zürich? Die Frage der KIS-Beschaffung am Universitätsspital Zürich wird immer mehr zum Politikum.

image

USB stoppt Ausschreibung für neues Klinik-Informationssystem

Ein Jahr nach dem Start brach das Universitätsspital Basel die Beschaffung ab. Warum? Und wie geht es jetzt weiter?

image

Rettung der Daten von Meineimpfungen.ch startet

Bis im Herbst soll unter Federführung des Kantons Aargau eine neue Plattform 300'000 Personen den Bezug ihrer Impfdaten ermöglichen.