Das Ergebnis der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Auftrag gegebenen Studien zur IT-Sicherheit von Software im Gesundheitswesen hat Kenner der IT-Landschaft nicht überrascht, auch wenn sich viele ein anderes Ergebnis erhofft hätten.
Zutreffend beschreibt das BSI das Ergebnis der Untersuchungen zu Praxisverwaltungssystemen (PVS) und digitalen Pflegedokumentationssystemen (DiPS) mit dem Satz:
„Die IT-Sicherheit von Software-Produkten im Gesundheitswesen ist allerdings ausbaufähig.“ (BSI, 17.03.2026)
Ergebnisse der PVS-Untersuchung
In der Studie zu PVS, also der Software, mit der Ärzte tagtäglich Untersuchungen, Diagnosen und Arztbriefe erfassen und speichern, wurde nur eine vergleichsweise kleine Stichprobe der über hundert im Einsatz befindlichen Lösungen betrachtet. Dennoch ist davon auszugehen, dass die Ergebnisse zumindest teilweise auch auf nicht untersuchte Produkte übertragbar sind.
Im Rahmen der Studie wurden erhebliche Sicherheitsprobleme festgestellt. Dazu zählen unsichere oder fehlende Verschlüsselung, mangelhafte Rechte- und Rollenmodelle sowie offene Zugänge aus dem Internet. Die identifizierten Schwachstellen wurden laut Studie geschlossen. Es bleibt jedoch die Frage, wie es überhaupt zu solchen Problemen kommen konnte.
Ursachen und strukturelle Herausforderungen
Interessant ist, dass in Praxissoftware heute deutlich mehr medizinische Informationen enthalten sind als in der öffentlich diskutierten elektronischen Patientenakte (ePA), da nur ein Teil der Daten aus einem PVS in die ePA übertragen wird.
Gesundheitsdaten gehören zu den Daten mit dem höchsten Schutzbedarf. Umso mehr verwundert es, dass gerade die Systeme, in denen die meisten dieser Daten zusammenlaufen, bislang nur begrenzt reguliert sind. Dazu zählen Praxisverwaltungssysteme, Krankenhausinformationssysteme und digitale Pflegesysteme.
Für die Zulassung von DiGAs oder ePA-Systemen sind umfassende und kostenintensive Sicherheitsprüfungen durch Gesetzgeber und Institutionen wie gematik und BSI erforderlich. Für Primärsysteme sind die Anforderungen vergleichsweise niedrig. Aktuell sind lediglich eine Zertifizierung durch die Kassenärztliche Bundesvereinigung und eine Konformitätsbestätigung durch die gematik vorgesehen. Eine tiefergehende technische Prüfung durch unabhängige Stellen ist derzeit nicht verpflichtend.
Hersteller können eigenverantwortlich geeignete Maßnahmen ergreifen. Die Studienergebnisse legen jedoch nahe, dass die Sicherheit nicht bei allen Anbietern im gleichen Maße im Fokus steht.
Die Gründe hierfür können vielfältig sein. IT-Sicherheit wird häufig zunächst als Kostenfaktor betrachtet. Potenzielle Folgekosten eines Sicherheitsvorfalls sind schwer abschätzbar und werden nicht immer ausreichend berücksichtigt. Die Haltung „Uns passiert schon nichts“ ist im nicht regulierten Umfeld weiterhin anzutreffen.
Kommt es zu einem Vorfall, folgen oft kurzfristige Maßnahmen, die nicht nachhaltig sind. Nach einiger Zeit wird erneut hinterfragt, ob bestimmte Sicherheitsmaßnahmen tatsächlich erforderlich sind.
IT-Sicherheit als kontinuierlicher Prozess
IT-Sicherheit erfordert kontinuierliche Maßnahmen über den gesamten Produktlebenszyklus hinweg. Sinnvoll ist es, Sicherheit von Beginn an mitzudenken und schrittweise weiterzuentwickeln.
Auch wenn dies zunächst mit Aufwand verbunden ist, ist dieser Ansatz langfristig in der Regel wirtschaftlicher als spätere Nachbesserungen oder die Bewältigung von Sicherheitsvorfällen.
Die Frage bleibt, warum viele Unternehmen diesen Weg noch nicht konsequent verfolgen und Sicherheit weiterhin primär als Kostenfaktor betrachten. Regulierung kann hier eine Rolle spielen. Sie ersetzt jedoch nicht die Verantwortung der Hersteller und Betreiber.
Was lässt sich daraus ableiten?
Die Studien zeigen, dass eine weitere Sensibilisierung für IT-Sicherheit im Gesundheitswesen notwendig ist.
Zudem sollte Sicherheit als Querschnittsthema auf allen Ebenen verankert werden, von der Softwareentwicklung bis ins Management.
Hersteller sollten regelmäßig prüfen, wie sie die Sicherheit ihrer Lösungen bewerten und im Sinne eines kontinuierlichen Verbesserungsprozesses weiterentwickeln können.
Auch mit begrenzten Ressourcen sind Fortschritte möglich. Sicherheitsmaßnahmen können schrittweise umgesetzt werden, etwa durch Architekturreviews, gezielte Penetrationstests oder freiwillige Prüfungen nach etablierten Verfahren wie BSI-TR-03161 oder vergleichbaren Prüfungen im Umfeld der gematik.
Wie kann SRC unterstützen?
SRC unterstützt seit vielen Jahren Hersteller und Betreiber von Produkten und Diensten im regulierten und nicht regulierten Umfeld, von der Planungs- und Entwicklungsphase bis hin zu Prüfungen und Zertifizierungen nach anerkannten Schemata wie gematik-Begutachtungen, BSI-TR-03161, Common Criteria oder KRITIS.
Ein Austausch bietet sich unter anderem auf der DMEA 2026 vom 21. bis 23. April 2026 in Berlin an. Dort kommen Hersteller und Fachexperten zusammen, um aktuelle Entwicklungen im Gesundheitswesen zu diskutieren.
Dieser Dialog ist aus unserer Sicht ein wichtiger Baustein, um sichere und gleichzeitig nutzerfreundliche Lösungen weiterzuentwickeln.
Neugierig, wie SRC unterstützen kann? Dann sprechen Sie uns gerne vor Ort an oder nutzen Sie das Kontaktformular.
