Mehr als 120 Praxisverwaltungssysteme sind in Deutschland zugelassen, doch der Markt ist seit Jahren stark konzentriert. Im Projekt „SiPra“ ließ das Bundesamt für Sicherheit in der Informationstechnik (BSI) vier marktübliche Praxisverwaltungssysteme testen. Die Penetrationstests fanden unter realistischen Bedingungen statt und erstreckten sich jeweils über mehrere Wochen.
Die untersuchten Systeme weisen nicht nur einzelne Schwachstellen auf, sondern strukturelle Sicherheitsprobleme. Besonders kritisch ist, dass sich diese Schwachstellen häufig miteinander kombinieren lassen. So konnten in drei der vier getesteten Systeme Angriffsketten konstruiert werden, die einen Zugriff aus dem Internet ermöglicht hätten. Das Szenario geht mit erheblichen Risiken für Patientendaten und Praxisbetrieb einher.
Typische Angriffspunkte in der Praxissoftware
In vielen Fällen fehlten grundlegende Schutzmechanismen, die in anderen IT-Bereichen längst Standard sind. Ein wiederkehrendes Problem ist der Umgang mit Dateianhängen: Schadprogramme können als scheinbar harmlose Dateien in das System eingeschleust und direkt ausgeführt werden. Gleichzeitig mangelt es häufig an wirksamen Zugriffskontrollen. In einigen Systemen konnten sich Nutzer ohne besondere Berechtigungen selbst administrative Rechte verschaffen.
Angreifbar an verschiedenen Stellen
Sensible Patientendaten werden teilweise unverschlüsselt gespeichert. Auch die Datenübertragung innerhalb des Netzwerks erfolgt nicht durchgängig verschlüsselt, so dass Informationen im Klartext abgegriffen werden können. In einzelnen Fällen war es möglich, Schadcode aus der Ferne auszuführen, teilweise sogar ohne vorherige Authentifizierung. Solche Lücken eröffnen Angreifern weitreichene Zugriffsmöglichkeiten.
Weitere Probleme betreffen veraltete kryptografische Verfahren, fehlende Passwortrichtlinien und klassische Sicherheitslücken wie sogenannte Path-Traversal-Angriffe, bei denen auf beliebige Dateien eines Systems zugegriffen werden kann. Ein grundlegendes Problem ist zudem die verbreitete Zwei-Schicht-Architektur vieler Systeme. Dabei kommuniziert der Client direkt mit der Datenbank, was serverseitige Sicherheitskontrollen erschwert und Angriffe begünstigt.
Fehlende Standards als zentrales Problem
Trotz der hohen Sensibilität der verarbeiteten Daten existieren bislang keine verbindlichen IT-Sicherheitsanforderungen für Praxisverwaltungssysteme. Die Zertifizierung durch die Kassenärztliche Bundesvereinigung konzentriert sich auf funktionale Aspekte, nicht auf Sicherheitsfragen. Nach Einschätzung des BSI reicht auch die bestehende freiwillige Rahmenvereinbarung nicht aus, um ein angemessenes Sicherheitsniveau zu gewährleisten. Der Bericht sieht daher erheblichen Nachholbedarf im Sinne eines „Security by Default“.
BSI formuliert konkrete Handlungsempfehlungen
Parallel zur Analyse hat das BSI erstmals einen detaillierten Empfehlungskatalog veröffentlicht. Dieser richtet sich sowohl an Hersteller als auch an Betreiber und beschreibt, welche technischen Eigenschaften sichere Praxissoftware künftig erfüllen sollte. Im Zentrum steht die Forderung nach klaren, serverseitig durchgesetzten Zugriffskontrollen. Systeme sollten so aufgebaut sein, dass sensible Operationen nicht allein im Client gesteuert werden.
Eine moderne Drei-Schicht-Architektur mit Applikationsserver gilt hier als sicherer Ansatz. Auch beim Umgang mit Passwörtern fordert das BSI verbindliche Mindeststandards. Systeme sollen schwache Passwörter technisch unterbinden und sichere Authentifizierungsmechanismen unterstützen. Daten müssen konsequent verschlüsselt werden sowohl bei der Speicherung als auch bei der Übertragung.
Eigenentwicklungen oft unsicher
Hersteller sollen bei der Softwarearchitektur auf etablierte kryptografische Verfahren wie AES oder Argon2id setzen und auf unsichere Eigenentwicklungen verzichten. Ebenso wird empfohlen, Standardfunktionen wie E-Mail nicht selbst zu programmieren. Schließlich adressieren die Empfehlungen auch klassische Einfallstore wie Dateianhänge. Hier sollen strenge Prüfmechanismen sicherstellen, dass nur unkritische Dateitypen verarbeitet werden und keine Schadsoftware ausgeführt werden kann.
Probleme betreffen das gesamte Gesundheitswesen
Die Ergebnisse sind kein Einzelfall. Auch in anderen Bereichen zeigen sich ähnliche Defizite. Untersuchungen zu Pflegedokumentationssystemen weisen etwa auf Schwächen bei Verschlüsselung, Authentifizierung und Update-Mechanismen hin. In Krankenhäusern wiederum können Sicherheitslücken in zentralen Systemen dazu führen, dass ganze Versorgungsprozesse ausfallen und das hat dann direkte Auswirkungen auf die Patientenversorgung.
Hoher Handlungsdruck bei zentraler Infrastruktur
Die Analyse macht deutlich, dass die IT-Sicherheit in Arztpraxen nicht nur punktuelle Schwächen aufweist, sondern strukturell unzureichend ist. Positiv ist, dass die Hersteller auf konkrete Hinweise reagiert und identifizierte Lücken zeitnah geschlossen haben. Dennoch bleibt das Grundproblem bestehen. Ohne verbindliche Sicherheitsstandards und konsequente Umsetzung moderner IT-Sicherheitsprinzipien bleibt der Schutz sensibler Gesundheitsdaten lückenhaft.
