Gravierende Sicherheitslücken in Klinikinformationssystemen (KIS) hat das Nationale Testinstitut für Cybersicherheit (NTC) in der Schweiz entdeckt. Das KIS ist die zentrale Software in einem Spital.
Die betroffenen KIS sind Epic, inesKIS und KISIM. Die gefundenen Sicherheitslücken in den Krankenhausinformationssystemen sind derart gravierend, dass das NTC nur einen summarischen Bericht veröffentlicht hat.
Das NTC schreibt unter anderem:
«In jedem der untersuchten Systeme wurden schwerwiegende Schwachstellen identifiziert, wobei einige deutlich stärker betroffen sind als andere. Insgesamt wurden mehr als 40 mittlere bis schwere Schwachstellen identifiziert. Drei davon weisen die höchste Kritikalität auf.»
Und:
«Viele der gefundenen Schwachstellen sind derart offensichtlich und leicht auszunutzen, dass sie innerhalb weniger Stunden […] die vollständige Kontrolle über das KIS und die darin enthaltenen Patientendaten ermöglichten.»
Und auch:
«[Im] Rahmen der Überprüfung [wurden] kritische Schwachstellen auch in den verschiedenen Umsystemen identifiziert […]. [Die] Schwachstellen [konnten] als Zufallsfund leicht festgestellt werden, da sie kaum zu übersehen waren.»
Und weiter:
«Einige grundlegende Probleme lassen sich jedoch nur durch eine komplette Änderung der Softwarearchitektur lösen, was den Herstellern zufolge mehrere Jahre dauern dürfte. Dieser Schritt ist für die Hersteller aufwändig, teuer und daher wenig attraktiv.»
Ferner stellt das NTC fest, dass die betroffenen KIS nicht (richtig) geprüft worden waren:
«Die Ergebnisse zeigen, dass Überprüfungen der Cybersicherheit dringend notwendig sind.»
Und:
«Viele der identifizierten Schwachstellen fallen in die Kategorie derer, die bei üblichen Sicherheitsprüfungen unmittelbar auffällig sind. »
Sicherheitslücken: Geheimhaltung statt Schutz von Patientendaten
Die Anbieter haben anscheinend keinen Anreiz, für die Sicherheit ihrer KIS zu sorgen und versuchen, Sicherheitslücken geheim zu halten:
«Wurden Sicherheitsanalysen durchgeführt, so fanden diese oft unter strengen Geheimhaltungsvereinbarungen mit den Herstellern statt. Dadurch blieben Schwachstellen teilweise unter Verschluss, konnten nicht mit anderen Betroffenen geteilt werden und wurden von einigen Herstellern nicht oder nur zögerlich behoben.»
Und:
«Auch im Verlauf des vorliegenden Projektes haben einzelne Hersteller das NTC und die beteiligten Spitäler aufgefordert, solche Geheimhaltungsvereinbarungen zu unterzeichnen. Diese hätten eine Warnung der Betroffenen, eine offene Diskussion oder die Veröffentlichung von Berichten wie dem vorliegenden verhindert. Das NTC lehnt solche Vereinbarungen konsequent ab, wenn sie nicht dem Schutz der Patientendaten, sondern ausschliesslich der Interessen der Hersteller dienen. Ein besonderer Dank gilt den beteiligten Spitälern, die diese Haltung engagiert mitgetragen haben.»
Und auch:
«Auffallend ist, dass einige Hersteller sich schwer damit tun, ihre Kunden transparent und zeitnah über festgestellte Schwachstellen zu informieren. In einem Fall verging fast ein Jahr zwischen der ersten Mitteilung an den Hersteller und der offiziellen Information der Kunden, die erst auf wiederholtes Drängen des NTC und der Spitäler erfolgte.»
Empfehlungen: Grundlagen der Datensicherheit auch für Spital-Software
Die Empfehlungen des NTC lassen darauf schliessen, dass die Anbieter von KIS selbst die Grundlagen der Datensicherheit nicht im Griff haben.
Die Massnahmen, die das NTC empfiehlt, müssten bei der umfangreichen Bearbeitung von Gesundheitsdaten eigentlich selbstverständlich sein.
Das NTC empfiehlt unter anderem folgende Massnahmen:
- «Einforderung und Kontrolle der Cybersicherheit bereits bei der Beschaffung»
- «Regelmässige Überprüfung auf Schwachstellen» und «regelmässige Updates»
- «Trennung der produktiven Umgebung von Testumgebungen und Patienten-Netzwerk»
- «Cybersicherheitsspezialisten in den Spitälern»
- «Bündelung der Kräfte und Austausch mit der Branche»
Auch sollten die Spitäler keine einseitigen Geheimhaltungserklärungen zu Gunsten der Anbieter von KIS akzeptieren:
«Geheimhaltungsvereinbarungen sollten nicht unterzeichnet werden, wenn sie nicht dem Schutz der Patientendaten dienen, sondern einseitig die Interessen der Hersteller wahren. Es sind Fälle bekannt, in denen Spitäler solche Vereinbarungen eingegangen sind und in der Folge weder andere Spitäler, selbst innerhalb desselben Kantons und derselben Trägerschaft, noch die zuständigen Behörden über entdeckte Schwachstellen informieren durften. Solche Einschränkungen behindern eine offene und konstruktive Diskussion zur Verbesserung der Cybersicherheit.»
Fazit: «Mangelndes Bewusstsein für Cybersicherheit» und «unzureichende Kontrollen»
Das Fazit des NTC ist vernichtend:
«Aus Sicht des NTC scheint es sich hierbei um branchenübliche Probleme zu handeln. Sie deuten sowohl auf ein mangelndes Bewusstsein für Cybersicherheit bei den Herstellern als auch auf unzureichende Kontrollen durch die Spitäler hin.»
Die Spitäler in der Schweiz und die Anbieter der verwendeten Software scheinen nicht in der Lage zu sein, die Sicherheit der Daten ihrer Patienten zu gewährleisten.
Die gravierenden Sicherheitslücken, die das NTC gefunden hat, sind auch eine weitere Warnung vor den Risiken beim elektronischen Patientendossier (EPD) in der Schweiz.
Die zuständigen Datenschutz-Aufsichtsbehörden haben sich – soweit ersichtlich – noch nicht geäussert.
Siehe auch:
- NTC identifiziert gravierende Sicherheitslücken in Klinikinformationssystemen und veröffentlicht Empfehlungen (Medienmitteilung)
- Cybersicherheit von Klinikinformationssystemen (Summarischer Bericht)
Glossar: Betroffene KIS von Cistec und Epic, inesKIS
Die betroffenen KIS und ihre Anbieter beschreibt das NTC wie folgt:
- inesKIS von ines: inesKIS wird vor allem in mittleren und kleineren Einrichtungen eingesetzt. Obwohl der Hersteller seinen Sitz in Deutschland hat, liegt der Fokus klar auf dem Schweizer Gesundheitswesen. Ines bedient rund 30 Kunden, die alle aus dem Schweizer Gesundheitswesen stammen.
- «KISIM von Cistec: Eine ursprünglich am Universitätsspital Zürich entwickelte Anwendung, die heute in rund 30 mittleren und grossen Spitälern vorwiegend in der Deutschschweiz eingesetzt wird. Die in Zürich domizilierte Herstellerfirma Cistec beschäftigt über 200 Mitarbeitende und zählt ausschliesslich Schweizer Spitäler zu ihren Kunden. Damit liegt der Fokus der Firma klar auf den spezifischen Anforderungen der Schweiz.
- Epic: Die umfassende Anwendung wird weltweit in über 2’000 Spitälern eingesetzt, davon über 100 in Europa. In der Schweiz setzen bisher nur das Luzerner Kantonsspital und seit kurzem die Insel Gruppe in Bern das Klinikinformationssystem des US-amerikanischen Herstellers ein. Das Interesse weiterer, vor allem grösserer Spitäler ist jedoch gross. Es ist zu erwarten, dass in den nächsten Jahren weitere Schweizer Spitäler auf Epic umstellen werden.»
Nachtrag: Cistec bestätigt kritische Lücke
Das Schweizer Radio und Fernsehen (SRF) sammelte Reaktionen der betroffenen Anbieter.
Cistec:
«Der Test hat bei unserem System eine einzige kritische Lücke gezeigt. Diese konnte nur genutzt werden, wenn man mit allen Rechten im internen Spitalnetz agieren konnte. Die Lücke ist mittlerweile geschlossen.»
Die Reaktion kann man als überspezifisch verstehen, nämlich dass es andere – nicht kritische, aber immer noch gravierende – Sicherheitslücken gab. Wieso die Prüfer vom NTC überhaupt «mit allen Rechten im internen Spitalnetz agieren» konnten, lässt Cistec offen.
Die beiden anderen Anbieter lieferten dem SRF nur Gemeinplätze:
«Die anderen beiden Firmen, Ines aus Deutschland und Epic aus den USA, schreiben, man lege viel Wert auf Cybersicherheit und begrüsse solche Schwachstellenprüfungen. »