IT-Sicherheit
BSI lässt Praxissoftware überprüfen
Von: Annette Dönisch
Die IT-Sicherheit von Praxissoftware wird überprüft. Das Bundesamt für Sicherheit in der Informationstechnik hat dafür eine Firma beauftragt.
Cybersicherheit
Ein Angriff auf ein PVS wurde im vergangenen August bekannt.
Berlin Arztpraxen verwalten hochsensible Gesundheitsdaten in ihren Softwaresystemen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun beauftragt, die IT-Sicherheit von Praxissoftware zu überprüfen.
Wie das BSI auf Anfrage von Handelsblatt Inside mitteilte, wurde für die Prüfung der Praxisverwaltungssysteme (PVS) die Firma adesso ausgewählt. Das Projekt befindet sich laut BSI noch im Anfangsstadium. „Derzeit finden keine Untersuchungen statt“, schrieb die Behörde.
„Im weiteren Verlauf des Projekts sollen, gemeinschaftlich mit den Herstellern, exemplarische Produkte hinsichtlich der IT-Sicherheit untersucht werden“, hieß es weiter. Das BSI habe das Projekt im Rahmen seines gesetzlichen Auftrags angestoßen. Es sei eine von vielen Initiativen der Behörde zur Erhöhung der Cybersicherheit.
Die Kassenärztliche Bundesvereinigung (KBV) teilte mit, bei der Untersuchung werde die IT-Sicherheit von fünf großen PVS analysiert. Das Projekt sei EU-weit ausgeschrieben worden, wobei Fragen offenblieben. „Wir konnten aus der Veröffentlichung keine tiefergehenden Informationen ziehen, was alles genau geprüft werden soll.“
KBV macht IT-Sicherheitsvorgaben
Die KBV hat selbst eine Richtlinie erstellt, um die IT-Sicherheit in Arztpraxen zu erhöhen: die IT-Sicherheitsrichtlinie nach Paragraf 75 SGB V. Arztpraxen und Psychotherapiepraxen müssen sie seit dem 1. April 2021 einhalten. Die KBV, das BSI und das Bundesgesundheitsministerium überarbeiten die Richtlinie jährlich.
Die Richtlinie umfasse Sicherheitsmaßnahmen „nach außen hin“, schrieb die KBV, wie etwa eine Firewall und einen Virenscanner. „Gleichwohl verdient auch die Innensicht einer Praxis eine tiefergehende Analyse“, hieß es mit Blick auf die Prüfung durch das BSI. Bei einem PVS könne es, wie bei jedem anderen IT-System, aus verschiedensten Gründen zu Schwachstellen kommen.
Der Praxissoftware-Hersteller Medatixx teilte auf Anfrage mit, es sei ein wichtiges und absolut nachvollziehbares Anliegen der Politik, die IT-Sicherheit in Arztpraxen zu erhöhen. „Die IT-Sicherheitsrichtlinie nach Paragraf 75b SGV V stellt nur einen Minimalkonsens zwischen KBV und BSI dar und reicht nach heutigem Stand nicht aus“, schrieb der Hersteller.
Medatixx wolle bei der Prüfung durch das BSI unterstützen. Der Anbieter fordert darüber hinaus eine staatliche Förderung für Investitionen von Arztpraxen in die IT-Sicherheit, ähnlich wie es sie bei Kliniken durch das Krankenhauszukunftsgesetz gibt.
Freundlicher Angriff auf Praxissoftware
Ein Angriff auf ein PVS wurde im vergangenen August bekannt. Die Hackeraktivisten der Gruppe Zerforschung meldeten, Zugriff auf Informationen in der Software InSuite des Herstellers Doc Cirrus bekommen zu haben. Daten von 60.000 Patienten aus 270 Arztpraxen sollen einsehbar gewesen sein.
Die Hackeraktivisten machten den Hersteller auf die Sicherheitslücke aufmerksam, der sie behob, bevor die Aktivisten mit dem Angriff an die Öffentlichkeit gingen. Der Geschäftsführer von Doc Cirrus, Torsten Schmale, räumte im Gespräch mit Handelsblatt Inside im vergangenen Dezember Versäumnisse ein. „Der Programmierfehler wäre vermeidbar gewesen”, sagte Schmale. Er forderte eine stärkere Kontrolle. „Es wäre begrüßenswert, wenn die KBV oder andere Organe die Einhaltung von Richtlinien für eine verbesserte IT-Sicherheit in Arztpraxen einforderten und überprüften.“
Die Hackergruppe Zerforschung richtete sich nach dem erfolgreichen Angriff in einer Mitteilung an die Anbieter. „Datenschutz und insbesondere IT-Sicherheit muss bei Softwareherstellern ganz oben auf die Prioritätenliste“, forderte die Gruppe.
Direkt vom Startbildschirm zu Handelsblatt.com
Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.
Auf tippen, dann „Zum Startbildschirm“ hinzufügen.
×