Security-Check für Krankenhaus-IT
Ein Patient, eine Patientin wird in einem Krankenhaus aufgenommen, auf verschiedenen Stationen untersucht und individuell medizinisch versorgt. Bei jedem Schritt fallen sensible Daten in unterschiedlichen Systemen an: Befunde, Untersuchungsergebnisse, Therapieentscheidungen, OP-Berichte sowie Informationen zu Pflege, Medikation etc. Diese Daten werden an medizinische IT-Systeme im Krankenhaus weitergeleitet, aber auch an Arztpraxen, an die Krankenkasse und andere Teilnehmende der Gesundheitsinfrastruktur.
Zentraler Bestandteil dieser Datenverarbeitung ist in vielen Kliniken das Krankenhausinformationssystem (KIS), in dem die zentrale Patientenakte geführt wird. Wie sicher sind diese Systeme vor Cyber-Angriffen, und wie sicher sind die sensiblen Daten von Patientinnen und Patienten beim Austausch zwischen verschiedenen internen und externen Systemen? Mit dieser Fragestellung hat das BSI das Fraunhofer SIT beauftragt.
Hersteller und Kliniken: KIS-Testsysteme gesucht
Die e-Health-Expertinnen und -Experten des Fraunhofer SIT planen hierfür zunächst eine Marktanalyse, die feststellen soll, welche Systeme und Datenaustauschformate (z. Bsp. HL7, DICOM oder FHIR) im Klinikalltag in Deutschland am häufigsten im Einsatz sind. In einem zweiten Schritt werden sie Krankenhausinformationssysteme auf Herz und Nieren prüfen. Hier suchen die Forschenden KIS-Hersteller und Kliniken, die mit ihnen zusammenarbeiten und ihre KIS mittels Penetrationstests kostenneutral evaluieren lassen möchten. Nach dem Test werden die Ergebnisse zusammen mit einem Prüfzertifikat zur Verfügung gestellt.
Mögliche Schwachstellen werden in enger Zusammenarbeit mit dem BSI in einem Coordinated-Vulnerability-Disclosure-Verfahren dem Hersteller gemeldet. Durch dieses Verfahren werden sicherheitskritische Probleme frühzeitig entdeckt und können frühestmöglich behoben werden.
Basierend auf den vorherigen Ergebnissen werden zum Ende des Projektes abschließende Handlungsempfehlungen für Krankenhäuser und Kliniken erstellt, welche zur Veröffentlichung durch das BSI vorgesehen sind.
Über das Projekt
Das Projekt SiKIS – Sicherheitseigenschaften von Krankenhausinformationssystemen – läuft von November 2023 bis November 2024 und umfasst ein Volumen von rund 200.000 Euro. Neben Fraunhofer SIT ist ein weiterer Projektpartner OpenSource Security (OS-S) aus Steinfurt an der Durchführung des Projektes beteiligt. Auftraggeber ist das BSI. An einem Test interessierte Klinikverantwortliche oder KIS-Hersteller können sich gern bei Dr. Christoph Saatjohann melden (christoph.saatjohann[at]sit.fraunhofer.de).
Fraunhofer-Institut für Sichere Informationstechnologie SIT
Rheinstraße 75
64295 Darmstadt
Telefon: +49 (6151) 869-100
Telefax: +49 (6151) 869-224
http://www.sit.fraunhofer.de/
PR / Marketing
Telefon: +49 (6151) 869-213
Fax: +49 (6151) 869-127
E-Mail: oliver.kuech@sit.fraunhofer.de