Krankenhäuser verarbeiten zahlreiche Gesundheitsdaten von Patientinnen und Patienten. Das Krankenhausinformationssystem (KIS), eine spezielle Software in der Medizinbranche, ist das Herzstück der medizinischen Versorgung und Datenhaltung. Mit der steigenden Gefahr von Cyber-Angriffen gegen Krankenhäuser wird hier der Handlungsbedarf deutlich. Wie sicher sind diese Systeme, und wie gut geschützt sind sensible Daten bei der Übertragung? Dies prüft das e-Health-Team des Fraunhofer SIT im Projekt SiKIS (Sicherheitseigenschaften von Krankenhausinformationssystemen).

Geplant ist eine Evaluation der in deutschen Krankenhäusern verwendeten Kommunikationstechnologien sowie der zentralen Softwaresysteme. Zunächst soll die Ausgangssituation im deutschen Gesundheitswesen  in zwei Schritten evaluiert werden:

1. Welche Standards werden zum Nachrichtenaustausch innerhalb der Krankenhäuser sowie weiterer externer Akteure der Gesundheitsbranche genutzt? Beispiele für solche Datenaustausch-Standards sind HL7, DICOM, FHIR, DICOMWeb etc.
2. Welche Krankenhausinformationssysteme (KIS) sind im Einsatz? Dazu gehört die Marktrelevanz, Funktionen und Schnittstellen zu weiteren Krankenhaussystemen, genauso wie die verschiedenen Architekturmodelle, bspw. das lokale Hosting im Krankenhaus (on-premise) oder das Cloudhosting beim Softwarehersteller.

Pentest für KIS-Testsysteme

Auf dieser Grundlage soll eine IT-Sicherheitsanalyse der Datenaustausch-Formate sowie mehrerer KIS durchgeführt werden. Hier suchen die Forschenden noch KIS-Hersteller und Kliniken, die mit ihnen zusammenarbeiten und ihre KIS mittels Penetrationstests kostenneutral evaluieren lassen möchten. 

Mögliche Schwachstellen werden in enger Zusammenarbeit mit dem Projektauftraggeber, dem Bundesamt für Sicherheit in der Informationstechnik (BSI), in einem Coordinated-Vulnerability-Disclosure-Verfahren dem Hersteller gemeldet. Durch dieses Verfahren werden sicherheitskritische Probleme frühzeitig entdeckt und können frühestmöglich behoben werden.

Basierend auf den vorherigen Ergebnissen werden zum Ende des Projektes abschließende Handlungsempfehlungen für Krankenhäuser und Kliniken erstellt, welche zur Veröffentlichung durch das BSI vorgesehen sind.

Projektdaten

• Laufzeit: November 2023 - November 2024
• Auftraggeber: Bundesamt für Sicherheit in der Informationstechnik (BSI)
• Projektvolumen: rund 200.000 Euro
• Projektpartner: Konsortialführer ist das Fraunhofer SIT, weiterer Projektpartner ist OpenSource Security (OS-S) aus Steinfurt/NRW