Das Nationale Testinstitut für Cybersicherheit (NTC) hat in mehreren Schweizer Spitälern drei der meistgenutzten Klinikinformationssysteme (KIS) einer umfassenden technischen Sicherheitsanalyse unterzogen. Die Bilanz der Untersuchung ist alarmierend: In sämtlichen untersuchten Systemen wurden schwerwiegende Schwachstellen festgestellt. Total hat das
NTC mehr als 40 mittlere bis schwere Schwachstellen identifiziert. Die Hauptpunkte betreffen grundlegende Architekturprobleme, eine fehlende oder nicht ordnungsgemäss umgesetzte Verschlüsselung, verwundbare Umsysteme sowie eine unzureichende Trennung zwischen Test- und Produktionsumgebungen. Generell sind vor allem veraltete Systeme fehleranfällig. Darüber hinaus wurden im Rahmen der Analyse mehrere kritische Schwachstellen in Umsystemen entdeckt, die nicht Teil des vorgesehenen Prüfungsumfangs waren, jedoch aufgrund ihrer Auffälligkeit als Zufallsfunde erkannt wurden.
Einige der identifizierten Schwachstellen ermöglichten innerhalb weniger Stunden den vollständigen Zugriff auf Patientendaten und Systeme. Die meisten der beanstandeten Schwachstellen konnten zwar inzwischen behoben oder entschärft werden. Jedoch erfordern einige grundlegende Probleme eine umfassende Neugestaltung der Softwarearchitektur, was gemäss den Herstellern mehrere Jahre in Anspruch nehmen wird.
Aus Sicherheitsgründen nennt der Bericht keine Details oder Namen. Es erfolgt jedoch eine Meldung an das Bundesamt für Cybersecurity (BACS), wie es in der Mitteilung des NTC abschliessend heisst.
(dok)
