Eine alarmierende Untersuchung des Nationalen Testinstituts für Cybersicherheit (NTC) hat die Aufmerksamkeit auf schwerwiegende Sicherheitslücken in Klinikinformationssystemen (KIS) mehrerer Schweizer Spitäler gelenkt. In den drei untersuchten Systemen wurden über 40 mittlere bis schwere Schwachstellen festgestellt, die, wenn sie nicht behoben werden, zu erheblichen Sicherheitsrisiken für Patientendaten führen können.

KIS sind das Rückgrat moderner medizinischer Einrichtungen, da sie den Informationsfluss steuern, sensible Patientendaten verarbeiten und für einen reibungslosen Ablauf im Spitalbetrieb sorgen. Laut NTC sind nur drei bis fünf KIS-Lösungen in der Schweiz weit verbreitet, die speziell auf die Rahmenbedingungen des Schweizer Gesundheitswesens abgestimmt sind.

Die Analyse zeigte alarmierende Ergebnisse: Besondere Gefahren gehen von IT-Lösungen aus, die auf veralteten Architekturen basieren. Diese Systeme sind besonders anfällig für Cyberangriffe, die es potenziellen Hackern erlauben, innerhalb weniger Stunden auf Patienteninformationen zuzugreifen. Der NTC-Bericht hebt hervor, dass viele dieser Schwachstellen bei üblichen Sicherheitsprüfungen hätten entdeckt werden können, jedoch solche Routine-Checks offensichtlich nicht durchgeführt wurden.

NTC-Testleiter Tobias Castagna attestiert, dass die betroffenen Softwareanwendungen auf unterschiedlichen Plattformen eingesetzt werden, einschließlich mobiler Geräte. Obwohl viele der identifizierten Schwachstellen inzwischen behoben worden sind, erfordert die grundlegende Neugestaltung der Softwarearchitektur einige Jahre Entwicklungszeit.

Im Bericht werden keine spezifischen Spitäler namentlich genannt, jedoch sind die drei untersuchten Softwareanbieter bekannt: Cistec, das ursprünglich am Universitätsspital Zürich entwickelte KISIM, das deutsche Unternehmen ines mit der Anwendung inesKIS, sowie den globalen Anbieter Epic Systems, dessen Software in über 2000 Einrichtungen weltweit verwendet wird.

Die Softwareanbieter selbst reagierten auf die Untersuchung und betonten ihr Engagement für Cybersicherheit. Cistec gab an, nur eine kritische Schwachstelle gehabt zu haben, die bereits behoben wurde.

Das NTC hat eingehende Empfehlungen ausgesprochen, um die Cybersicherheit in den Schweizer Spitälern zu verbessern. Dazu gehören die Implementierung regelmäßiger Sicherheitsüberprüfungen, die Anforderung von Cybersicherheitsbewertungen bei der Softwarebeschaffung sowie die Trennung produktiver Systeme von Testumgebungen, um das Risiko eines digitalen Angriffs zu minimieren.

Ein weiterer wichtiger Punkt ist die Schulung von Cybersicherheits-Spezialisten in den Spitälern und der Austausch von Informationen zwischen den Einrichtungen, um gemeinsam gegen die Bedrohungen der digitalen Welt vorzugehen.

Die Untersuchung verdeutlicht die dringende Notwendigkeit, dass die Schweizer Gesundheitsbranche proaktive Maßnahmen zur Verbesserung ihrer Cybersicherheit ergreift und sich auf die kontinuierliche Überprüfung ihrer Systeme konzentriert, um zukünftige Bedrohungen frühzeitig zu erkennen und abzuwehren.