Digital
Online-Sicherheit

Cyber-Empa deckt schwere Sicherheitslücken bei Schweizer Spitälern auf

Bed of a patient at the intensive care unit of the clinic in Flawil in the canton of St. Gallen, Switzerland, pictured on June 25, 2009. The Clinic Flawil is the acute care hospital of the Cantonal Ho ...
Leeres Bett in einer Intensivstation. Ein unabhängiger Prüfbericht zu wichtiger Spital-Software zeigt gravierende Mängel.Bild: KEYSTONE

«Cyber-Empa» deckt schwere Sicherheitslücken bei Schweizer Spitälern auf

Eine aktuelle Untersuchung des Nationalen Testinstituts für Cybersicherheit (NTC) lässt aufhorchen. Die Erkenntnisse der unabhängigen Prüfer sind – vorsichtig ausgedrückt – beunruhigend.
23.01.2025, 14:0229.01.2025, 07:03
Mehr «Digital»

Die Klinikinformationssysteme mehrerer Schweizer Spitäler weisen gravierende Sicherheitslücken auf. In drei vom Nationalen Testinstitut für Cybersicherheit (NTC) untersuchten Systemen wurden mehr als 40 mittlere bis schwere Schwachstellen identifiziert, wie das NTC am Donnerstag anlässlich der Veröffentlichung seines neuesten Berichts mitteilte (siehe Quellen). Und die Prüfer stiessen auf weitere IT-Sicherheitsprobleme.

Hier erfährst du das Wichtigste.

Warum ist das wichtig?

Klinikinformationssysteme (KIS) bilden laut NTC das Herzstück moderner Spitäler. Sie steuern den Informationsfluss, verarbeiten sensible Patientendaten und sorgen für reibungslose Abläufe im Spitalumfeld.

In der Schweiz kommen laut NTC im Wesentlichen drei bis fünf KIS-Lösungen zum Einsatz. Diese seien speziell auf die Anforderungen und Besonderheiten des hiesigen Gesundheitswesens zugeschnitten und würden von nahezu allen grösseren Spitälern eingesetzt.

Drei davon hat das NTC untersucht. Und dabei stiessen die unabhängigen Fachleute auf gefährliche Schwachstellen bei der von Drittfirmen stammenden Software, aber auch bei weiteren IT-Systemen der Spitäler.

«Während der Durchführung der Sicherheits-Überprüfungen erhärtete sich die Vermutung, dass insgesamt zu wenig technische Analysen im Gesundheitswesen durchgeführt werden.»
Fazit der NTC-Prüfer

Wie gefährlich sind die Schwachstellen?

Zum Teil sehr gefährlich.

Besonders anfällig für Cyberattacken seien IT-Lösungen, die auf veralteten Architekturen basieren, mahnen die NTC-Fachleute. Die Cybersicherheit dieser für die Spitäler essenziellen Systeme sei in vielen Fällen unzureichend. Einige der identifizierten Schwachstellen ermöglichten innerhalb weniger Stunden den vollständigen Zugriff auf Patientendaten und Systeme.

Der NTC-Bericht findet deutliche Worte: Viele der identifizierten IT-Schwachstellen wären schon «bei üblichen Sicherheitsprüfungen» aufgefallen. Offensichtlich fanden solche Routine-Checks aber nicht statt, was Hackern ohne Spezialkenntnisse die Arbeit erleichtert.

Gegenüber watson erklärt NTC-Testleiter Tobias Castagna, dass die untersuchte Spital-Software auf unterschiedlichen Computern zum Einsatz komme, zum Teil auf Mobilgeräten.

Während die meisten relevanten Schwachstellen inzwischen behoben oder durch Massnahmen entschärft worden seien, erfordern jedoch einige grundlegende Probleme eine umfassende Neugestaltung der Softwarearchitektur, mahnt das NTC an. Dies werde laut den Herstellern mehrere Jahre in Anspruch nehmen.

«Dieser Schritt ist für die Hersteller aufwändig, teuer und daher wenig attraktiv. Umso wichtiger ist es, dass die Spitäler als Kunden darüber informiert sind und auf eine rasche Umsetzung hinwirken.»

Aufgefallen sei auch, dass einige Hersteller sich schwer damit täten, ihre Kunden «transparent und zeitnah über festgestellte Schwachstellen zu informieren».

Welche Spitäler sind betroffen?

Im Bericht wird laut NTC bewusst auf die Nennung von Details zu den entdeckten IT-Schwachstellen und den betroffenen Spitälern verzichtet.

Wir kennen dafür die drei Software-Anbieter, respektive Entwicklerfirmen, deren Produkte gemäss NTC über einen Zeitraum von einem Jahr geprüft wurden:

  • Die ursprünglich am Universitätsspital Zürich entwickelte Anwendung KISIM der in Zürich domizilierten Herstellerfirma Cistec.
  • Die aus Deutschland stammende Anwendung inesKIS des deutschen Herstellers ines. Der Fokus des Unternehmens liegt laut NTC auf dem Schweizer Gesundheitswesen mit rund 30 hiesigen Kunden.
  • Die vom US-Hersteller Epic Systems entwickelte Software werde weltweit in über 2000 Spitälern eingesetzt, davon über 100 in Europa. Hierzulande setzten bisher nur das Luzerner Kantonsspital und seit Kurzem die Insel-Gruppe in Bern darauf.

Wie reagieren die Software-Anbieter?

In Stellungnahmen gegenüber der SRF-«Tagesschau» begrüssten die drei Software-Entwicklerfirmen die unabhängige Prüfung auf Schwachstellen.

Um die Unabhängigkeit und Neutralität der Untersuchung zu gewährleisten, waren die Hersteller laut NTC zwar vorab informiert worden, sie seien aber nicht an der Durchführung und Finanzierung beteiligt.

Was muss sich bei den Spitälern ändern?

Das NTC hat technische und organisatorische Empfehlungen für die Cybersicherheits-Verantwortlichen in den Spitälern ausgesprochen:

  • Das Einfordern und die Kontrolle der Cybersicherheit bereits bei der Software-Beschaffung.
  • Eine regelmässige Überprüfung der IT-Systeme auf Schwachstellen.
  • Regelmässige Updates.
  • Die Trennung der «produktiven Umgebung», also der im Arbeitsalltag genutzten Systeme, von Testumgebungen und dem Patienten-WLAN.
  • Eine Bündelung der Kräfte im Bereich der Cybersicherheit und den Austausch mit der Branche.
  • Die Beschäftigung von Cybersicherheits-Spezialisten in den Spitälern.
  • Den Bezug von wichtigen Informationen über den sogenannten «Cyber Security Hub» des Bundesamtes für Cybersicherheit (BACS).
  • Den Verzicht auf einseitige Geheimhaltungs-Erklärungen zugunsten der Software-Hersteller. Denn solche Abmachungen behinderten den Informationsaustausch mit anderen Spitälern.

Weiter weist das NTC darauf hin, dass im Rahmen der Überprüfung kritische Schwachstellen auch in anderen Spital-IT-Systemen identifiziert wurden.

«Obwohl diese Systeme nicht Teil des Prüfungsumfangs waren, konnten die Schwachstellen als Zufallsfund leicht festgestellt werden, da sie kaum zu übersehen waren. Diese Feststellungen machen deutlich, dass Cybersicherheits-Überprüfungen auch in Zukunft und auch abseits von Klinikinformationssystemen dringend erforderlich sind.»
Was tut die «Cyber-Empa»?
Das Nationale Testinstitut für Cybersicherheit NTC untersucht «digitale Produkte und Infrastrukturen, die von der Privatwirtschaft nicht oder nicht ausreichend geprüft werden.» Die Non-Profit-Organisation mit Sitz in Zug wurde 2020 auf Initiative des Kantons Zug gegründet. Die unabhängigen Fachleute arbeiten mit dem Nationalen Zentrum für Cybersicherheit NCSC zusammen, aber auch mit Hochschulen und anderen Cybersecurity-Gremien.

Im Gegensatz zur Eidgenössischen Materialprüfungs- und Forschungsanstalt (Empa) führt das NTC keine Produkte-Zertifizierungen durch. Und man teste nicht im Auftrag Dritter, um Interessenkonflikte zu vermeiden.

Inhaltlich sei die Idee eines nationalen Prüfinstituts vom Branchenverband ICT Switzerland gekommen, so die NZZ. Erklärtes Ziel der «Cyber-Empa»: die Sicherheit in der Lieferkette von IT-Produkten zu erhöhen. Immer wieder gebe es Fälle, «bei denen in Produkte Hintertüren eingebaut werden, die zum Beispiel von Nachrichtendiensten genutzt werden».

Quellen

Mehr zur «Cyber-EMPA»

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Billigst-Spielzeug von Temu und Shein im Labor untersucht
1 / 11
Billigst-Spielzeug von Temu und Shein im Labor untersucht
Ein Stoff-Spielzeug (mit weicher Füllung) aus China, bestellt über die Temu-App. Dieses Produkt sehen die Fachleute als besonders problematisch ...
quelle: schweizer spielwaren verband (svs)
Auf Facebook teilenAuf X teilen
Wenn die Hebamme einen Bart trägt
Video: watson
Das könnte dich auch noch interessieren:
45 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
wydy
23.01.2025 14:21registriert Februar 2016
Schlimm ist vor allem, das sowas keine Konsequenzen für die IT Dienstleister sowie das Spital haben. Irgendwann greifen dann Dritte auf das System zu, klauen Patientendaten und dann heisst es nur "ups". Das Nichteinhalten von Sicherheitsmassnahmen sollte bei den Firmen teuer zu stehen kommen. Es sollte günstiger sein, sein System sicher zu gestalten, als die Busse vom Staat. Security kostet halt nur und generiert keinen Umsatz, darum wird das schlichtweg ignoriert.
350
Melden
Zum Kommentar
45
    Auch Apple zeigt «Golf von Amerika» in seinen Karten an
    Nach Google folgt der nächste US-Techkonzern in seiner Karten-App der von US-Präsident Donald Trump verfügten Umbenennung des Golfs von Mexiko. Und es gibt bereits Auswirkungen auf die Medienfreiheit.

    Der neue Name wird zunächst nur Nutzerinnen und Nutzern von Apple Maps in den USA angezeigt, eine Anpassung in anderen Regionen soll aber folgen, wie Apple dem Finanzdienst Bloomberg mitteilte.

    Zur Story