it-hilfe-sofort.de — IT-Sicherheit für das Gesundheitswesen


BSI findet 13 kritische Schwachstellen in Pflegesoftware – das müssen Pflegedienste jetzt tun

Lesezeit: ca. 8 Minuten

Alarmstufe Rot für die Pflege-IT

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im März 2026 die Ergebnisse von drei groß angelegten Sicherheitsstudien veröffentlicht – und das Fazit ist ernüchternd. In den Projekten SiKIS (Krankenhausinformationssysteme), SiPra (Praxisverwaltungssysteme) und DiPS (digitale Pflegedokumentationssysteme) wurden insgesamt neun Penetrationstests durchgeführt. Allein in den drei getesteten Pflegedokumentationssystemen fanden die Prüfer des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) 13 Schwachstellen mit hohem oder kritischem Schweregrad.

Die Mängelliste liest sich wie ein Lehrbuch der IT-Sicherheitsfehler: fehlende Transportverschlüsselung, schwache Authentifizierungsverfahren, fest kodierte Datenbankpasswörter in Installationspaketen und architektonische Schwächen, die eine sichere Nutzerautorisierung unmöglich machen. Für die rund 17.000 ambulanten Pflegedienste in Deutschland ist das kein abstraktes Problem – es geht um den Schutz hochsensibler Patientendaten und die Betriebsfähigkeit ihrer Einrichtungen.

Die drei BSI-Studien im Überblick

Projekt Gegenstand Prüfer Getestete Systeme Kernergebnis
SiKIS Krankenhausinformationssysteme (KIS) Fraunhofer SIT, Open Source Security GmbH 2 repräsentative KIS Ein einziger Datenbankzugang für alle Nutzer; HL7 v2 und DICOM ohne Sicherheitsfeatures
SiPra Praxisverwaltungssysteme (PVS) Enno Rey Netzwerke (ERNW) 4 marktübliche PVS 3 von 4 Systemen aus dem Internet angreifbar; keine Transportverschlüsselung im Praxisnetz
DiPS Digitale Pflegedokumentationssysteme Fraunhofer SIT, e-Health-Team 3 weitverbreitete Systeme 13 hohe/kritische Schwachstellen; 16 von 52 Pflegediensten ohne VPN im Internet

Die 13 Schwachstellen in Pflegedokumentationssystemen – was konkret gefunden wurde

Die DiPS-Studie untersuchte drei marktübliche, als On-Premise-Installation betriebene Pflegedokumentationssysteme. Die gefundenen Schwachstellen lassen sich in folgende Kategorien gruppieren:

  1. Fehlende Transportverschlüsselung (TLS)
    Datenübertragung zwischen Client und Server erfolgte unverschlüsselt. Man-in-the-Middle-Angriffe waren möglich – Patientendaten, Zugangsdaten und Konfigurationen im Klartext abgreifbar.
  2. Veraltete kryptografische Verfahren
    Einsatz unsicherer, längst als gebrochen geltender Verschlüsselungsalgorithmen. Teilweise wurden Protokolle verwendet, die seit Jahren nicht mehr dem Stand der Technik entsprechen.
  3. Schwache Authentifizierungsmechanismen
    Keine oder unzureichende Passwortrichtlinien. Teilweise waren Standardpasswörter oder trivial zu erratende Zugangsdaten im Einsatz.
  4. Fest kodierte Zugangsdaten in Installationspaketen
    Datenbankpasswörter und andere Credentials waren hart in den Installationsroutinen hinterlegt – ein gefundenes Fressen für jeden Angreifer mit Zugriff auf das Installationsmedium.
  5. Fehlende Prüfmechanismen bei Software-Updates
    Updates wurden ohne Signaturprüfung eingespielt. Ein Angreifer konnte manipulierte Update-Pakete unterschieben und Schadcode im System platzieren.
  6. Schwaches Schlüsselmanagement
    Kryptografische Schlüssel wurden unsicher gespeichert oder waren für alle Installationen identisch.
  7. Architektonische Schwächen bei der Nutzerautorisierung
    Das Berechtigungskonzept war so angelegt, dass eine effektive Trennung von Benutzerrollen nicht möglich war. Pflegekräfte konnten auf administrative Funktionen zugreifen.
  8. Unsichere Standardkonfiguration
    Die Systeme wurden mit unsicheren Werkseinstellungen ausgeliefert. Sicherheitsfeatures waren standardmäßig deaktiviert.
  9. Fehlende Netzwerksegmentierung
    Keine Trennung zwischen interner Systemkommunikation und potenziell exponierten Schnittstellen.
  10. Unzureichendes Logging und Monitoring
    Sicherheitsrelevante Ereignisse wurden nicht oder nur lückenhaft protokolliert. Angriffe blieben unbemerkt.
  11. SQL-Injection und andere Injection-Schwachstellen
    Eingabefelder waren nicht ausreichend gegen Injection-Angriffe abgesichert.
  12. Fehlende Session-Sicherheit
    Session-Token waren vorhersagbar oder wurden unsicher übertragen. Session-Hijacking war möglich.
  13. Ungeschützte API-Endpunkte
    Programmierschnittstellen waren ohne Authentifizierung oder mit schwacher Absicherung erreichbar.

Erschreckende Begleitumfrage: So exponiert sind Pflegedienste wirklich

Im Rahmen der DiPS-Studie befragte das BSI 52 ambulante Pflegedienste zu ihrer IT-Praxis. Die Ergebnisse zeigen, dass die technischen Schwachstellen der Software auf eine ebenso riskante Betriebspraxis treffen:

  • 43 von 52 Pflegediensten greifen regelmäßig von unterwegs auf ihr Pflegedokumentationssystem zu.
  • 16 von 52 tun dies direkt über das Internet – ohne VPN. Das bedeutet: Patientendaten, Medikationspläne und Pflegeberichte laufen ungeschützt durchs offene Netz.
  • 25 von 52 Pflegediensten bestätigten einen permanenten Fernzugang durch Hersteller oder IT-Dienstleister – oft ohne dokumentierte Sicherheitsvorkehrungen.

Kombiniert man diese Betriebspraxis mit den 13 gefundenen Schwachstellen, ergibt sich ein Bild, das jeden Datenschutzbeauftragten alarmieren sollte: Angreifer können Patientendaten abgreifen, manipulieren oder ganze Systeme lahmlegen – und das mit vergleichsweise geringem Aufwand.

Strukturelle Defizite: Warum die Branche hinterherhinkt

Die BSI-Studien decken nicht nur technische Mängel auf, sondern auch systemische Versäumnisse auf Herstellerseite:

  • Keine designierte Anlaufstelle für Schwachstellenmeldungen bei vielen Herstellern.
  • Nur etwa zwei Drittel der PVS-Hersteller führen regelmäßig Penetrationstests durch.
  • Kein einziger Hersteller hat ein Bug-Bounty-Programm.
  • Tracking von Schwachstellen in Drittbibliotheken erfolgt teilweise manuell.
  • Auf Webseiten wird selten auf IT-Sicherheit eingegangen – stattdessen Werbung mit Videosprechstunde, Sprachsteuerung und KI-Abrechnung.

Hinzu kommt ein regulatorisches Vakuum: Für Pflegedokumentationssysteme gibt es keine verpflichtende Sicherheitszertifizierung. Die KBV-Zertifizierung von Praxisverwaltungssystemen prüft ausschließlich funktionale Anforderungen – IT-Sicherheit ist kein Prüfkriterium. Die Rahmenvereinbarung nach § 332b SGB V ist freiwillig.

Warum Gesundheitsdaten besonderen Schutz brauchen

Gesundheitsdaten gehören nach Art. 9 DSGVO zu den „besonderen Kategorien personenbezogener Daten" und genießen den höchsten Schutzstatus. Anders als eine Kreditkartennummer kann eine Krankengeschichte nicht gesperrt oder neu ausgestellt werden. Im Darknet erzielen Gesundheitsdatensätze deutlich höhere Preise als Finanzdaten – sie eignen sich für Identitätsdiebstahl, Versicherungsbetrug und Erpressung.

Die realen Konsequenzen unzureichender IT-Sicherheit sind dokumentiert: Beim Ransomware-Angriff auf die Uniklinik Düsseldorf 2020 wurden 30 Server verschlüsselt, die Notfallversorgung musste abgemeldet werden, eine Patientin verstarb nach verspäteter Einlieferung. Das Einfallstor: eine seit Monaten ungepatchte Citrix-VPN-Schwachstelle.

Die Praxischeckliste: 10 Sofortmaßnahmen für Pflegedienste

Das BSI hat zu den DiPS-Ergebnissen einen Empfehlungskatalog speziell für Betreiber und Nutzer veröffentlicht (kommentierbar bis 17. Juni 2026). Daraus und aus den Studienergebnissen leiten wir diese Checkliste ab:

  1. Transportverschlüsselung prüfen und erzwingen
    Stellen Sie sicher, dass sämtliche Kommunikation zwischen Client und Server ausschließlich über TLS 1.2 oder 1.3 erfolgt. Deaktivieren Sie ältere Protokolle (SSL, TLS 1.0/1.1) auf Server- und Clientseite.
  2. VPN für jeden externen Zugriff
    Kein Zugriff auf das Pflegedokumentationssystem aus dem Internet ohne VPN – niemals. Die 16 Pflegedienste ohne VPN sind ein Albtraum für jeden Datenschutzbeauftragten.
  3. Passwortrichtlinie durchsetzen
    Mindestens 12 Zeichen, Komplexitätsanforderungen, keine Standardpasswörter. Erzwingen Sie die Änderung aller werkseitig voreingestellten Zugangsdaten.
  4. Multi-Faktor-Authentifizierung (MFA) aktivieren
    Wo immer das System es unterstützt: MFA für alle Benutzerkonten, insbesondere für administrative Zugänge.
  5. Update-Prozess absichern
    Nur signierte Updates einspielen. Automatische Update-Prüfung aktivieren. Sicherstellen, dass der Hersteller einen verifizierten Update-Kanal bereitstellt.
  6. Fernzugriff durch Hersteller reglementieren
    Permanente Fernzugänge dokumentieren, zeitlich beschränken und nur nach expliziter Freigabe aktivieren. Jede Fernwartungssitzung protokollieren.
  7. Netzwerk segmentieren
    Pflegedokumentationssystem in einem eigenen, firewallgeschützten Netzsegment betreiben. Keine Vermischung mit Gäste-WLAN oder Büro-Netzwerk.
  8. Berechtigungskonzept nach Need-to-know
    Benutzerrollen strikt trennen. Pflegekräfte erhalten nur die Rechte, die sie für ihre Arbeit benötigen. Administrative Konten getrennt von Alltagskonten.
  9. Logging und Monitoring einrichten
    Sicherheitsrelevante Ereignisse protokollieren und regelmäßig auswerten. Ungewöhnliche Zugriffsmuster automatisch erkennen lassen.
  10. Penetrationstest beauftragen
    Lassen Sie Ihre konkrete Installation von einem unabhängigen Dienstleister auf Schwachstellen prüfen. Die BSI-Ergebnisse zeigen: Die Standardkonfiguration ist oft das Problem.

itbuddy.care – die sichere Alternative für die Pflegedokumentation

Die BSI-Ergebnisse machen deutlich: Wer heute noch auf unsichere Altsysteme setzt, riskiert nicht nur Bußgelder nach DSGVO (bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes) und NIS2 (bis zu 10 Mio. € oder 2 % des Umsatzes, mit persönlicher Haftung der Geschäftsleitung), sondern gefährdet die Versorgung der anvertrauten Patienten.

itbuddy.care wurde von Grund auf mit dem Anspruch entwickelt, die in den BSI-Studien identifizierten Schwachstellen systematisch zu vermeiden:

  • Ende-zu-Ende-Verschlüsselung nach aktuellem Stand der Technik (TLS 1.3) für sämtliche Kommunikationswege
  • Multi-Faktor-Authentifizierung als Standard, nicht als Option
  • Zero-Trust-Architektur – kein blindes Vertrauen in das interne Netzwerk
  • Signierte Updates mit automatischer Integritätsprüfung
  • Granulares Berechtigungskonzept mit strikter Rollentrennung
  • Vollständiges Audit-Logging aller sicherheitsrelevanten Ereignisse
  • Regelmäßige externe Penetrationstests durch unabhängige Sicherheitsdienstleister
  • Dediziertes Security-Team mit definiertem Schwachstellen-Meldeprozess
  • DSGVO-konformes Hosting in deutschen Rechenzentren

Während die BSI-Studien zeigen, dass viele etablierte Systeme grundlegende Sicherheitsanforderungen nicht erfüllen, setzt itbuddy.care auf Security-by-Design – nicht als nachträgliches Add-on.

Jetzt handeln – bevor es zu spät ist

Die BSI-Ergebnisse sind ein Weckruf. Die gute Nachricht: Alle gefundenen Schwachstellen sind vermeidbar. Die schlechte: Viele Pflegedienste wissen nicht, wie exponiert ihre Systeme tatsächlich sind.

Vereinbaren Sie noch heute eine kostenfreie Sicherheits-Erstberatung:

📞 0800 1234567 (kostenfrei)
📧 kontakt@it-hilfe-sofort.de
🌐 it-hilfe-sofort.de

Oder informieren Sie sich direkt über die sichere Pflegedokumentation:
🔗 itbuddy.care – Security-by-Design für die Pflege.

Quellen