Bericht zeigt gravierende Sicherheitslücken

Sind Patientendaten in Zug und Luzern vor Hackern sicher?

Wie einfach gelangen Hacker an Patientendaten des Zuger Kantonsspitals? Das hat ein Testzentrum untersucht. (Bild: Zuger Kantonsspital AG)

Ein Bericht des Nationalen Testinstituts für Cybersicherheit zeigt gravierende IT-Sicherheitslücken bei Kliniken auf. Auch in Zug und Luzern. Dort zeigt man sich aber nicht beunruhigt.

Heikle Gesundheitsdaten, Interna über Patienten oder Berichte – und das alles in wenigen Stunden gehackt. Es sind grosse Mängel, die der Bericht des Nationalen Testinstituts für Cybersicherheit (NTC) aufzeigt. Am Donnerstag veröffentlichte das NTC den Bericht. Drei Klinikinformationssysteme hat das Institut untersucht, die in Schweizer Kliniken zum Einsatz kommen – zum Beispiel beim Kantonsspital in Zug und bei der Luzerner Psychiatrie.

Die Kliniken hätten die Überprüfung in Auftrag gegeben, heisst es beim Kantonspital Zug auf Anfrage. Die Systeme werden zur Erfassung, Bearbeitung und Weitergabe medizinischer und administrativer Daten genutzt.

Das Ergebnis ist ernüchternd: «In jedem der untersuchten Systeme wurden schwerwiegende Schwachstellen identifiziert», schreibt das NTC. 40 mittlere bis schwere Schwachstellen konnte es identifizieren. Viele der gefundenen Schwachstellen seien derart offensichtlich und leicht auszunutzen, dass sie innerhalb weniger Stunden nach Testbeginn die vollständige Kontrolle über die Systeme und die darin enthaltenen Patientendaten ermöglicht hätten, heisst es im Bericht.

Hersteller würden zu oft Geheimhaltung fordern

Auf die konkreten Schwachstellen bei den einzelnen Spitälern und Kliniken geht das NTC nicht ein. Auch nicht darauf, wer wie gut abgeschnitten hatte. Es hätten sich aber vier Hauptprobleme offenbart: grundlegende Schwächen in der Architektur der Systeme, fehlende oder nicht ordnungsgemäss umgesetzte Verschlüsselung der Kommunikation zwischen beteiligten Systemen, schwache Umsysteme und eine unzureichende Trennung von Test- und Produktionsumgebungen.

Als grosses Problem nennt das NTC zudem, dass die Klinikinformationssysteme nur selten auf ihre Sicherheit geprüft würden und wenn, dann oft unter grosser Geheimhaltung – häufig auf Druck der Hersteller der Systeme hin. Dadurch seien Schwachstellen teilweise unter Verschluss geblieben, hätten nicht mit anderen Betroffenen geteilt werden können und seien von einigen Herstellern nicht oder nur zögerlich behoben worden, heisst es im Bericht. Und weiter: «Auffallend ist, dass einige Hersteller sich schwer damit tun, ihre Kunden transparent und zeitnah über festgestellte Schwachstellen zu informieren. In einem Fall verging fast ein Jahr zwischen der ersten Mitteilung an den Hersteller und der offiziellen Information der Kunden, die erst auf wiederholtes Drängen des NTC und der Spitäler erfolgte.»

Sicherheitslücken «unverzüglich offenlegen und zeitnah beheben»

Die Kritik richtet sich also zu grossen Teilen gegen die Hersteller der Klinikinformationssysteme in den Spitälern. Beim Kantonsspital Zug ist das die Firma Cistec aus Zürich. Gut 30 Spitäler schweizweit nutzen die Anwendungen der Firma.

Gegenüber «SRF» lässt das Unternehmen mitteilen: «Der Test hat bei unserem System eine einzige kritische Lücke gezeigt. Diese konnte nur genutzt werden, wenn man mit allen Rechten im internen Spitalnetz agieren konnte. Die Lücke ist mittlerweile geschlossen.»

Das NTC schreibt aber, dass auch die Spitäler in der Verantwortung stünden. Beim Zuger Kantonsspital heisst es auf Anfrage von zentralplus, dass man Cistec die Sicherheitslücken umgehend gemeldet habe. Zudem sei das Spital der Auffassung, dass die Sicherheit von IT-Systemen nur geschützt werden könne, wenn erkannte Sicherheitslücken unverzüglich offengelegt und somit auch zeitnah behoben werden könnten. Das dürfte somit bereits geschehen sein.

Grundsätzlich begrüsse das Spital, wenn die IT-Infrastruktur regelmässig überprüft werde. Auf die Frage, welche Bemühungen das Spital treffe, um die Patientendaten zu schützen, heisst es, man habe «verschiedenste organisatorische und technische Massnahmen implementiert, welche die Resilienz der IT-Systeme erhöhen». Konkreter wird das Spital nicht. Aber es sei ein «kombinierter und robuster Ansatz». Dieser stütze sich auf die jeweils aktuellen Empfehlungen und werde laufend überprüft und den aktuellen Bedrohungen angepasst.

Bei Luzerner Psychiatrie gebe es regelmässige Tests

Ähnlich tönt es bei der Luzerner Psychiatrie (Lups). Allerdings würden dort regelmässige Tests durchgeführt, betont das Unternehmen auf Anfrage. «Die Luzerner Psychiatrie AG nimmt IT-Sicherheit sehr ernst und legt grossen Wert auf eine regelmässige Überprüfung ihrer Systeme. Im Gegensatz zu der im Bericht geschilderten Situation führen wir seit mehreren Jahren bewusst und in regelmässigen Abständen umfassende Checks unserer IT-Infrastruktur durch.»

Alle durchgeführten Tests und deren Ergebnisse teile sie vollumfänglich mit den Lieferanten, sprich den Herstellern. Den Test des NTC erachte sie als wertvoll, um die eigene IT-Sicherheit zu stärken. Dessen Erkenntnisse nutze das Lups zur weiteren Optimierung.

Die Psychiatrie sei sich der Verantwortung im Umgang mit Daten bewusst und «setzt alles daran, diese auch zukünftig bestmöglich zu schützen». Dabei setze das Lups modernste Technologien ein. «Jedoch ist im dynamischen Bereich der ICT und angesichts der rasanten technologischen Entwicklungen eine hundertprozentige Sicherheit gegen Cyberangriffe leider nie gewährleistet, dies zeigen aktuelle Beispiele. Daher ist es wichtig, die Thematik im Auge zu behalten», heisst es weiter.

Grundlegende Probleme liessen sich nur mit neuer Software lösen

Das NTC erlässt in seinem Bericht derweil einen Katalog an Empfehlungen. Beispielsweise Cybersicherheitsspezialisten in den Spitälern, regelmässige Überprüfung und Updates oder eben die Ablehnung von Geheimhaltungsvereinbarungen.

Einige grundlegende Probleme würden sich jedoch nur durch eine komplette Änderung der Softwarearchitektur lösen, schreibt das NTC. Das dürfte aber einiges an Zeit und Geld in Anspruch nehmen. Für die Spitäler – zumindest in der Zentralschweiz – scheint dieser Schritt vorerst keine Option zu sein.

Das Nationale Testinstitut für Cybersicherheit (NTC) ist eine Non-Profit-Organisation, die zu grossen Teilen vom Kanton Zug finanziert wird und dort auch ihren Sitz hat. Kürzlich prüfte das NTC zum Beispiel die Ramsch-App Temu auf Herz und Nieren (zentralplus berichtete).

Verwendete Quellen
  • Bericht des NTC
  • Schriftlicher Austausch mit Kantonsspital Zug
  • Schriftlicher Austausch mit der Luzerner Psychiatrie
  • Artikel «SRF»
0 Kommentare
Aktuelle Artikel
Apple Store IconGoogle Play Store Icon