BSI sieht Schwächen bei IT-Sicherheit im Gesundheitswesen

Das BSI hat Praxisverwaltungssysteme und die digitale Pflegedokumentation geprüft – mit ernüchterndem Ergebnis. Welche Schwachstellen kritisch sind und welche vier Punkte Arztpraxen prüfen sollten.

Die IT-Sicherheit im Gesundheitswesen bleibt ausbaufähig

Sensible Angaben wie Daten zur Gesundheit bedürfen eines hohen Schutzes. Dafür müssen auch die eingesetzten Software-Produkte sicher sein. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat verschiedene Software-Produkte im Gesundheitswesen geprüft. Das Ergebnis zeigt, dass die IT-Sicherheit in mehreren Bereichen ausbaufähig ist.1

Untersucht wurden Produkte, die in Arztpraxen und ambulanten Pflegeeinrichtungen genutzt werden. Das BSI veröffentlichte die Testergebnisse mit ergänzenden Empfehlungen, um die IT-Sicherheit der betroffenen Produktgruppen zu stärken.

Praxisverwaltungssysteme: Angriffe aus dem Internet möglich

Im Projekt „Sicherheit von Praxisverwaltungssystemen“ (SiPra) prüfte das BSI vier Praxisverwaltungssysteme. Diese Systeme spielen in Arztpraxen eine zentrale Rolle. Sie unterstützen Informations- und Verwaltungsprozesse und verarbeiten dabei häufig besonders schützenswerte Gesundheitsdaten.2

Bei drei der vier untersuchten Produkte konnten einzelne Schwachstellen Angriffe aus dem Internet ermöglichen. Betroffen waren Produkte mit unterschiedlichen technischen Voraussetzungen. Nach Einschätzung des BSI zeigt dies, dass die Risiken nicht nur mit einer bestimmten Technologie zusammenhängen.

Zu den Schwachstellen gehörten fehlende Verschlüsselungen bei der Datenübertragung und veraltete, unsichere Verschlüsselungsalgorithmen. Das BSI teilte die festgestellten Schwachstellen den jeweiligen Herstellern mit. Diese sollen die Schwachstellen nach Angaben des BSI zeitnah adressiert haben.

Die Empfehlungen des BSI sollen dazu beitragen, vergleichbare Schwachstellen künftig einzudämmen. Damit soll die IT-Sicherheit von Praxisverwaltungssystemen verbessert werden.3

Digitale Pflegedokumentation: Probleme bei Verschlüsselung und Authentifizierung 

Im Projekt zur Sicherheit von digitalen Pflegedokumentationssystemen (DiPS) prüfte das BSI drei Produkte, die in ambulanten Pflegeeinrichtungen eingesetzt werden.4

Dabei wurden Schwachstellen bei der Kommunikationsverschlüsselung, der Authentifizierung und der Prüfung von Software-Updates festgestellt. Zusätzlich identifizierte das BSI architektonische Schwächen. Diese können dazu führen, dass eine sichere Nutzerautorisierung nicht zuverlässig möglich ist.5

Gerade in der ambulanten Pflege ist digitale Pflegedokumentation ein wichtiger Bestandteil der täglichen Arbeit. Werden dort Gesundheitsdaten verarbeitet, müssen Berechtigungen klar geregelt sein. Auch Software-Updates müssen sicher geprüft werden, damit manipulierte oder unsichere Inhalte nicht in den Betrieb gelangen.6

Sichere Software schützt Gesundheitsdaten

Der Schutz von Gesundheitsdaten hängt stark von der Sicherheit der eingesetzten Software-Produkte ab. Das betrifft nicht nur einzelne Anwendungen. Auch zentrale Systeme wie Krankenhausinformationssysteme, Praxisverwaltungssysteme und digitale Pflegedokumentation sind relevant.7

Das BSI sieht weiterhin Herausforderungen bei der Nutzerauthentifizierung und Nutzerautorisierung. 

Die Erkenntnisse aus den Projekten zu Praxisverwaltungssystemen und digitalen Pflegedokumentationssystemen ergänzen frühere Ergebnisse zur Sicherheit von Krankenhausinformationssystemen. Vergleichbare Schwachstellen wurden mit diesen bereits in unterschiedlichen Bereichen des Gesundheitswesens sichtbar.8

Prüfpunkte für Arztpraxen und Pflegeeinrichtungen

Aus den vom BSI beschriebenen Schwachstellen ergibt sich für Einrichtungen im Gesundheitswesen ein Prüf- und Handlungsbedarf bei der IT-Sicherheit. Arztpraxen und ambulante Pflegeeinrichtungen sollten die eingesetzten Software-Produkte insbesondere in folgenden Bereichen überprüfen:

  • Verschlüsselung der Datenübertragung
  • Authentifizierung der Nutzenden
  • sichere Prüfung von Software-Updates
  • Berechtigungskonzepte und Nutzerautorisierung9

Einrichtungen im Gesundheitswesen sind dafür verantwortlich, die eingesetzten IT-Systeme sicher zu betreiben. Dazu gehören technische Schutzmaßnahmen, klare Zuständigkeiten und regelmäßige Prüfungen.10

Fazit: IT-Sicherheit ist Grundlage für Vertrauen

Die Feststellungen des BSI zeigen, wie wichtig sichere Software-Produkte im Gesundheitswesen sind. Arztpraxen und ambulante Pflegeeinrichtungen verarbeiten täglich sensible Gesundheitsdaten. Damit Patienten auf den Schutz dieser Daten vertrauen können, müssen Software-Produkte sicher entwickelt, aber auch regelmäßig aktualisiert und im Alltag sicher betrieben werden.

Die Empfehlungen des BSI können Einrichtungen dabei unterstützen, bestehende Risiken zu erkennen und Sicherheitsprozesse gezielt zu verbessern.

KI_Logo_DE_PNG.png

KINAST Rechtsanwälte ist eine seit 15 Jahren auf Datenschutz spezialisierte Kanzlei und gehört deutschlandweit zu den Top 5 in diesem Rechtsgebiet. KINAST berät national wie international agierende Unternehmen und Organisationen aller Größen und Branchen. Insbesondere bieten sie auch spezifische Datenschutzlösungen für den Gesundheitsbereich. Zu ihren Mandanten gehören Ärztekammern und Kassenverbände sowie diverse Kliniken, Praxen und MVZs

Quellen
  • Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI - Presse - BSI bemängelt IT-Sicherheit von Software-Produkten des Gesundheitswesens, zuletzt abgerufen am 11.05.2026.
  • Bundesamt für Sicherheit in der Informationstechnik (BSI): Abschlussbericht zum Projekt Sicherheit von Praxisverwaltungssystemen (SiPra), zuletzt abgerufen am 11.05.2026.
  • Bundesamt für Sicherheit in der Informationstechnik (BSI): SiPra: Empfehlungen zur Steigerung der IT-Sicherheit von Praxisverwaltungssystemen, zuletzt abgerufen am 11.05.2026.
  • Bundesamt für Sicherheit in der Informationstechnik (BSI): Abschlussbericht zum Projekt Studie zur Sicherheit von digitalen Pflege-dokumentationssystemen (DiPS), zuletzt abgerufen am 11.05.2026.
  • Bundesamt für Sicherheit in der Informationstechnik (BSI): DiPS: Handlungsempfehlungen zur Verbesserung der IT-Sicherheit in ambulanten Pflegediensten, zuletzt abgerufen am 11.05.2026.
  1. Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI - Presse - BSI bemängelt IT-Sicherheit von Software-Produkten des Gesundheitswesens, zuletzt abgerufen am 11.05.2026.
  2. Bundesamt für Sicherheit in der Informationstechnik (BSI): Abschlussbericht zum Projekt Sicherheit von Praxisverwaltungssystemen (SiPra), zuletzt abgerufen am 11.05.2026.
  3. Bundesamt für Sicherheit in der Informationstechnik (BSI): SiPra: Empfehlungen zur Steigerung der IT-Sicherheit von Praxisverwaltungssystemen, zuletzt abgerufen am 11.05.2026.
  4. Bundesamt für Sicherheit in der Informationstechnik (BSI):  Abschlussbericht zum Projekt Studie zur Sicherheit von digitalen Pflege-dokumentationssystemen (DiPS), zuletzt abgerufen am 11.05.2026.
  5. siehe Fn.1.
  6. siehe Fn.1.
  7. siehe Fn.1.
  8. Bundesamt für Sicherheit in der Informationstechnik (BSI):  DiPS: Handlungsempfehlungen zur Verbesserung der IT-Sicherheit in ambulanten Pflegediensten, zuletzt abgerufen am 11.05.2026.
  9. siehe Fn. 1.
  10. siehe Fn. 3.