Datenschutz

Krankenhausinformationssysteme (KIS) unter Beschuss

Was Krankenhäuser jetzt für mehr Cybersicherheit und Datenschutz tun müssen

Was Krankenhäuser jetzt für mehr Cybersicherheit und Datenschutz tun müssen

Sicherheit im KIS – Eine nationale Aufgabe

Am 10. Februar 2025 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die ersten offiziellen Handlungsempfehlungen für Krankenhausinformationssysteme (KIS) im Rahmen des Projekts SiKIS (Projekt 623). Der Bericht ist das Ergebnis einer mehrmonatigen Zusammenarbeit mit dem Fraunhofer-Institut für Sichere Informationstechnologie (SIT) und der OpenSource Security GmbH. Im Fokus: Zwei real existierende, in Deutschland weit verbreitete KIS-Produkte, die einer tiefgehenden Sicherheitsanalyse – einschließlich Penetrationstests – unterzogen wurden.

Ziel der Veröffentlichung ist es, sowohl KIS-Hersteller als auch Krankenhäuser als Betreiber zu sensibilisieren und zu konkretem Handeln zu befähigen. Denn KIS sind zentrale Systeme in der stationären Versorgung – ihr Ausfall bedeutet oft einen Stillstand der gesamten digitalen Patientenbehandlung. Die zunehmenden Cyberangriffe auf Krankenhäuser in Deutschland verdeutlichen: Die Sicherheit dieser Systeme ist keine technische Kür mehr, sondern Teil der Daseinsvorsorge.

Mit diesem Beitrag möchten wir die wichtigsten Erkenntnisse aus der SiKIS-Veröffentlichung für Praktiker im Gesundheitswesen übersetzen - verständlich, kritisch und mit klarem Bezug zur Datenschutz- und Sicherheitsrealität in Kliniken.

KIS: Kritische Infrastruktur mit Schwachstellen

Krankenhausinformationssysteme verarbeiten hochsensible Patientendaten, steuern administrative wie medizinische Prozesse und sind tief in die IT-Landschaft eingebettet. Das BSI stellt in seiner Analyse vier zentrale Schwachstellen fest:

  • Veraltete Zwei-Schicht-Architekturen, die direkte Datenbankzugriffe erlauben
  • Fehlende oder unsichere Verschlüsselung der Netzwerkkommunikation
  • Unsichere Softwareverteilung, häufig über ungesicherte Netzlaufwerke
  • Intransparentes und schwaches Benutzer- und Passwortmanagement

Die Erkenntnisse basieren auf konkreten Penetrationstests - es handelt sich also nicht um theoretische Bedrohungsszenarien, sondern um realistisch ausnutzbare Lücken, die unmittelbar klinische Abläufe gefährden können.

Ein realistisches Angriffsszenario

Die Handlungsempfehlung enthält ein eindrucksvolles Beispiel:

Ein Angreifer verschickt eine Phishing-Mail mit Schadsoftware. Die Malware wird auf einem KIS-Client ausgeführt - einem normalen Arbeitsplatz-PC mit Zugriff auf das KIS. Ist die Kommunikation zwischen KIS-Client und Server nicht verschlüsselt, können Zugangsdaten und Patientendaten im Klartext abgefangen werden. In der Folge verschaffen sich Angreifer Admin-Zugriff auf die Datenbank, lesen oder verschlüsseln Gesundheitsdaten - und fordern Lösegeld.

Dieses Szenario ist keineswegs hypothetisch. Mehrere deutsche Krankenhäuser waren in den letzten Jahren genau solchen Angriffen ausgesetzt - mit gravierenden Folgen für Patient:innen und Personal.

Die wichtigsten Empfehlungen – praxisnah zusammengefasst

1. TLS oder nichts

Netzwerkkommunikation muss immer verschlüsselt sein - auch im internen Netz. Transport Layer Security (TLS) sollte standardmäßig aktiviert und korrekt konfiguriert sein.

2. Architektur modernisieren

Ein direkter Zugriff vom Client auf die Datenbank (Zwei-Schicht-Modell) ist unsicher. Empfohlen wird der Umstieg auf eine Drei-Schicht-Architektur mit Applikationsserver und klarer Zugriffskontrolle.

3. Softwareupdates absichern

Updates dürfen nicht ohne Prüfung eingespielt werden. Code-Signaturen und Authentizitätstests sind notwendig. Netzlaufwerke zur Verteilung sind kritisch und müssen mindestens stark abgesichert werden.

4. Benutzer- und Kontenmanagement

Veraltete Wartungskonten mit Vollzugriff, die nicht dokumentiert sind? Leider Realität. Der Report fordert: Audits aller Zugänge, sichere Passwörter, und Deaktivierung nicht benötigter Accounts.

5. Härtungsrichtlinien und Transparenz

Hersteller sollen Sicherheitskonzepte und Schnittstellen dokumentieren. Nur so können Kliniken ihre eigene Risikoanalyse fundiert durchführen -insbesondere im Kontext des B3S.

6. Sicherheitsuntersuchungen auf beiden Seiten

Sowohl Hersteller als auch Betreiber sollten regelmäßige Audits und Penetrationstests durchführen - idealerweise abgestimmt und mit dokumentierter Ergebniskommunikation.

Datenschutz: Das vergessene Risiko im KIS - und warum technischer Schutz allein nicht reicht

Neben IT-Sicherheit muss auch der Datenschutz im Krankenhausinformationssystem (KIS) ganz oben auf der Prioritätenliste stehen. Denn dort, wo Angreifer sich Zugriff verschaffen, liegen in der Regel auch personenbezogene Daten besonderer Kategorien im Sinne von Art. 9 DSGVO – Gesundheitsdaten, Befunde, Diagnosen, Therapien. Ein KIS ist damit nicht nur technisches Herzstück, sondern auch datenschutzrechtlicher Hochrisikobereich.

IT-Sicherheit ≠ Datenschutz - aber sie bedingen einander

Fehlende TLS-Verschlüsselung oder hartcodierte Zugangsdaten sind nicht nur technische Schwächen, sondern auch Verstöße gegen die DSGVO, konkret gegen Art. 32 (Sicherheit der Verarbeitung). Datenschutz ist keine rein organisatorische Pflicht, sondern eng mit der Systemarchitektur verzahnt.

Kliniken tragen die Verantwortung

Krankenhäuser sind Verantwortliche im Sinne der DSGVO - und müssen daher jederzeit nachweisen können, dass Schutzmaßnahmen dem Stand der Technik entsprechen. Das umfasst:

  • Zugriffs- und Rechtemanagement
  • Sichere Protokollierung
  • Verfahrensverzeichnisse mit konkreten TOMs
  • Dokumentierte Risikoanalysen nach Art. 35 DSGVO

Ein fehlender TLS-Schutz oder eine schwache Passwortpraxis kann in einem Datenschutz-Audit schnell zur Rechenschaftspflicht führen – inklusive Bußgeldgefahr.

Der DSB muss eingebunden sein

Viele der im SiKIS-Dokument genannten Maßnahmen betreffen auch den Aufgabenbereich des Datenschutzbeauftragten. Einbindung in Architekturentscheidungen, Schnittstellenanalysen und Auditverfahren ist essenziell.

Fazit: Jetzt handeln – gemeinsam für mehr Resilienz

Die Handlungsempfehlungen aus dem SiKIS-Projekt sind ein Weckruf: KIS-Systeme müssen robuster, sicherer und transparenter werden. Hersteller sind in der Pflicht, ihre Produkte weiterzuentwickeln - aber auch Krankenhäuser selbst müssen aktiv werden:

  • Sicherheitsarchitektur prüfen und modernisieren
  • Verträge mit Herstellern um Dokumentation und Sicherheitsnachweise ergänzen
  • Interne Prozesse rund um Zugangskontrollen und Softwareverteilung optimieren
  • Datenschutz und IT-Sicherheit endlich gemeinsam denken

Das vollständige Dokument „Handlungsempfehlungen für Krankenhausinformationssysteme (KIS)“ finden Sie hier:
Handlungsempfehlung für Krankhausinforamtionssysteme (KIS)

Hinweis: Dieser Beitrag basiert auf der Veröffentlichung des Bundesamts für Sicherheit in der Informationstechnik vom 10.02.2025. Die Analyse wurde durch das Fraunhofer SIT und die OpenSource Security GmbH im Rahmen des Projekts „SiKIS“ durchgeführt.

Stefan Winger
Stefan Winger
Datenschutzbeauftragter
Alle Beiträge
Stefan Winger ist seit Oktober 2023 als Senior Manager Datenschutz bei INTEGRITY tätig mit den Schwerpunkten: Gestaltung und Planung datenschutzrelevanter Prozesse in KMUs und klinischen Betrieben.