17.01.2024
Security-Check für Krankenhaus-IT - Projekt SiKIS
Das Krankenhausinformationssystem (KIS) ist das Herzstück der medizinischen Versorgung und Datenhaltung. Wie sicher sind diese Systeme und wie sicher sind sensible Daten bei der Übertragung? Das prüft das Fraunhofer-Institut SIT im Projekt SiKIS (Sicherheitseigenschaften von Krankenhausinformationssystemen). Für den Sicherheitstest werden Testkandidaten gesucht.
Studien zur Sicherheit von Krankenhaus-Informationssystemen – kostenfreie Testmöglichkeit für Krankenhäuser und Hersteller
Krankenhäuser verarbeiten zahlreiche Gesundheitsdaten von Patientinnen und Patienten. Das Krankenhausinformationssystem (KIS), eine spezielle Software in der Medizinbranche, ist das Herzstück der medizinischen Versorgung und Datenhaltung. Wie sicher sind diese Systeme, und wie sicher sind sensible Daten bei der Übertragung? Dies prüft das e-Health-Team des Fraunhofer-Instituts für Sichere Informationstechnologie SIT im jetzt vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gestarteten Projekt SiKIS (Sicherheitseigenschaften von Krankenhausinformationssystemen).
Ein Patient, eine Patientin wird in einem Krankenhaus aufgenommen, auf verschiedenen Stationen untersucht und individuell medizinisch versorgt. Bei jedem Schritt fallen sensible Daten in unterschiedlichen Systemen an: Befunde, Untersuchungsergebnisse, Therapieentscheidungen, OP-Berichte sowie Informationen zu Pflege, Medikation etc. Diese Daten werden an medizinische IT-Systeme im Krankenhaus weitergeleitet, aber auch an Arztpraxen, an die Krankenkasse und andere Teilnehmenden an der Gesundheitsinfrastruktur.
Zentraler Bestandteil dieser Datenverarbeitung ist in vielen Kliniken das Krankenhausinformationssystem (KIS), in dem die zentrale Patientenakte geführt wird. Wie sicher sind diese Systeme vor Cyber-Angriffen, und wie sicher sind die sensiblen Daten von Patientinnen und Patienten beim Austausch zwischen verschiedenen internen und externen Systemen? Mit dieser Fragestellung hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Fraunhofer SIT beauftragt.
Hersteller und Kliniken: KIS-Testsysteme gesucht
Die e-Health-Expertinnen und -Experten des Fraunhofer SIT planen hierfür zunächst eine Marktanalyse, die feststellen soll, welche Systeme und Datenaustauschformate (z. Bsp. HL7, DICOM oder FHIR) im Klinikalltag in Deutschland am häufigsten im Einsatz sind. In einem zweiten Schritt werden sie Krankenhausinformationssysteme auf Herz und Nieren prüfen. Hier suchen die Forschenden KIS-Hersteller und Kliniken, die mit ihnen zusammenarbeiten und ihre KIS mittels Penetrationstests kostenneutral evaluieren lassen möchten. Nach dem Test werden die Ergebnisse zusammen mit einem Prüfzertifikat zur Verfügung gestellt.
Mögliche Schwachstellen werden in enger Zusammenarbeit mit dem BSI in einem Coordinated-Vulnerability-Disclosure-Verfahren dem Hersteller gemeldet. Durch dieses Verfahren werden sicherheitskritische Probleme frühzeitig entdeckt und können frühestmöglich behoben werden. Basierend auf den vorherigen Ergebnissen werden zum Ende des Projektes abschließende Handlungsempfehlungen für Krankenhäuser und Kliniken erstellt, welche zur Veröffentlichung durch das BSI vorgesehen sind.
Geplant sind unter anderem praktische Sicherheitstests von KIS, wofür noch Test-Kandidaten gesucht werden. Für teilnehmende Hersteller, Kliniken und Krankenhäuser entstehen keine Kosten.
An einem Test interessierte Klinikverantwortliche oder KIS-Hersteller können sich melden bei Dr. Christoph Saatjohann
Über das Projekt
Das Projekt SiKIS – Sicherheitseigenschaften von Krankenhausinformationssystemen – läuft bis November 2024 und umfasst ein Volumen von rund 200.000 Euro. Neben Fraunhofer SIT ist ein weiterer Projektpartner OpenSource Security (OS-S) aus Steinfurt an der Durchführung des Projekts beteiligt. Auftraggeber ist das BSI.
Mitteilung zum Projektstart