Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kritisiert in einer aktuellen Analyse die mangelnde IT-Sicherheit vieler Softwareprodukte im Gesundheitswesen. Im Kern geht es darum, dass zahlreiche Anwendungen, die im medizinischen Alltag – von der Patientenverwaltung bis zur Steuerung medizinischer Geräte – eingesetzt werden, bekannte Sicherheitslücken aufweisen. Das BSI bemängelt dabei insbesondere, dass Hersteller oft nur verzögert auf Schwachstellen reagieren und notwendige Sicherheits-Updates (Patches) nicht zeitnah bereitstellen.

Diese Situation betrifft Einrichtungen im Gesundheitswesen unmittelbar, da sie gesetzlich und ethisch zur Gewährleistung der Patientensicherheit sowie zum Schutz hochsensibler Gesundheitsdaten verpflichtet sind. Ein IT-Ausfall oder ein gezielter Cyberangriff können in diesem Sektor nicht nur ökonomische Schäden verursachen, sondern lebenswichtige Versorgungsprozesse unterbrechen.

Von dieser Problematik sind typischerweise Krankenhäuser (insbesondere KRITIS-Einrichtungen), Medizinische Versorgungszentren (MVZ) und große Trägerstrukturen betroffen. Durch die zunehmende Vernetzung im Rahmen der Telematikinfrastruktur und die fortschreitende Digitalisierung (z. B. durch Projekte des Krankenhauszukunftsgesetzes) wächst die Angriffsfläche stetig.

Anforderungen und Herausforderungen:

• Regulatorik: Einrichtungen müssen Anforderungen wie den branchenspezifischen Sicherheitsstandard (B3S) für die stationäre medizinische Versorgung erfüllen.
•  
• NIS2-Richtlinie: Die neue EU-weite Gesetzgebung verschärft die Anforderungen an die Cybersicherheit und die Meldepflichten für das Gesundheitswesen in Deutschland zusätzlich.
•  
• Komplexität: Die Abhängigkeit von externen Softwareherstellern führt zu Unsicherheiten: Wer trägt die Verantwortung, wenn ein Hersteller keine Sicherheitsupdates liefert, die Software aber prozesskritisch ist?
•  

Um die eigene Situation sachlich zu bewerten, können folgende Fragen als Leitfaden dienen:

1. Verfügt unsere Einrichtung über ein aktuelles Software-Inventar, das auch die jeweiligen Patch-Stände und Support-Zeiträume der Hersteller abbildet?
2. Gibt es einen definierten Prozess für den Umgang mit Sicherheitswarnungen des BSI oder der Gematik? 
3. Wie schnell können kritische Sicherheits-Updates in unsere bestehende Infrastruktur integriert werden, ohne die operativen Abläufe zu gefährden? 
4. Sind unsere Notfallpläne für den Fall eines IT-Teilausfalls auf dem aktuellen Stand und praktisch erprobt?
5.  

1. Was können Sie tun? 
2. Strukturierte Bestandsaufnahme: Führen Sie eine detaillierte Analyse der eingesetzten Softwarelösungen durch und identifizieren Sie Produkte, für die keine regelmäßigen Sicherheitsupdates mehr garantiert werden.
3. Risikomanagement priorisieren: Bewerten Sie die Kritikalität einzelner Anwendungen. Welche Software ist für die Aufrechterhaltung des klinischen Betriebs unverzichtbar?
4. Herstellerdialog intensivieren: Fordern Sie von Ihren Software-Partnern verbindliche Zusagen bezüglich Patch-Management und Sicherheitsstandards ein.
5. Infrastruktur absichern: Nutzen Sie Managed Workplace-Modelle und moderne Cloud-Anbindungen, um die Abhängigkeit von lokaler, schwer wartbarer Software zu reduzieren und zentrale Sicherheitsmechanismen zu etablieren.
6.  

Sprechen Sie uns an! 

Möchten Sie wissen, ob Ihre Einrichtung von den aktuell identifizierten Schwachstellen betroffen ist? Als Spezialist für die operative Umsetzung und langfristige Betreuung von IT-Projekten im Gesundheitswesen unterstützen wir Sie bei einer strukturierten Analyse Ihrer IT- und Organisationsstrukturen. Gemeinsam identifizieren wir Handlungsfelder, um Ihre IT-Sicherheit nachhaltig zu stärken und die Anforderungen der aktuellen Regulierung zu erfüllen.