NTC entdeckt kritische Schwachstellen in Klinikinformationssystemen
Ein Bericht des Nationalen Testinstituts für Cybersicherheit zeigt gravierende Schwachstellen in Klinikinformationssystemen auf. Die Analyse betrifft drei der meistgenutzten Systeme in Schweizer Spitälern und enthält Empfehlungen zur Risikominimierung.
Das Nationale Testinstitut für Cybersicherheit (NTC) hat drei der meistgenutzten Klinikinformationssysteme (KIS) in Schweizer Spitälern einer umfassenden technischen Sicherheitsanalyse unterzogen. In allen untersuchten Systemen wurden schwerwiegende Schwachstellen festgestellt. Insgesamt identifizierten das NTC mehr als 40 mittlere bis schwere Sicherheitsprobleme, darunter drei mit der höchsten Kritikalität, wie es mitteilt.
Zu den Hauptproblemen zählen grundlegende Schwächen in der Softwarearchitektur, fehlende oder unzureichend umgesetzte Verschlüsselung, Sicherheitslücken in Umsystemen sowie eine mangelhafte Trennung zwischen Test- und Produktionsumgebungen. Einige der Schwachstellen ermöglichten innerhalb weniger Stunden den vollständigen Zugriff auf Patientendaten und Systeme. Zudem entdeckte das NTC kritische Schwachstellen in angrenzenden Systemen, die nicht Teil des Prüfungsumfangs waren.
Die meisten Sicherheitslücken wurden inzwischen bereits behoben oder durch kurzfristige Massnahmen entschärft. Einige grundlegende Probleme würden jedoch eine umfassende Neugestaltung der Softwarearchitektur erfordern, heisst es seitens NTC.
Der veröffentlichte Bericht verzichtet auf die detaillierte Beschreibung der Schwachstellen, um Missbrauch zu verhindern. Das NTC benachrichtigte gezielt die betroffenen Spitäler über den Cyber Security Hub (CSH) des Bundesamtes für Cybersicherheit (BACS).
Im Bericht listet das NTC acht zentrale Empfehlungen zur nachhaltigen Verbesserung der Cybersicherheit in Schweizer Spitälern, wie es schreibt. Diese sind:
- Einforderung und Kontrolle der Cybersicherheit bereits bei der Beschaffung.
- Regelmässige Überprüfung auf Schwachstellen.
- Regelmässige Updates.
- Trennung der produktiven Umgebung von Testumgebungen und Patienten-Netzwerk.
- Bündelung der Kräfte und Austausch mit der Branche.
- Cybersicherheitsspezialisten in den Spitälern.
- Bezug von wichtigen Informationen über den Cyber Security Hub vom BACS.
- Ablehnung einseitiger Geheimhaltungserklärungen zugunsten der Hersteller.
Den vollständigen Bericht des NTC zu den Klinikinformationssystemen können Interessierte als PDF auf der Website des Testinstituts lesen.
Das NTC stellte die Informationen zu den gefundenen Schwachstellen über sein Vulnerability Hub zur Verfügung. Dieses hatte das Testinstitut vergangenen Sommer lanciert. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
ChatGPT auf der Couch: Entspannung für gestresste KI
FHNW ist Opfer eines Hackerangriffs
HPE streicht 3000 Stellen
Apple präsentiert neues Macbook Air mit M4-Chip
Mobilezone macht mehr Umsatz und weniger Gewinn
Alibaba enthüllt neues KI-Modell
Wieso die ICT-Branche ohne Frauen auf der Strecke bleibt
Gartner prognostiziert KI-Revolution im Kundendienst
AMD holt sich Marktanteile von Nvidia zurück
