Schweizer Spitäler sind auf komplexe IT-Systeme angewiesen, um Patientendaten zu verwalten und lebenswichtige medizinische Geräte zu steuern. Doch genau diese Systeme machen Krankenhäuser zu einem bevorzugten Ziel für Cyberkriminelle. Ein Bericht des Nationalen Testinstituts für Cybersicherheit (NTC) aus Januar 2025 hat alarmierende Sicherheitslücken in Klinikinformationssystemen (KIS) aufgedeckt, die sensible Gesundheitsdaten gefährden. Gleichzeitig kämpft das elektronische Patientendossier (EPD) mit niedriger Akzeptanz und Vertrauensproblemen, teilweise bedingt durch wiederholte IT-Pannen in Bundes- und kantonalen Institutionen.
Der NTC-Test: Ein Weckruf für die Spital-IT
Das Nationale Testinstitut für Cybersicherheit (NTC) hat im Januar 2025 einen umfassenden Bericht veröffentlicht, der die IT-Sicherheit von Klinikinformationssystemen in Schweizer Spitälern untersucht. Diese Systeme sind das Rückgrat der digitalen Infrastruktur von Krankenhäusern, da sie Patientendaten, Behandlungspläne und die Steuerung medizinischer Geräte verwalten. Die Tests wurden vor Ort durchgeführt, da viele KIS nicht über das Internet zugänglich sind, was die physische Präsenz der IT-Sicherheitsspezialisten erforderlich machte.
Alarmierende Ergebnisse des NTC-Tests
Der NTC-Bericht zeigt erschreckende Ergebnisse: In allen getesteten Systemen wurden Schwachstellen gefunden, darunter über 40 mittlere bis schwere Sicherheitslücken, von denen drei als kritisch eingestuft wurden. Zu den Hauptproblemen gehören:
- Softwarearchitektur: Grundlegende Schwächen in der Struktur der Systeme, die die Gesamtsicherheit beeinträchtigen.
- Fehlende Verschlüsselung: Unzureichende oder gar keine Verschlüsselung von Daten, was sensible Informationen angreifbar macht.
- Mangelhafte Trennung von Umgebungen: Test- und Produktionsumgebungen sind nicht klar voneinander getrennt, was das Risiko von Datenlecks erhöht.
- Umsysteme: Sicherheitslücken in angrenzenden IT-Systemen, die ebenfalls kompromittiert werden können.
Besonders alarmierend ist, dass einige dieser Schwachstellen innerhalb weniger Stunden von Hackern ohne spezialisierte Kenntnisse ausgenutzt werden könnten. Laut Tobias Castagna vom NTC waren die gefundenen Lücken nicht hochkomplex, sondern solche, die bei regelmässigen Sicherheitsprüfungen hätten entdeckt werden müssen. Dies deutet auf ein systemisches Versagen in der IT-Sicherheitsstrategie der Spitäler hin.
Die Reaktionen der Hersteller
Die Tests betrafen drei Hauptanbieter von KIS in der Schweiz: Cistec (Schweiz), Ines (Deutschland) und Epic (USA). Alle wiesen kritische Sicherheitsmängel auf. Cistec berichtete, dass eine kritische Lücke in ihrem System KISIM geschlossen wurde, die nur bei vollem Zugriff auf das interne Spitalnetz ausgenutzt werden konnte. Ines und Epic betonten ihren Fokus auf Cybersicherheit, ohne jedoch spezifische Details zu den Schwachstellen zu veröffentlichen.
Eine Kontroverse entstand, als einige Hersteller Geheimhaltungsvereinbarungen forderten, um die Ergebnisse des Tests zu verschleiern. Das NTC lehnte dies ab, da solche Vereinbarungen primär den Herstellern und nicht dem Schutz der Patientendaten dienen würden. Dieser Konflikt unterstreicht die Notwendigkeit von Transparenz in der Gesundheits-IT.
IT-Pannen in der Schweiz: Ein Vertrauensproblem
Die Ergebnisse des NTC-Tests sind nicht isoliert zu betrachten. In den letzten Jahren gab es zahlreiche IT-Pannen in Bundes- und kantonalen Institutionen, die das Vertrauen der Bevölkerung in digitale Systeme erschüttert haben. Ein prominentes Beispiel ist der IT-Blackout im Kanton Bern 2012, bei dem ein Hardwareproblem im Rechenzentrum der Bedag die gesamte Kantonsverwaltung und die Steuerverwaltung der Stadt Bern lahmlegte. Tausende Steuerpflichtige waren betroffen, und die Bearbeitung von Steuererklärungen war wochenlang eingeschränkt.
Ein weiteres Beispiel ist die Universität Bern, die seit der Einführung ihres neuen IT-Systems für den Lehrbetrieb (KSL) im Jahr 2022 mit anhaltenden Problemen kämpft. Diese Pannen zeigen, dass die Verwaltung grosser IT-Projekte in der Schweiz oft an unzureichender Planung, mangelnder Expertise oder Sparmassnahmen scheitert. Solche Vorfälle nähren die Skepsis der Bevölkerung gegenüber digitalen Systemen, insbesondere wenn es um sensible Daten wie Gesundheitsinformationen geht.
Das elektronische Patientendossier (EPD): Ein Projekt mit Hürden
Das elektronische Patientendossier (EPD) ist ein zentraler Bestandteil der Digitalisierungsstrategie im Schweizer Gesundheitswesen. Es ermöglicht Patienten, ihre Gesundheitsdaten digital zu speichern und mit autorisierten Gesundheitsfachpersonen zu teilen. Das System ist bisher freiwillig, kostenlos und soll die Qualität der medizinischen Behandlung verbessern, indem es Doppeluntersuchungen reduziert und den Datenzugriff erleichtert. Doch trotz dieser Vorteile steht das EPD vor grossen Herausforderungen.
Niedrige Akzeptanz und Vertrauenskrise
Laut einem Bericht der Neuen Zürcher Zeitung haben im Juni 2025 nur 1,2 % der Schweizer Bevölkerung ein EPD eröffnet. Dies entspricht einem Tempo, bei dem es 1250 Jahre dauern würde, bis alle Schweizer ein EPD nutzen. Die Gründe für diese geringe Akzeptanz sind vielfältig:
- Datenschutzbedenken: Angesichts der im NTC-Bericht aufgedeckten Schwachstellen in Spital-IT-Systemen zögern viele Bürger, ihre sensiblen Gesundheitsdaten digital zu speichern.
- Komplexität der Nutzung: Die Eröffnung eines EPD erfordert eine elektronische Identität (z. B. SwissID) und ist für viele Nutzer umständlich oder schlicht ein Trick mehr, eine SwissID erstellen zu müssen.
Die wiederholten IT-Pannen in der öffentlichen Verwaltung verstärken diese Skepsis. Wenn selbst grundlegende Systeme wie Steuerverwaltungen oder universitäre Plattformen ausfallen, stellt sich die Frage, wie sicher ein landesweites System wie das EPD sein kann.
Technische und organisatorische Herausforderungen
Das EPD wird derzeit von mehreren Anbietern betrieben, darunter Emedo, eSanita und Cara, was zu Fragmentierung und Inkompatibilitäten führt. Die Lösung der Post, einer der Anbieter, wird für hohe Kosten und schlechte Benutzerfreundlichkeit kritisiert. Ein geplanter Wechsel des technischen Partners von Siemens zu Trifork Ende 2024 deutet auf Versuche hin, diese Probleme zu beheben.
Ab 2026 planen die drei Anbieter, unter der Marke Cara zusammenzuarbeiten, um eine einheitlichere Lösung anzubieten. Zudem wird im Herbst 2025 eine Botschaft zur Reform des EPD im Parlament diskutiert, die eine zentrale Plattform vorsieht.
Die Gefahren für Schweizer Patienten
Die Kombination aus den im NTC-Bericht identifizierten Schwachstellen und den IT-Pannen in der öffentlichen Verwaltung birgt konkrete Gefahren für Schweizer Patienten:
- Datenlecks: Unverschlüsselte oder schlecht gesicherte Patientendaten können von Cyberkriminellen abgegriffen werden, was zu Identitätsdiebstahl oder Erpressung führen kann.
- Manipulation von Systemen: Sicherheitslücken in KIS könnten es Hackern ermöglichen, lebenswichtige medizinische Geräte wie Beatmungsgeräte oder Infusionspumpen zu manipulieren.
- Verzögerte Behandlung: Ein Cyberangriff, der die Verfügbarkeit von Patientendaten einschränkt, könnte die medizinische Versorgung beeinträchtigen.
- Vertrauensverlust: Die geringe Akzeptanz des EPD und die Skepsis gegenüber digitalen Systemen könnten die Digitalisierung des Gesundheitswesens langfristig weiter behindern.
