Report
Patientendaten in Gefahr: 45 Millionen medizinische Bilder frei zugänglich im Netz
Full Body Exposure Report von CybelAngel
Mehr als 45 Millionen medizinische Bilddateien – darunter Röntgen-, CT- und MRT-Scans – sind weltweit im Internet auf ungeschützten Servern frei zugänglich, wie ein Report von CybelAngel zeigt.
Der Bericht „Full Body Exposure“ basiert auf Untersuchungen von Network Attached Storage (NAS) und Digital Imaging and Communications in Medicine (DICOM), die über sechs Monate hinweg weltweit durchgeführt wurde. DICOM ist der De-facto-Standard, den Mediziner zum Senden und Empfangen medizinischer Daten verwenden.
Die CybelAngel-Tools scannten auf mehr als 2.140 Servern rund 4,3 Milliarden IP-Adressen in 67 Ländern. Dabei wurden mehr als 45 Millionen medizinische Bilder und Patientendaten identifiziert, die für jedermann unverschlüsselt zugänglich waren. Allein in Deutschland fanden die Analysten in den letzten sechs Monaten auf 251 Servern 39.204 frei zugängliche DICOM-Aufnahmen. Die medizinischen Aufnahmen enthielten bis zu 200 Zeilen Metadaten mit persönlichen Informationen, die eine zweifelsfreie Identifizierung der betroffenen Patienten ermöglichte. Die Daten ließen sich aus allen identifizierten Quellen problemlos ohne Benutzernamen oder Passwort abrufen. In einigen Fällen akzeptierten Login-Portale auch leere Benutzernamen und Passwörter.
Lasche Sicherheitsprozesse beim Teilen und Speichern von Patientendaten
„Für unsere Untersuchung haben wir keine Hacking-Tools verwendet“, betont David Sygula, Senior Cybersecurity Analyst bei CybelAngel und Autor des Berichts „Full Body Exposure “. „Trotzdem war es uns ein Leichtes, besagte Daten zu identifizieren und problemlos darauf zuzugreifen.“ Diese besorgniserregende Entdeckung beweise, dass schnell deutlich strengere Sicherheitsprozesse eingeführt werden müssen. Die Art und Weise, wie Fachpersonal sensible medizinische Daten teilt und speichert, muss daher in Zukunft deutlich bessere Schutzmechanismen integrieren als bisher üblich.
Die Brisanz des Themas liegt unter anderem auch an der Komplexität der verwendeten IT-Umgebungen. Denn medizinische Einrichtungen arbeiten meist mit einem Netz von Drittanbietern, die untereinander wiederum verknüpft sind. Die Cloud ist dabei Dreh- und Angelpunkt und damit eine wichtige Plattform für den Austausch und die Speicherung von Daten.
Bei Datenschutzverstößen drohen Sanktionen
Datensicherheit und Compliance haben Gesundheitswesen einen besonders hohen Stellenwert. So sind europäische Gesundheitsdienstleister verpflichtet, die Vorschriften der DSGVO einzuhalten. Verstöße gegen die regelkonforme Sicherung sensibler Patientendaten sind sanktionspflichtig und können hohe Strafen nach sich ziehen. Sicherheitslücken sind jedoch nicht selten und stellen hier ein enormes Risiko dar. Der Bericht hebt die Sicherheitsrisiken von öffentlich zugänglichen Bildern mit sehr persönlichen Informationen hervor, einschließlich Ransomware und Erpressung. Betrug ist ein weiterer entscheidender Risikofaktor, da medizinische Aufnahmen im Darknet zu Höchstpreisen verkauft werden können.
Schon grundlegende Schritte reichen aus, um die Sicherheit von Patientendaten aller Art zu garantieren. Damit können medizinische Einrichtungen ihre Workflows sowie die Art und Weise absichern, in der Daten geteilt und gespeichert werden. So sollten Lecks bei Dritten identifiziert und beseitigt sowie Cloud-Zugriffe – wo immer es angebracht ist – gesperrt werden. Zudem müssen Daten außerhalb des Netzwerks ausreichend überwacht werden.
