Laut dem CybelAngel Forschungsbericht „Full Body Exposure“ sind im Internet weltweit mehr als 45 Millionen medizinische Bilddateien – darunter Röntgen-, CT- und MRT-Scans – auf ungeschützten Servern für jedermann frei zugänglich. Der Bericht basiert auf Untersuchungen von Network Attached Storage (NAS) und Digital Imaging and Communications in Medicine (DICOM), die über sechs Monate hinweg weltweit durchgeführt wurde.
DICOM ist der De-facto-Standard, den Mediziner zum Senden und Empfangen medizinischer Daten verwenden. Die Analysten deckten im Rahmen ihrer Recherche auf, dass Millionen sensibler Bilder und Patientendaten im Internet frei zugänglich sind – unverschlüsselt und ohne Passwortschutz.
Für den Bericht scannten die CybelAngel-Tools auf mehr als 2.140 Servern rund 4,3 Milliarden IP-Adressen in 67 Ländern. Dabei wurden mehr als 45 Millionen medizinische Bilder identifiziert, die für jedermann offen zugänglich waren. Allein in Deutschland fanden die Analysten in den letzten sechs Monaten auf 251 Servern 39.204 frei zugängliche DICOM-Aufnahmen. In Großbritannien wurden im gleichen Zeitraum auf 90 Servern 23.238 solcher Bilder entdeckt.
Die medizinischen Aufnahmen enthielten bis zu 200 Zeilen Metadaten mit persönlichen Informationen, die eine zweifelsfreie Identifizierung der betroffenen Patienten ermöglichte. Die Daten ließen sich aus allen identifizierten Quellen problemlos ohne Benutzernamen oder Passwort abrufen. In einigen Fällen akzeptierten Login-Portale auch leere Benutzernamen und Passwörter.
Bessere Schutzvorkehrungen für Patientendaten notwendig
„Für unsere Untersuchung haben wir keine Hacking-Tools verwendet“, betont David Sygula, Senior Cybersecurity Analyst bei CybelAngel und Autor des Berichts Full Body Exposure. „Trotzdem war es uns ein Leichtes, besagte Daten zu identifizieren und problemlos darauf zuzugreifen.“ Diese besorgniserregende Entdeckung beweise, dass schnell deutlich strengere Sicherheitsprozesse eingeführt werden müssen, so der Analyst.
„Die Art und Weise, wie Fachpersonal sensible medizinische Daten teilt und speichert, muss in Zukunft deutlich bessere Schutzmechanismen integrieren als bisher üblich.“ Er plädiert für ein gesundes Gleichgewicht zwischen Sicherheit und bequemer Zugänglichkeit, um Datenpannen in Zukunft zu verhindern.
Die Brisanz des Themas liegt unter anderem auch an der Komplexität der verwendeten IT-Umgebungen. „Medizinische Einrichtungen arbeiten meist mit einem Netz von Drittanbietern, die untereinander wiederum verknüpft sind“, erklärt Sygula. „Die Cloud ist dabei Dreh- und Angelpunkt und damit eine wichtige Plattform für den Austausch und die Speicherung von Daten.“
Hohes Risiko durch Sicherheitslücken
Sicherheitslücken stellen in einer solchen Umgebung ein enormes Risiko dar. Das gilt einerseits für die Personen, deren Daten kompromittiert werden, also die Patienten. Andererseits sind auch Einrichtungen des Gesundheitswesens, die den Vorschriften zum Schutz der Patientendaten unterliegen, durch die aufgedeckten Sicherheitsmängel gefährdet.
„Gerade der Gesundheitssektor steht aktuell vor noch nie dagewesenen Herausforderungen. Die Sicherheit und die Privatsphäre der persönlichsten Daten der Patienten müssen daher deutlich besser geschützt werden, damit diese vertraulichen Informationen nicht in die falschen Hände geraten“, mahnt der Autor der Studie.
Der Bericht hebt die Sicherheitsrisiken von öffentlich zugänglichen Bildern mit sehr persönlichen Informationen hervor, einschließlich Ransomware und Erpressung. Betrug ist ein weiterer entscheidender Risikofaktor, da medizinische Aufnahmen im Darknet zu Höchstpreisen verkauft werden können.
Wenige Schritte zu mehr Datenschutz
Compliance hat im Bereich des Gesundheitswesens einen besonders hohen Stellenwert. So sind europäische Gesundheitsdienstleister verpflichtet, die Vorschriften der DSGVO einzuhalten. Verstöße gegen die regelkonforme Sicherung sensibler Patientendaten sind sanktionspflichtig und können hohe Strafen nach sich ziehen.
Um die Sicherheit von Patientendaten aller Art zu garantieren, rät CybelAngel zu einigen grundlegenden Schritten. Damit können medizinische Einrichtungen ihre Workflows sowie die Art und Weise absichern, in der Daten geteilt und gespeichert werden.
Die wichtigsten Maßnahmen sind:
- Lecks bei Dritten identifizieren und stopfen
- Cloud-Zugriffe sperren, wo immer es angebracht ist
- Daten außerhalb des Netzwerks ausreichend überwachen.