Business Security, Verschlüsselung & Datensicherheit

45 Millionen medizinische Bilder weltweit im ungeschützten Online-Zugriff

Einrichtungen aus dem Gesundheitswesen müssen gefährliche Sicherheitslücken schließen

Sicherheitsreport zeigt: Sensibel Patientendaten und Bildmaterial sind frei im Internet und ohne Schutz zugänglich.
Foto: Lukas Blazek / Unsplash

Das Analystenteam von CybelAngel stellt seinen aktuellen Forschungsbericht „Full Body Exposure“ vor. Das Ergebnis: Mehrere 45 Millionen Bildmaterial wie Röntgen-, CT- und MRT-Scans sind auf ungeschützten Servern für jedermann frei zugänglich.

Der Bericht „Full Body Exposure“ basiert auf Untersuchungen von Network Attached Storage (NAS) und Digital Imaging and Communications in Medicine (DICOM), die über sechs Monate hinweg weltweit durchgeführt wurde. Die Analysten deckten auf, dass sensibler Bilder und Patientendaten unverschlüsselt und ohne Passwortschutz zugänglich sind.

Für den Bericht scannten die CybelAngel-Tools rund 4,3 Milliarden IP-Adressen in 67 Ländern auf mehr als 2.140 Servern. Die Zahlen sprechen für sich: Mehr als 45 Millionen medizinische Bilder wurden identifiziert, die offen zugänglich waren. Allein in Deutschland fanden die Analysten in den vergangenen sechs Monaten 39.204 frei zugängliche DICOM-Aufnahmen auf 251 Servern. Die Tolls konnten die Daten problemlos ohne Benutzernamen oder Passwort abrufen und bekamen auch noch bis zu 200 Zeilen Metadaten mit persönlichen Informationen dazu, die eine zweifelsfreie Identifizierung der betroffenen Patienten ermöglichten.

Bessere Schutzvorkehrungen für Patientendaten notwendig

„Für unsere Untersuchung haben wir keine Hacking-Tools verwendet“, betont David Sygula, Senior Cybersecurity Analyst bei CybelAngel und Autor des Berichts. „Trotzdem war es uns ein Leichtes, besagte Daten zu identifizieren und problemlos darauf zuzugreifen. Fachpersonal, das sensible medizinische Daten teilt und speichert, muss in Zukunft deutlich bessere Schutzmechanismen integrieren.“

Sicherheitslücken können Gesundheitsdiensteinrichtungen gefährden

Die Brisanz des Themas liegt unter anderem auch an der Komplexität der verwendeten IT-Umgebungen. „Medizinische Einrichtungen arbeiten meist mit einem Netz von Drittanbietern, die untereinander wiederum verknüpft sind“, erklärt David Sygula. „Die Cloud ist dabei, Dreh- und Angelpunkt als wichtige Plattform für den Austausch von Daten zu werden.“ Sicherheitslücken stellen in einer solchen Umgebung ein enormes Risiko dar. Das gilt einerseits für die Personen, deren Daten kompromittiert werden. Andererseits sind auch Einrichtungen des Gesundheitswesens durch die aufgedeckten Sicherheitsmängel gefährdet.

„Die Sicherheit und die Privatsphäre der persönlichsten Daten der Patienten müssen deutlich besser geschützt werden, damit diese vertraulichen Informationen nicht in die falschen Hände geraten“, mahnt der Autor der Studie. Der Bericht hebt die Sicherheitsrisiken von öffentlich zugänglichen Bildern mit sehr persönlichen Informationen hervor, einschließlich Ransomware und Erpressung. Betrug ist ein weiterer entscheidender Risikofaktor, da medizinische Aufnahmen im Darknet zu Höchstpreisen verkauft werden können.

In wenigen Schritten zu mehr Datenschutz

Compliance hat im Bereich des Gesundheitswesens einen besonders hohen Stellenwert. So sind europäische Gesundheitsdienstleister verpflichtet, die Vorschriften der DSGVO einzuhalten. Verstöße gegen die regelkonforme Sicherung sensibler Patientendaten sind sanktionspflichtig und können hohe Strafen nach sich ziehen.

Um die Sicherheit von Patientendaten aller Art zu garantieren, rät CybelAngel zu einigen grundlegenden Schritten. Die wichtigsten Maßnahmen sind:

  • Lecks bei Dritten identifizieren und stopfen
  • Cloud-Zugriffe sperren, wo immer es angebracht ist
  • Daten außerhalb des Netzwerks ausreichend überwachen

Den vollständige Bericht „Full Body Exposure“ gibt es hier online zu lesen. 

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben