Der Risikomanagement-Spezialist Cybel Angel hat einen IT-Forschungsbericht vorgestellt. Demnach sind im Web mehr als 45 Millionen medizinische Bilddateien ungeschützt frei zugänglich – auch in Deutschland.
Der Bericht „Full Body Exposure“ basiert auf Untersuchungen von Network Attached Storage (NAS) und Digital Imaging and Communications in Medicine (DICOM), die über sechs Monate hinweg weltweit durchgeführt wurde. Die Analysten deckten auf, dass Millionen sensibler Bilder und Patientendaten im Internet unverschlüsselt und ohne Passwortschutz zugänglich sind.
Für den Bericht scannten die Cybel Angel-Tools auf mehr als 2.140 Servern rund 4,3 Milliarden IP-Adressen in 67 Ländern. Dabei wurden mehr als 45 Millionen medizinische Bilder identifiziert, die für jedermann offen zugänglich waren. Allein in Deutschland fanden die Analysten in den letzten sechs Monaten auf 251 Servern 39.204 frei zugängliche DICOM-Aufnahmen. Diese ließen sich problemlos ohne Benutzernamen oder Passwort abrufen und enthielten bis zu 200 Zeilen Metadaten mit persönlichen Informationen, die eine zweifelsfreie Identifizierung der betroffenen Patienten ermöglichten.
Schutzvorkehrungen müssen besser werden
„Für unsere Untersuchung haben wir keine Hacking-Tools verwendet“, betont der IT-Sicherheitsspezialist David Sygula. „Trotzdem war es uns ein Leichtes, besagte Daten zu identifizieren und problemlos darauf zuzugreifen. Fachpersonal, das sensible medizinische Daten teilt und speichert, muss in Zukunft deutlich bessere Schutzmechanismen integrieren.”
Die Brisanz des Themas liegt unter anderem auch an der Komplexität der verwendeten IT-Umgebungen. „Medizinische Einrichtungen arbeiten meist mit einem Netz von Drittanbietern, die untereinander wiederum verknüpft sind“, erklärt Sygula. „Die Cloud ist dabei, Dreh- und Angelpunkt als wichtige Plattform für den Austausch von Daten zu werden.“ Sicherheitslücken stellen seiner Ansicht nach in einer solchen Umgebung ein enormes Risiko dar. Das gelte einerseits für die Personen, deren Daten kompromittiert werden. Andererseits aber auch für die Einrichtungen des Gesundheitswesens.
Medizinische Aufnahmen im Darknet
„Die Sicherheit und die Privatsphäre der persönlichsten Daten der Patienten müssen deutlich besser geschützt werden, damit diese vertraulichen Informationen nicht in die falschen Hände geraten“, mahnt Studien-Autor Sygula. Der Bericht hebt die Sicherheitsrisiken von öffentlich zugänglichen Bildern mit sehr persönlichen Informationen hervor, einschließlich Ransomware und Erpressung. Betrug ist ein weiterer entscheidender Risikofaktor, da medizinische Aufnahmen im Darknet zu Höchstpreisen verkauft werden können.
Wenige Schritte zu mehr Datenschutz
Compliance hat im Bereich des Gesundheitswesens einen besonders hohen Stellenwert. So sind europäische Gesundheitsdienstleister verpflichtet, die Vorschriften der DSGVO einzuhalten. Verstöße gegen die regelkonforme Sicherung sensibler Patientendaten sind sanktionspflichtig und können hohe Strafen nach sich ziehen.
Um die Sicherheit von Patientendaten aller Art zu garantieren, rät Cybel Angel zu einigen grundlegenden Schritten. Die wichtigsten Maßnahmen sind:
– Lecks bei Dritten identifizieren und stopfen
– Cloud-Zugriffe sperren, wo immer es angebracht ist
– Daten außerhalb des Netzwerks ausreichend überwachen
Der vollständige Bericht Full Body Exposure kann hier abgerufen werden: https://cybelangel.com/medical-data-breaches/