Die Datensicherheit der digitalen medizinischen Dokumentation hat in der vergangenen Woche wieder einmal Schlagzeilen gemacht. Greenbone Networks, ein in Osnabrück ansässiger Anbieter von Sicherheitssoftware und Cybersecurity-Dienstleistungen, hat zwischen Juli 2019 und September 2019 weltweit mit dem Internet verbundene Server von PAC-Systemen aufs Korn genommen und untersucht, wie einfach oder schwierig es ist, an die jeweiligen Daten heranzukommen.
Ihr Vorgehen und ihre Ergebnisse haben die Experten in einem lesenswerten Bericht ausführlich dokumentiert. Insgesamt 2300 PAC-Installationen wurden unter die Lupe genommen. Satte 590 Archivsysteme wurden identifiziert, die insgesamt 24,5 Millionen Datensätze von Patienten preisgaben, mit denen mehr als 737 Millionen Bilddaten verknüpft waren, von denen wiederum 400 Millionen einsehbar oder herunterladbar waren. Hinzu kamen 39 Systeme, die per unverschlüsseltem Web-Viewer Zugriff auf Patientendaten ermöglichten.
Überprüft wurden IP-Adressen bzw. Systeme aus 93 Ländern. Die meisten ungeschützten PACS-Server stehen bzw. standen in den USA. Aber auch in Deutschland wurden 15.000 Datensätze mit 1,38 Millionen ohne Passwort bzw. Authentifizierung abrufbaren Bildern identifiziert. Die gute Nachricht ist, dass es bisher offenbar nicht zu einem Datenmissbrauch gekommen ist.
In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik prompt reagiert und mitgeteilt, dass es die betroffenen medizinischen Einrichtungen anhand von IP-Adressen identifiziert und in Kenntnis gesetzt habe. In drei Fällen wurden die Einrichtungen direkt kontaktiert, in 14 weiteren Fällen wurde der Internet Service Provider gebeten, die jeweiligen Kunden zu identifizieren und zu informieren.
Kopfschütteln beim BSI
Die Episode ist einmal mehr ein Argument für systematische und behördlich kontrollierte, digitale Kommunikationsinfrastrukturen im Gesundheitswesen. Zwar ist die Greenbone-Analyse auch kein Ruhmesblatt für die Hersteller, bei denen offenbar zumindest teilweise ein ziemlicher Laissez-Faire-Geist herrscht. Vor allem peinlich ist das Ganze aber für die medizinischen Einrichtungen, die bewusst oder aus Ignoranz auf existierende Schutzmechanismen verzichtet haben. Anders formuliert: Wenn man einzelne medizinische Einrichtungen digital einfach machen lässt, entsteht offensichtlich nicht automatisch große Sicherheit.
Das sieht auch das BSI so. Es teilt mit, dass nach seiner Einschätzung die Patientendaten deswegen zugänglich waren, weil einfachste IT-Sicherheitsmaßnahmen wie ein Zugriffsschutz durch Nutzername und Passwort nicht umgesetzt wurden: „„Wenn selbst bei so sensiblen Daten wie Röntgenaufnahmen, Mammografien oder MRT-Bildern grundlegende IT-Sicherheitsmaßnahmen missachtet werden, zeigt das, dass IT-Sicherheit noch immer nicht den Stellenwert einnimmt, den sie verdient. Wir müssen als Gesellschaft begreifen, dass die großen Digitalisierungsprojekte, die uns so viele Vorteile bringen können, nur gelingen werden, wenn sie von Anfang an sicher gestaltet werden. Nur wenn die Bürgerinnen und Bürger Vertrauen in die Sicherheit ihrer Daten haben, wird die Digitalisierung erfolgreich sein“, so Behördenchef Arne Schönbohm.
VISUS und Telepaxx: „Sind nicht betroffen“
Seitens der Hersteller von PAC-Systemen ist seit Bekanntwerden der Datenpanne relativ wenig zu hören. Rasch zu Wort gemeldet hat sich VISUS. Das Unternehmen teilte mit, dass JiveX-Kunden seiner Kenntnis nach nicht betroffen seien. Der Hersteller betont auch, dass seiner Auffassung nach nicht der DICOM-Standard per se das Problem gewesen sei, sondern eine technische Fehlkonfiguration, die einen Datenabruf über offene DICOM-Ports bzw. öffentlich zugängliche Webportale ohne Benutzerauthentifizierung und Verschlüsselung ermöglichte. DICOM war in den Analysen von Greenbone bzw. den darauf fußenden Presseartikeln explizit erwähnt worden. Auch das Unternehmen Telepaxx betont, dass ein Datenzugriff in der von Greenbone geschilderten Weise bei seinen PACS-Lösungen nicht möglich sei.
Weiterlesen...
Ihr Vorgehen und ihre Ergebnisse haben die Experten in einem lesenswerten Bericht ausführlich dokumentiert. Insgesamt 2300 PAC-Installationen wurden unter die Lupe genommen. Satte 590 Archivsysteme wurden identifiziert, die insgesamt 24,5 Millionen Datensätze von Patienten preisgaben, mit denen mehr als 737 Millionen Bilddaten verknüpft waren, von denen wiederum 400 Millionen einsehbar oder herunterladbar waren. Hinzu kamen 39 Systeme, die per unverschlüsseltem Web-Viewer Zugriff auf Patientendaten ermöglichten.
Überprüft wurden IP-Adressen bzw. Systeme aus 93 Ländern. Die meisten ungeschützten PACS-Server stehen bzw. standen in den USA. Aber auch in Deutschland wurden 15.000 Datensätze mit 1,38 Millionen ohne Passwort bzw. Authentifizierung abrufbaren Bildern identifiziert. Die gute Nachricht ist, dass es bisher offenbar nicht zu einem Datenmissbrauch gekommen ist.
In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik prompt reagiert und mitgeteilt, dass es die betroffenen medizinischen Einrichtungen anhand von IP-Adressen identifiziert und in Kenntnis gesetzt habe. In drei Fällen wurden die Einrichtungen direkt kontaktiert, in 14 weiteren Fällen wurde der Internet Service Provider gebeten, die jeweiligen Kunden zu identifizieren und zu informieren.
Kopfschütteln beim BSI
Die Episode ist einmal mehr ein Argument für systematische und behördlich kontrollierte, digitale Kommunikationsinfrastrukturen im Gesundheitswesen. Zwar ist die Greenbone-Analyse auch kein Ruhmesblatt für die Hersteller, bei denen offenbar zumindest teilweise ein ziemlicher Laissez-Faire-Geist herrscht. Vor allem peinlich ist das Ganze aber für die medizinischen Einrichtungen, die bewusst oder aus Ignoranz auf existierende Schutzmechanismen verzichtet haben. Anders formuliert: Wenn man einzelne medizinische Einrichtungen digital einfach machen lässt, entsteht offensichtlich nicht automatisch große Sicherheit.
Das sieht auch das BSI so. Es teilt mit, dass nach seiner Einschätzung die Patientendaten deswegen zugänglich waren, weil einfachste IT-Sicherheitsmaßnahmen wie ein Zugriffsschutz durch Nutzername und Passwort nicht umgesetzt wurden: „„Wenn selbst bei so sensiblen Daten wie Röntgenaufnahmen, Mammografien oder MRT-Bildern grundlegende IT-Sicherheitsmaßnahmen missachtet werden, zeigt das, dass IT-Sicherheit noch immer nicht den Stellenwert einnimmt, den sie verdient. Wir müssen als Gesellschaft begreifen, dass die großen Digitalisierungsprojekte, die uns so viele Vorteile bringen können, nur gelingen werden, wenn sie von Anfang an sicher gestaltet werden. Nur wenn die Bürgerinnen und Bürger Vertrauen in die Sicherheit ihrer Daten haben, wird die Digitalisierung erfolgreich sein“, so Behördenchef Arne Schönbohm.
VISUS und Telepaxx: „Sind nicht betroffen“
Seitens der Hersteller von PAC-Systemen ist seit Bekanntwerden der Datenpanne relativ wenig zu hören. Rasch zu Wort gemeldet hat sich VISUS. Das Unternehmen teilte mit, dass JiveX-Kunden seiner Kenntnis nach nicht betroffen seien. Der Hersteller betont auch, dass seiner Auffassung nach nicht der DICOM-Standard per se das Problem gewesen sei, sondern eine technische Fehlkonfiguration, die einen Datenabruf über offene DICOM-Ports bzw. öffentlich zugängliche Webportale ohne Benutzerauthentifizierung und Verschlüsselung ermöglichte. DICOM war in den Analysen von Greenbone bzw. den darauf fußenden Presseartikeln explizit erwähnt worden. Auch das Unternehmen Telepaxx betont, dass ein Datenzugriff in der von Greenbone geschilderten Weise bei seinen PACS-Lösungen nicht möglich sei.
Weiterlesen...