45 Millionen medizinische Bilder weltweit frei zugänglich

Ohne Hacking Tools auffindbar

Das Analystenteam von CybelAngel, dem Spezialisten für digitales Risikomanagement, stellte jetzt seinen aktuellen Forschungsbericht „Full Body Exposure" vor. Demnach sind im Internet weltweit mehr als 45 Millionen medizinische Bilddateien - darunter Röntgen-, CT- und MRT-Scans - auf ungeschützten Servern für jedermann frei zugänglich.

Der Bericht „Full Body Exposure" basiert auf Untersuchungen von Network Attached Storage (NAS) und Digital Imaging and Communications in Medicine (DICOM), die über sechs Monate hinweg weltweit durchgeführt wurde. Die Analysten deckten auf, dass Millionen sensibler Bilder und Patientendaten im Internet frei zugänglich sind - unverschlüsselt und ohne Passwortschutz.

Für den Bericht scannten die CybelAngel-Tools auf mehr als 2.140 Servern rund 4,3 Milliarden IP-Adressen in 67 Ländern. Dabei wurden mehr als 45 Millionen medizinische Bilder identifiziert, die für jedermann offen zugänglich waren. Allein in Deutschland fanden die Analysten in den letzten sechs Monaten auf 251 Servern 39.204 frei zugängliche DICOM-Aufnahmen. Diese ließen sich problemlos ohne Benutzernamen oder Passwort abrufen und enthielten bis zu 200 Zeilen Metadaten mit persönlichen Informationen, die eine zweifelsfreie Identifizierung der betroffenen Patienten ermöglichten.

Bessere Schutzvorkehrungen für Patientendaten notwendig

"Für unsere Untersuchung haben wir keine Hacking-Tools verwendet", betont David Sygula, Senior Cybersecurity Analyst bei CybelAngel und Autor des Berichts. "Trotzdem war es uns ein Leichtes, besagte Daten zu identifizieren und problemlos darauf zuzugreifen. Fachpersonal, das sensible medizinische Daten teilt und speichert, muss in Zukunft deutlich bessere Schutzmechanismen integrieren."

Die Brisanz des Themas liegt unter anderem auch an der Komplexität der verwendeten IT-Umgebungen. "Medizinische Einrichtungen arbeiten meist mit einem Netz von Drittanbietern, die untereinander wiederum verknüpft sind", erklärt Sygula. „Die Cloud ist dabei, Dreh- und Angelpunkt als wichtige Plattform für den Austausch von Daten zu werden." Sicherheitslücken stellen in einer solchen Umgebung ein enormes Risiko dar. Das gilt einerseits für die Personen, deren Daten kompromittiert werden. Andererseits sind auch Einrichtungen des Gesundheitswesens durch die aufgedeckten Sicherheitsmängel gefährdet.

"Die Sicherheit und die Privatsphäre der persönlichsten Daten der Patienten müssen deutlich besser geschützt werden, damit diese vertraulichen Informationen nicht in die falschen Hände geraten", mahnt der Autor der Studie. Der Bericht hebt die Sicherheitsrisiken von öffentlich zugänglichen Bildern mit sehr persönlichen Informationen hervor, einschließlich Ransomware und Erpressung. Betrug ist ein weiterer entscheidender Risikofaktor, da medizinische Aufnahmen im Darknet zu Höchstpreisen verkauft werden können.

Wenige Schritte zu mehr Datenschutz

Compliance hat im Bereich des Gesundheitswesens einen besonders hohen Stellenwert. So sind europäische Gesundheitsdienstleister verpflichtet, die Vorschriften der DSGVO einzuhalten. Verstöße gegen die regelkonforme Sicherung sensibler Patientendaten sind sanktionspflichtig und können hohe Strafen nach sich ziehen.

Um die Sicherheit von Patientendaten aller Art zu garantieren, rät CybelAngel zu einigen grundlegenden Schritten. Die wichtigsten Maßnahmen sind:

• Lecks bei Dritten identifizieren und stopfen
• Cloud-Zugriffe sperren, wo immer es angebracht ist
• Daten außerhalb des Netzwerks ausreichend überwachen 

Der vollständige Bericht "Full Body Exposure" kann hier abgerufen werden: https://cybelangel.com/medical-data-breaches/

Quelle: Presseportal am 14. Januar 2021