Anzeige

Gesundheitswesen

Das Analystenteam von CybelAngel, dem Spezialisten für digitales Risikomanagement, stellt jetzt seinen aktuellen Forschungsbericht „Full Body Exposure“ vor. Demnach sind im Internet weltweit mehr als 45 Millionen medizinische Bilddateien – darunter Röntgen-, CT- und MRT-Scans – auf ungeschützten Servern für jedermann frei zugänglich.

Der Bericht „Full Body Exposure“ basiert auf Untersuchungen von Network Attached Storage (NAS) und Digital Imaging and Communications in Medicine (DICOM), die über sechs Monate hinweg weltweit durchgeführt wurde. DICOM ist der De-facto-Standard, den Mediziner zum Senden und Empfangen medizinischer Daten verwenden. Die Analysten deckten im Rahmen ihrer Recherche auf, dass Millionen sensibler Bilder und Patientendaten im Internet frei zugänglich sind – unverschlüsselt und ohne Passwortschutz.

Für den Bericht scannten die CybelAngel-Tools auf mehr als 2.140 Servern rund 4,3 Milliarden IP-Adressen in 67 Ländern. Dabei wurden mehr als 45 Millionen medizinische Bilder identifiziert, die für jedermann offen zugänglich waren. Allein in Deutschland fanden die Analysten in den letzten sechs Monaten auf 251 Servern 39.204 frei zugängliche DICOM-Aufnahmen. In Großbritannien wurden im gleichen Zeitraum auf 90 Servern 23.238 solcher Bilder entdeckt. Die medizinischen Aufnahmen enthielten bis zu 200 Zeilen Metadaten mit persönlichen Informationen, die eine zweifelsfreie Identifizierung der betroffenen Patienten ermöglichte. Die Daten ließen sich aus allen identifizierten Quellen problemlos ohne Benutzernamen oder Passwort abrufen. In einigen Fällen akzeptierten Login-Portale auch leere Benutzernamen und Passwörter.

Bessere Schutzvorkehrungen für Patientendaten notwendig

„Für unsere Untersuchung haben wir keine Hacking-Tools verwendet“, betont David Sygula, Senior Cybersecurity Analyst bei CybelAngel und Autor des Berichts „Full Body Exposure“. „Trotzdem war es uns ein Leichtes, besagte Daten zu identifizieren und problemlos darauf zuzugreifen.“ Diese besorgniserregende Entdeckung beweise, dass schnell deutlich strengere Sicherheitsprozesse eingeführt werden müssen, so der Analyst. „Die Art und Weise, wie Fachpersonal sensible medizinische Daten teilt und speichert, muss in Zukunft deutlich bessere Schutzmechanismen integrieren als bisher üblich.“ Er plädiert für ein gesundes Gleichgewicht zwischen Sicherheit und bequemer Zugänglichkeit, um Datenpannen in Zukunft zu verhindern. 

Die Brisanz des Themas liegt unter anderem auch an der Komplexität der verwendeten IT-Umgebungen. „Medizinische Einrichtungen arbeiten meist mit einem Netz von Drittanbietern, die untereinander wiederum verknüpft sind“, erklärt Sygula. „Die Cloud ist dabei Dreh- und Angelpunkt und damit eine wichtige Plattform für den Austausch und die Speicherung von Daten.“

Hohes Risiko durch Sicherheitslücken

Sicherheitslücken stellen in einer solchen Umgebung ein enormes Risiko dar. Das gilt einerseits für die Personen, deren Daten kompromittiert werden, also die Patienten. Andererseits sind auch Einrichtungen des Gesundheitswesens, die den Vorschriften zum Schutz der Patientendaten unterliegen, durch die aufgedeckten Sicherheitsmängel gefährdet. „Gerade der Gesundheitssektor steht aktuell vor noch nie dagewesenen Herausforderungen. Die Sicherheit und die Privatsphäre der persönlichsten Daten der Patienten müssen daher deutlich besser geschützt werden, damit diese vertraulichen Informationen nicht in die falschen Hände geraten“, mahnt der Autor der Studie. Der Bericht hebt die Sicherheitsrisiken von öffentlich zugänglichen Bildern mit sehr persönlichen Informationen hervor, einschließlich Ransomware und Erpressung. Betrug ist ein weiterer entscheidender Risikofaktor, da medizinische Aufnahmen im Darknet zu Höchstpreisen verkauft werden können.

Wenige Schritte zu mehr Datenschutz

Compliance hat im Bereich des Gesundheitswesens einen besonders hohen Stellenwert. So sind europäische Gesundheitsdienstleister verpflichtet, die Vorschriften der DSGVO einzuhalten. Verstöße gegen die regelkonforme Sicherung sensibler Patientendaten sind sanktionspflichtig und können hohe Strafen nach sich ziehen.

Um die Sicherheit von Patientendaten aller Art zu garantieren, rät CybelAngel zu einigen grundlegenden Schritten. Damit können medizinische Einrichtungen ihre Workflows sowie die Art und Weise absichern, in der Daten geteilt und gespeichert werden. Die wichtigsten Maßnahmen sind:

  • Lecks bei Dritten identifizieren und stopfen
  • Cloud-Zugriffe sperren, wo immer es angebracht ist
  • Daten außerhalb des Netzwerks ausreichend überwachen.

www.cybelangel.com
 


Weitere Artikel

DSGVO

Achillesferse DSGVO: Wenn die Auskunftspflicht zum Fallstrick wird

Am 27.04.2021 hat das Bundesarbeitsgericht (BAG) ein Urteil darüber gefällt, wie weit die Auskunftspflicht des Arbeitgebers gemäß Artikel 15 reicht. Ein gekündigter Mitarbeiter hatte gefordert, dass ihm alle über ihn gespeicherten Daten sowie Kopien des…
world password day

Wie sicher ist mein Passwort? Better safe than sorry!

Der 6. Mai steht im Zeichen des Passworts. Auch 2021 macht der erste Donnerstag im Mai weltweit auf das Thema Passwort-Sicherheit aufmerksam. Relevanter geht es kaum in der zunehmend digitalen Welt: Durch die Rahmenbedingungen der COVID-19-Pandemie greifen…
digitale Souveränität

Privacy by Design ist die Voraussetzung für digitale Souveränität

Privacy by Design ist im Rahmen der DSGVO-Einführung heiß diskutiert worden. Mittlerweile ist es jedoch erstaunlich ruhig darum geworden. Dabei ist der Gedanke, den Datenschutz von vornherein in der Technikgestaltung zu verankern, ebenso sinnvoll wie…
ePrivacy-Verordnung

EU-Datenschutz: Ausnahmen in der ePrivacy-Verordnung 2021

Die Entwurfs-Fassung der neuen ePrivacy-Verordnung vom Februar dieses Jahres stößt bei den IT-Sicherheitsexperten der PSW GROUP Consulting auf deutliche Kritik. „Zwar existieren auch im aktuellen Entwurf klare Verbesserungen für den Schutz der Privatsphäre…
Datenschutz

Neue App-Datenschutzrichtlinien bei Apple

Bereits vor einigen Wochen hat Apple Inc. verlautbart, die Datenschutzrichtlinien nun verschärfen zu wollen. Zu diesem Thema liegen Apple und Facebook sich bereits Monaten in den Haaren.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.