1,19 Milliarden medizinische Bilder im Internet zugänglich

Erneute Greenbone-Analyse zeigt Ausmaß der Schwachstellen im medizinischen Bereich

[datensicherheit.de, 22.11.2019] Greenbone, nach eigenen Angaben Lösungsanbieter zur Schwachstellenanalyse von IT-Netzwerken, hat ein Update seines Sicherheitsberichts zu ungeschützten medizinischen Bildarchivierungssystemen (Picture Archiving and Communication Systems, PACS) veröffentlicht. Ärzte und Kliniken auf der ganzen Welt nutzen demnach PACS-Server, um radiologische Bilder wie CT- oder MRT-Aufnahmen zu speichern. In der ersten Analyse vor 60 Tagen habe Greenbone Networks über 24 Millionen öffentlich zugängliche Patientendatensätze im Internet gefunden – seither sei die Zahl auf 35 Millionen gestiegen.

Die meisten neuen Datensätze in den USA entdeckt

Sicherheitsforscher von Greenbone hätten 1,19 Milliarden medizinische Bilder im Zusammenhang mit diesen Patientendaten identifiziert. Das seien 60 Prozent mehr als bei der ersten Analyse zwischen Juli und September 2019.
In vielen Fällen seien Angaben zu Patientennamen, Untersuchungsgrund, Geburtsdatum und sogar Ausweisnummern enthalten. Die meisten neuen Datensätze seien in den USA entdeckt worden. Die 786 Millionen damit verknüpften medizinischen Bilder enthielten zum Teil Sozialversicherungsnummern oder Angaben zu Militärausweisen des Verteidigungsministeriums.

Seit erster Analyse vor 60 Tagen keine Verbesserung erkennbar

Weltweit habe Greenbone 129 neue, ungeschützte Archivierungssysteme entdeckt. Neun weitere Länder seien seit der ersten globalen Analyse hinzugekommen. Am stärksten sei die Zahl der öffentlich im Internet zugänglichen Bilder in den USA, Indien, Südafrika, Brasilien und Ecuador gestiegen.
Greenbone habe außerdem festgestellt, dass angemessene Kontrollmaßnahmen, wie sie zum Beispiel durch das Gesetz zum Schutz von Gesundheitsinformationen (Health Insurance Portability and Accountability Act, HIPAA) in den USA vorgeschrieben seien, weitgehend fehlten. Insgesamt habe sich die Zahl der ungeschützten medizinischen Datensätze von 4,4 Millionen auf neun Millionen mehr als verdoppelt. Damit seien 370 Millionen sensible Bilder öffentlich über das Internet zugänglich. Jeder könne sie mit wenigen Internetkenntnissen einsehen.

Deutschland, Großbritannien, Thailand und Venezuela entfernten medizinische Bildarchivierungssysteme

Umgekehrt habe Greenbone auch festgestellt, dass 172 PACS-Server vollständig offline genommen worden seien. Elf Länder, darunter Deutschland, Großbritannien, Thailand und Venezuela, hätten all ihre medizinischen Bildarchivierungssysteme entfernt, so dass Patientendaten nicht länger über das Internet zugänglich seien.
„Während einige Länder schnell gehandelt haben und alle zugänglichen Daten aus dem Internet entfernt haben, scheint sich das Problem der ungeschützten PACS-Systeme weltweit noch zu verschärfen. Insbesondere in den USA fließen sensible Patienteninformationen offenbar frei zugänglich im Netz. Dort zeichnet sich eine Datenschutzkatastrophe ab“, kommentiert Dirk Schrader, „Cyber Resilience Strategist“ bei Greenbone Networks.

Details zu ungeschützten Systemen nur an autorisierte Stellen

„Bei unserer zweiten Analyse hatten wir nicht damit gerechnet, dass wir noch mehr ungeschützte Daten finden würden als zuvor. Und schon gar nicht, dass wir weiterhin Zugang zu den Systemen haben würden, die wir bereits identifiziert hatten. Immerhin ist es einigen Ländern gelungen, ihre Systeme aus dem Internet zu nehmen. Das gibt Hoffnung. Aber es gibt noch viel zu tun“, betont Schrader.
Um die Einhaltung der Datenschutzbestimmungen zu gewährleisten, habe Greenbone im Rahmen seiner Forschung keine Patientendaten heruntergeladen oder eingesehen und werde Details zu den ungeschützten Systemen nur an autorisierte Stellen weitergeben.

Weitere Informationen zum Thema:

Greenbone
Information Security Report / Unprotected patient data in the Internet – a review 60 days later or The Good, the Bad, and the Ugly