E-HEALTH-COM ist das unabhängige Fachmagazin für Gesundheitstelematik, vernetzte Medizintechnik , Telemedizin und Health-IT für Deutschland, Österreich und die Schweiz.
Mehr

Für das ePaper anmelden

Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden

Anmelden

Passwort vergessen?

Health-IT |

Offen wie Scheunentore?

Peinlich, peinlich. Eine Analyse der IT-Experten von Greenbone Networks zeigt, dass bei vielen cloudbasierten PACS-Servern die Datensicherheit sträflich vernachlässigt wird. Das ist vor allem für die betroffenen Kliniken und Praxen kein Ruhmesblatt.

Quelle: © Jitka Svetnickova – stock.adobe.com

Die Datensicherheit der digitalen medizinischen Dokumentation hat in der vergangenen Woche wieder einmal Schlagzeilen gemacht. Greenbone Networks, ein in Osnabrück ansässiger Anbieter von Sicherheitssoftware und Cybersecurity-Dienstleistungen, hat zwischen Juli 2019 und September 2019 weltweit mit dem Internet verbundene Server von PAC-Systemen aufs Korn genommen und untersucht, wie einfach oder schwierig es ist, an die jeweiligen Daten heranzukommen.

 

Ihr Vorgehen und ihre Ergebnisse haben die Experten in einem lesenswerten Bericht ausführlich dokumentiert. Insgesamt 2.300 PAC-Installationen wurden unter die Lupe genommen. Satte 590 Archivsysteme wurden identifiziert, die insgesamt 24,5 Millionen Datensätze von Patienten preisgaben, mit denen mehr als 737 Millionen Bilddaten verknüpft waren, von denen wiederum 400 Millionen einsehbar oder herunterladbar waren. Hinzu kamen 39 Systeme, die per unverschlüsseltem Web-Viewer Zugriff auf Patientendaten ermöglichten.

 

Überprüft wurden IP-Adressen bzw. Systeme aus 93 Ländern. Die meisten ungeschützten PACS-Server stehen bzw. standen in den USA. Aber auch in Deutschland wurden 15.000 Datensätze mit 1,38 Millionen ohne Passwort bzw. Authentifizierung abrufbaren Bildern identifiziert. Die gute Nachricht ist, dass es bisher offenbar nicht zu einem Datenmissbrauch gekommen ist. Insgesamt scheinen die Probleme in Deutschland in erster Linie auf Seiten der Anwender gelegen zu haben, unter anderem bei den Systemen zum Einlesen von CDs. Die Rede ist im Greenbone-Bericht von fehlerhaften Konfigurationen der Infrastruktur und der PACS-Server.  Es wird explizit gesagt, dass es sich nicht um Softwarefehler gehandelt habe.


Kopfschütteln beim BSI

Die Episode ist einmal mehr ein Argument für systematische und behördlich kontrollierte, digitale Kommunikationsinfrastrukturen im Gesundheitswesen. Zwar ist die Greenbone-Analyse auch kein Ruhmesblatt für die Hersteller, bei denen offenbar zumindest teilweise ein gewisser Laissez-Faire-Geist herrscht. Vor allem peinlich ist das Ganze aber für die medizinischen Einrichtungen, die bewusst oder aus Ignoranz auf existierende Schutzmechanismen verzichtet haben. Anders formuliert: Wenn man einzelne medizinische Einrichtungen digital einfach machen lässt, entsteht offensichtlich nicht automatisch große Sicherheit.

 

Das sieht auch das BSI so. Es teilt mit, dass nach seiner Einschätzung die Patientendaten deswegen zugänglich waren, weil einfachste IT-Sicherheitsmaßnahmen wie ein Zugriffsschutz durch Nutzername und Passwort nicht umgesetzt wurden: „„Wenn selbst bei so sensiblen Daten wie Röntgenaufnahmen, Mammografien oder MRT-Bildern grundlegende IT-Sicherheitsmaßnahmen missachtet werden, zeigt das, dass IT-Sicherheit noch immer nicht den Stellenwert einnimmt, den sie verdient. Wir müssen als Gesellschaft begreifen, dass die großen Digitalisierungsprojekte, die uns so viele Vorteile bringen können, nur gelingen werden, wenn sie von Anfang an sicher gestaltet werden. Nur wenn die Bürgerinnen und Bürger Vertrauen in die Sicherheit ihrer Daten haben, wird die Digitalisierung erfolgreich sein“, so Behördenchef Arne Schönbohm.

 

VISUS, Telepaxx und CHILI: „Sind nicht betroffen“

Seitens der Hersteller von PAC-Systemen hat sich VISUS rasch zu Wort gemeldet. Das Unternehmen teilte mit, dass JiveX-Kunden seiner Kenntnis nach nicht betroffen seien. Der Hersteller betont auch, dass seiner Auffassung nach nicht der DICOM-Standard per se das Problem gewesen sei, sondern eine technische Fehlkonfiguration, die einen Datenabruf über offene DICOM-Ports bzw. öffentlich zugängliche Webportale ohne Benutzerauthentifizierung und Verschlüsselung ermöglichte. DICOM war in den Analysen von Greenbone bzw. den darauf fußenden Presseartikeln explizit erwähnt worden.

 

Auch die Unternehmen Telepaxx und CHILI betonen, dass ein Datenzugriff in der von Greenbone geschilderten Weise bei ihren PACS-Lösungen nicht möglich und ihre Systeme nicht betroffen seien. Insgesamt waren in Deutschland laut Greenbone-Report nur sechs PAC-Installationen betroffen – von mehreren tausend.