DICOM: Patientendaten landen millionenfach ungeschützt im Netz

Unter die­ser Überschrift ist am 9.12.23 auf com​pu​ter​ba​se​.de zu erfahren:

»Für die Speicherung und den Austausch medi­zi­ni­scher Bilddaten kommt häu­fig ein offe­ner Standard namens DICOM zum Einsatz. Sicherheitsforscher haben in den ver­gan­ge­nen Monaten eine Vielzahl unge­schütz­ter DICOM-Server ent­deckt, über die mil­lio­nen­fach per­sön­li­che und medi­zi­ni­sche Daten offen­ge­legt wurden.

Persönliche und medi­zi­ni­sche Daten im Internet

Aufgedeckt wur­den die umfang­rei­chen Datenlecks von Sicherheitsforschern von Aplite, einem in Deutschland ansäs­si­gen Beratungsunternehmen für Cybersicherheit. Diese erklär­ten im Rahmen einer Präsentation auf der Black Hat Europe 2023, sie hät­ten „das gan­ze Internet“ über einen Zeitraum von sechs Monaten gescannt und dabei mehr als 59 Millionen Datensätze von Patienten aus­fin­dig gemacht, die von unzu­rei­chend gesi­cher­ten DICOM-Servern offen­ge­legt wurden.

Dazu zäh­len 16,1 Millionen Datensätze mit per­sön­li­chen Informationen wie voll­stän­di­gen Namen, Anschriften, Geburtsdaten und Telefonnummern von Patienten sowie in eini­gen Fällen auch deren Sozialversicherungsnummern. Hinzu kom­men 43,5 Millionen Datensätze, die medi­zi­ni­sche Informationen beinhal­ten, bei­spiels­wei­se ange­wand­te Behandlungsmethoden, Untersuchungsergebnisse, zustän­di­ge Ärzte sowie Ort, Datum und Uhrzeit durch­ge­führ­ter Untersuchungen…

Das Grundproblem ist dabei wohl die Tatsache, dass DICOM ursprüng­lich nur für iso­lier­te Netzwerke ent­wickelt wur­de, heu­te aber oft­mals über moder­ne Cloud-Umgebungen oder ein­fa­che DSL-Anschlüsse auch für den Datenaustausch über das Internet zugäng­lich gemacht wird. Es sei­en zwar nach­träg­lich Sicherheitsfunktionen für DICOM bereit­ge­stellt wor­den, um das Protokoll an neue Anwendungsfälle und Anforderungen anzu­pas­sen, vie­le Anbieter hät­ten die­se aber schlicht­weg nicht imple­men­tiert, da kei­ne Verpflichtung zu deren Verwendung bestehe. Wirksame Autorisierungsmaßnahmen sei­en bei­spiels­wei­se nur bei weni­ger als einem Prozent aller DICOM-Server umgesetzt…

Darüber hin­aus erklä­ren die Forscher, es sei­en auch Manipulationen mög­lich. Ein Angreifer kön­ne bestehen­de medi­zi­ni­sche Aufnahmen etwa gezielt ver­än­dern, um gefälsch­te Krankheitsbilder zu erzeu­gen. Aplite habe mehr als 39,3 Millionen Datensätze aus­fin­dig gemacht, die einer sol­chen Gefahr aus­ge­setzt sei­en…«

Auch der "Ärztenachrichtendienst" aend​.de berich­tet dar­über hin­ter der Bezahlschranke. Für ande­re Medien war die Nachricht bis­her zu bri­sant oder zu bedeutungslos…

Wetten, daß so wenig pas­sie­ren wird wie 2019, als die fol­gen­de Meldung es immer­hin auf aerz​te​zei​tung​.de schaffte?

Damals war zu lesen:

»NEU-ISENBURG. Unzureichend geschütz­te Server mit radio­lo­gi­schen Bilddatensätzen sind offen­bar jah­re­lang unge­schützt im Netz erreich­bar gewe­sen. Das hat eine Untersuchung des IT-Sicherheitsexperten Dirk Schrader von Greenbone Networks ergeben.

Bundesgesundheitsminister Jens Spahn (CDU) äußer­te sich am Dienstag in Berlin bestürzt über die Vorgänge. Er mahn­te höch­ste Datenschutzvorkehrungen an. „Wir müs­sen noch stär­ker alle im Gesundheitswesen dafür sen­si­bi­li­sie­ren, wie wich­tig Datensicherheit ist.“

Von 2300 unter­such­ten PACS-Servern, die zur Archivierung radio­lo­gi­scher Daten genutzt wer­den, sei­en 590 Archivsysteme „welt­weit ohne jeg­li­chen Schutz der gespei­cher­ten per­sön­li­chen und medi­zi­ni­schen Daten mit dem öffent­li­chen Internet ver­bun­den“, heißt es in der Untersuchung.

Dadurch waren 24,5 Millionen Datensätze von Menschen preis­ge­ge­ben, heißt es. Laut Recherchen des Bayerischen Rundfunks und ProPublica sol­len allei­ne in Deutschland mehr als 13.000 Datensätze von Patienten betrof­fen sein…«

4 Antworten auf „DICOM: Patientendaten landen millionenfach ungeschützt im Netz“

  1. Diese Gesundheitsdaten kann man – wenn man möch­te – schon in naher Zukunft als gegen den Willen der Patienten offen­ge­legt ansehen.
    Da wer­den sich die FAMA-Industrie und kri­mi­nel­le Hacker schon jetzt die Hände reiben.
    Übrigens unge­sche­hen machen von Datendiebstählen ist nicht mög­lich, ver­öf­fent­li­che Gesundheitsdate kön­nen nicht mehr zurück in die Anonymität geholt wer­den. Wissen vie­le nicht. Reden die ITler auch ungern drüber. 

    "Konkrete Änderung auch: Die Befüllung der elek­tro­ni­schen Patientenakte mit Daten aus Arztbriefen sowie Daten zu Befunden bzw. Befundberichte (u.a. zu bild­ge­ben­der Diagnostik, zu Laborbefunden) soll anders als bis­her vor­ge­se­hen zukünf­tig nicht mehr in das „Ermessen der Leistungserbringer“ gestellt wer­den. Vielmehr sol­len auch die­se Daten ver­pflich­tend in die elek­tro­ni­sche Patientenakte über­mit­telt und gespei­chert wer­den. Zur Begründung heißt es: „Die Umgestaltung der bis­her für die­se Daten vor­ge­se­he­nen Befüllungsberechtigung im Ermessen des Leistungserbringers („Kann-Befüllung“) zu einer ver­pflich­ten­den Befüllung dient (…) der Vereinfachung des bis­her vor­ge­se­he­nen drei­stu­fi­gen Befüllungskonzepts (…).“ Auch hel­fe es, dass „wich­ti­ge Informationen mög­lichst voll­um­fäng­lich“ ange­legt würden."

    https://​www​.aend​.de/​a​r​t​i​c​l​e​/​2​2​6​478

  2. Tja – soviel zur Durchleuchtung des Bürgers. 59 Millionen – Holla, da sind wir 50/50 viel­eicht auch schon mit dabei? Wer weiss. Wer hat schon­mal, wer will nochmal.

    Da sehe ich Geschäftsfelder – weit, weit weit .….…

    Nie wie­der Arzt suchen – sie wer­den Sie finden!

    Der Witz aber scheint zu sein – egal wie das mit der Elektronischen Patientenakte aus­geht – man wird ehe­dem an Privatsphätre ver­lie­ren. Einfach lau­fen las­sen. In die­sem Land, inter­es­siert im Grunde genom­men, nie­man­den mehr irgend etwas. Man braucht doch nur zu lesen was da eigent­lich geschrie­ben steht.

    Nur ein Dokument, ist eben ein Dokument. Nix Elektro! Gesetze sind von Nöten und soll­ten grei­fen. BASTA! Hatten wir doch vor Kurzem schon irgendwo.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert