Patienten-Bilddaten ungeschützt im Netz

Datensätze von weltweit mehreren Millionen Patienten lagen auf Servern, die nicht geschützt waren. Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs, bei dem der Herzschrittmacher erkennbar ist, waren frei verfügbar. Fast alle davon mit Personenbezug wie Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den Arzt und die Behandlung.

Werden Patienten in einer MRT-Röhre untersucht, entstehen dreidimensionale Bilder vom Körperinneren. Für die Archivierung werden diese dann an ein sogenanntes „Picture Archiving and Communication System“ (PACS), ein spezieller Server geschickt. Nach Recherchen des Bayerischen Rundfunks (BR) und der US-Investigativplattform ProPublica, waren diese Server nicht ausreichend gesichert [LINK]. Anstoß hierfür lieferte Dirk Schrader, nachdem er weltweit mehr als 2.300 Rechner mit diesen Datensätzen gefunden hatte [LINK].

Das Datenleck ist auf einen Standard, namens „Digital Imaging and Communications in Medicine (DICOM)“, zurückzuführen. Er beschreibt wie Medizingeräte der Bildgebung miteinander vernetzt werden können, um so Informationen auszutauschen und zu archivieren. PACS nutzt diesen Standard unter anderem unter der Verwendung des IP-Protokolls. Damit sind diese Systeme im Internet auffindbar.

Wird etwas mit dem öffentlichen Internet verbunden, muss sichergestellt werden, dass nur Berechtigte Zugriff darauf erhalten. Aufgrund nachlässiger Konfiguration der Systeme waren die Daten ohne jeglichen Schutz. Ohne ein Passwort oder eine Verschlüsselung war der Zugriff für Internetnutzer möglich. Mit einfachem Download einer Liste von IPs und einem entsprechenden Viewer konnte jeder die Daten ansehen oder herunterladen.

Neben der Zugänglichkeit der Systeme, haben diese auch zahlreiche „echte“ Schwachstellen wie angreifbare Datenbank-Instanzen und veraltete Webserver. Diese erlaubten es teilweise auf die PACS-Server via http und einem Webbrowser zu gelangen und so die Patientenbilder zu betrachten. Kurz gesagt: man musste kein Hacker sein um auf die Daten zugreifen zu können, so Schrader.

Behörde informiert 46 Länder

Ein Sprecher des Bundesamtes für Sicherheit und Informationstechnik (BSI) teilte mit, dass zuständige Behörden in 46 Ländern informiert wurden. Außerdem gehe das BSI selbst 17 Fällen nach und benachrichtigte betroffene Einrichtungen. Auch das BayLDA steht nach BR-Informationen im Kontakt mit dem Betreiber eines Servers. Mittlerweile sind die Server vom Netz.