Erneut stand aufgrund von mangelndem Schutz von Patientendaten die Gesundheitsbranche in der Presse: Radiologische Bilder, verknüpft mit Patienteninformationen, wurden in mehreren Einrichtungen weltweit im lokalen PACS (Picture Archiving and Communication System)gespeichert und waren ungeschützt über das Internet abrufbar. Nach Recherchen des Bayrischen Rundfunks sind allein in Deutschland mehr als 13.000 Datensätze von Patienten betroffen – Patientendaten aus dem Raum Ingolstadt aus einer Arzt-Praxis und Kempen. Weltweit sind weitere Server betroffen, auf denen ungeschützt Bilder und Patienteninformationen offen zugänglich sind: „Weltweit ist die Dimension deutlich größer, Server auf der ganzen Welt sind ungeschützt: In rund 50 Ländern von Brasilien über die Türkei bis Indien sollen 16 Millionen Datensätze offen im Netz sein.“ (Quelle: Bayerischer Rundfunk).
Was für Daten sind betroffen?
Die Magnetresonanztomographie (kurz MRT) ist ein Verfahren, welches vor allem in der medizinischen Diagnostik eingesetzt wird. Hier wird über ein bildgebendes Verfahren die Struktur und Funktion der Gewebe und Organe erfasst. Durch diese Schnittbilder des Patienten kann der behandelnde Arzt eine Beurteilung der Organe und vieler krankhafter Organveränderungen feststellen. Zwecks Befundung und Archivierung werden diese Bilder auf dem PACS gespeichert und verteilt.
PACS-Server nutzen den DICOM (Digital Imaging and Communications in Medicine) Standard, welcher die Vernetzung der Medizingeräte der Bildgebung ermöglicht und damit die Informationen zu Patienten und Bildern austauscht und archiviert. Bereits im Mai 2019 berichteten wir über eine Schwachstelle im DICOM Standard, welche die Ausführung von Schadsoftware ermöglicht (Link). In dem vorliegenden Fall betrifft die Schwachstelle jedoch die Verwendung des IP-Protokolls, welche die Kommunikation zwischen den Systemen ermöglicht und so auch die Systeme im Internet auffindbar machen.
Hier wird auch die abzusichernde Schwäche erkennbar: Wird das System mit dem Internet verbunden, so ist dieses mit der IP-Adresse von jedem aufspürbar. Damit diese Systeme nicht offen im Netz stehen, müssen sie vor unbefugtem Zugriff über technische und organisatorische Maßnahmen geschützt werden. Die verantwortliche Stelle muss gewährleisten, dass kein unberechtigter externer Zugriff möglich ist. Bei den betroffenen PACS wurden aber solche Maßnahmen vernachlässigt und jeder konnte ungehindert auf die Archive zugreifen und sensible medizinische und persönliche Daten einsehen und herunterladen.
Bundesamt für Sicherheit informiert
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde über den Datenschutzvorfall informiert, welches die betroffenen nationalen medizinischen Einrichtungen direkt oder indirekt informierte. Da es sich auch um sensible Patientendaten aus anderen Ländern handelt, informierte das BSI weitere 46 internationale Partnerorganisationen über den Datenschutzvorfall, damit die betroffenen medizinischen Einrichtungen entsprechende Maßnahmen ergreifen können. (Quelle: Bundesamt für Sicherheit in der Informationstechnik).
IT-Sicherheit und Datenschutz stärken
Patientendaten sind nach DSGVO besonders schützenswerte Daten und deren Schutz vor unbefugtem Zugriff muss zwingend gewährleistet werden – hier muss die verantwortliche Stelle handeln. Nicht nur aus Datenschutzsicht besteht eine rechtliche Verpflichtung, sondern auch um das Vertrauen der Patienten nicht zu verlieren. Mit der Digitalisierung können bestehende Prozesse optimiert und neue Prozesse realisiert werden – so wie der Zugriff von zu Hause auf die Röntgenbilder in der Praxis oder im Krankenhaus. Dazu muss aber sichergestellt werden, dass die Verarbeitung der sensiblen Gesundheitsdaten sicher erfolgt. Sicher vor unberechtigten Zugriff und Manipulation. Bei der Absicherung solcher Prozesse können wir als Synagon Sie unterstützen, hier steht uns ein Portfolio an Maßnahmen aus dem Risikomanagement zur Verfügung. Wir begleiten vielfältige Digitalisierungsprojekte und identifizieren und entwickeln mit Anwendern, Patienten und Herstellern von Medizinprodukten Potentiale, mit denen beide Seiten – Patient und medizinische Einrichtung – gewinnen. Zur Realisierung von IT-Sicherheit und der Datenschutz gehören Maßnahmen, welche den Zugang zu kritischen Systemen absichern: Access Control Lists für IP-Adressen bzw. Portfilter, Zugangskontrolle durch vorgeschaltete Systeme und VPN-Zugriffe für Berechtigte.
Quellen: