Millionen von Patientenakten in Gefahr
Wie ein Beschäftigter der Bochumer Aplite GmbH auf der IT-Sicherheitskonferenz „Black Hat Europe 2023“ erklärte, haben viele medizinische Einrichtungen – außerhalb der EU –die privaten Daten und Krankengeschichten von Millionen von Patienten unbeabsichtigt übers Internet zugänglich gemacht.
Konkret seien 3.806 DICOM-Server aus 111 Ländern im Internet erreichbar, von denen weniger als ein Prozent eine effektive Autorisierung verwenden. Insgesamt seien mehr als 59 Millionen Patienten-Datensätze betroffen, für mehr als 39,3 Millionen von ihnen gebe es zudem ein Manipulationsrisiko, schreibt das Unternehmen.
Sicherheitsupdates werden oft nicht umgesetzt
Ursache ist das Dateiformat „Digital Imaging and Communications in Medicine“ (DICOM) das seit 30 Jahren zur Speicherung von CT-, PET- oder MRT-Bildern dient ursprünglich für isolierte Netzwerke konzipiert wurde. Obwohl die DICOM-Standardorganisation Sicherheitsmaßnahmen eingeführt hat, um das Protokoll an neue Nutzungsfälle und Anforderungen anzupassen, schreibt Aplite, „entscheiden sich Anbieter oft dafür, sie aufgrund ihrer nicht zwingenden Art nicht umzusetzen.“
So sei DICOM über die Zeit zu einem entscheidenden Instrument im Gesundheitswesen, gleichzeitig aber auch zu einem Sicherheitsrisiko geworden. Laut der Untersuchung nutzen 79 Prozent der Institutionen keine und 20 Prozent nur eine schwache und damit leicht zu umgehende Autorisierungslogik. Diese Situation ermögliche es Hackern, Bilder systematisch zu stören oder falsche Anzeichen von Krankheiten in die Dateien einzubauen.
Missbrauch von Gesundheitsdaten steigt auf das Dreifache
In den USA sind 2023 die Gesundheitsdaten von mehr als 113 Millionen Amerikanern veröffentlicht oder missbraucht worden, meldet das zuständige Ministerium. Damit stieg der Wert bis Mitte Dezember auf das 3,2-fache des Vorjahreswertes. Aufgrund des sogenannten HITECH-Gesetzes müssen Unternehmen in den USA alle Sicherheitsvorfälle melden, die 500 oder mehr Personen betreffen.
