Pünktlich zum Tag der Patientensicherheit gab es diese Woche heftige Schlagzeilen in allen Medien: Millionen von Patientendaten ungesichert im Netz. Daraufhin mussten wir uns von einigen unserer Kunden die (scherzhaft gemeinte) Frage anhören, ob ihre Daten noch sicher seien. In der Hinsicht hört bei uns der Spaß allerdings auf. Aus unserer Sicht ist dieser Skandal nur ein weiter trauriger Beweis dafür, dass IT-Sicherheit kein Kinderspiel ist und in die Hände von Profis gehört.
Was ist passiert?
Analysen der Sicherheitsfirma Greenbone Networks haben weltweit 187 PACS-Server identifiziert, die keinerlei Absicherung gegen unbefugten Zugriff aufwiesen und deren radiologische Bilddaten ungeschützt für jeden im Internet zugänglich waren. Darunter waren Anbieter medizinischer Kommunikationslösungen genauso wie einzelne radiologische Praxen, die ihren Einsendern die Möglichkeit zum Download der Untersuchungsergebnisse ihrer Patienten ermöglichen.
Im Gegensatz zu früheren Datenlecks, bei denen beispielsweise die Kundendaten eines einzelnen Unternehmens gestohlen wurden, handelt es sich hier um Server verschiedener Unternehmen und Praxen. Allen gemeinsam war, dass die PACS-Server mit dem Internet verbunden waren und über das DICOM-Protokoll Daten mit anderen Rechnern austauschten. Das DICOM-Protokoll wird zur Kommunikation mit bildgebenden Verfahren wie Sono- und Röntgengeräten oder Computertomographen eingesetzt.
Auch RED verwendet es, um Patientendaten z.B. an ein Sonogerät zu übermitteln und von diesem Bilder und Videos zu erhalten. Das DICOM-Verfahren selbst enthält keine Mechanismen zum Schutz der übermittelten Daten oder zur Autorisierung der Benutzer, sondern vertraut darauf, dass die Umgebung, in der es eingesetzt wird, ausreichend gegen den Zugriff Unbefugter abgesichert ist.
Wie kann man sich schützen?
In einem Praxisnetz ist dies leicht möglich, etwa, indem das interne Praxisnetz durch eine sog. Firewall (wie unsere RED Box) mit dem Internet verbunden wird. Die Firewall sorgt dann dafür, dass Unbefugte von außen nicht auf das Praxisnetz zugreifen können. Wird der PACS-Server jedoch ungeschützt direkt mit dem Internet verbunden, benötigt ein Angreifer lediglich dessen IP-Adresse, um sich Zugriff zu verschaffen und sich mit frei verfügbaren Tools wie einem DICOM-Viewer die Daten anzusehen.
Warum die PACS-Server ohne Sicherheitsmechanismen direkt mit dem Internet verbunden wurden, wissen wir nicht. Vielleicht aus Unwissenheit ob dessen Gefahren – “da wird schon nichts passieren…”. Vielleicht Ignoranz – “es gibt hunderte Millionen IP-Adressen, warum sollte ausgerechnet unsere gefunden werden?” (kleiner Hinweis: das kann man automatisieren). Vielleicht war es Bequemlichkeit – “Hauptsache es läuft jetzt, um die Sicherheit kümmern wir uns dann später…”. Oder schlicht mangelndes Interesse – “dafür bin ich nicht zuständig/werde ich nicht bezahlt”.
IT-Sicherheit ist aufwändig und teuer, kompliziert und ein täglicher Kampf gegen unsichtbare Gegner, die ihr Waffenarsenal permanent weiter entwickeln. Bewußt wird einem dies erst, wenn der Schaden durch ein Datenleck bereits eingetreten ist.
Bei RED medical sorgen unsere Server-Administratoren permanent dafür, dass unsere Server rundum geschützt sind, und überwachen sie rund um die Uhr.
Doch das ist uns nicht genug. Als zusätzlichen Schutz verwenden wir eine Ende-zu-Ende-Verschlüsselung aller Patientendaten. Eigentlich tun wir das, um Ihr Berufsgeheimnis zu wahren, denn wir selbst dürfen Ihre Daten nicht einsehen. Im unwahrscheinlichen Fall aber, dass es einem Eindringling doch gelänge, all unsere Schutzmechanismen zu überwinden und Zugriff zu den Daten zu erhalten, würde die Ende-zu-Ende-Verschlüsselung wirksam verhindern, dass er damit etwas anfangen kann. Das ist der Grund, warum die Frage, ob wir von einem Datenleck betroffen seien, überflüssig ist. Unsere Kunden wissen das natürlich – die wollten uns nur ein bisschen ärgern…