Home
Anmelden
 
 
Tausende deutsche Patientendaten offen im Internet

Report München, 17.9.2019. Der Bayerische Rundfunk sendet einen Beitrag, der offenbart, dass aufgrund schlampiger Konfiguration Tausende deutsche Patientendaten online frei einsehbar waren. Die Meldung per se ist – erschreckenderweise – schon gar keine Sensation mehr, weil immer wieder Fehlkonfigurationen dazu führen, dass massenhaft (oft sensible) Daten öffentlich zugänglich werden.

Dirk Schrader, CISSP, CISM und CMO bei Greenbone Networks, hatte in einem Report zusammengefasst, was die Firma über die Patientendaten zusammengetragen hatte. In Deutschland sind ca. 15.000 Datensätze von Bundesbürgern öffentlich zugänglich, wobei diesen Datensätzen etwa 2,85 Mio. Bilder zugeordnet sind. Davon sind wiederum 1,38 Mio. abrufbar (ohne Passwort oder Authentifizierung) 1 . Weltweit sind 590 Archivsysteme identifiziert worden, die 24,5 Mio. Datensätze von Menschen preisgeben. Dabei sind mehr als 737 Mio. Bilddaten mit diesen Patientendaten verknüpft, von den etwa 400 Mio. auch einsehbar sind bzw. aus dem Internet heruntergeladen werden können. Hinzu kommen 39 Systeme die via unverschlüsseltem http-Webviewer Zugriff auf Patientendaten ermöglichen – auch dies ohne jeglichen Schutz.

Zur Identifikation von PACS-Servern weltweit wurden verschiedene Quellen herangezogen. Dazu gehören die bekannten Quellen Shodan.io und Censys.io. So erhielten wir eine Liste von etwa 2.300 IP Adressen und Portnummern des DICOM-Protokolls. Das DICOM-Protokoll verwendet standardmäßig die Ports 104/TCP und 11112/TCP für die Kommunikation zwischen DICOM-fähigen Anwendungen. Das Protokoll dient dem Laden von durch bildgebende Geräte (Röntgen, CT, MRT) produzierte Bilddaten und Patienteninformationen in das Archivsystem . Weiter erlaubt es den lesenden Abruf dieser Daten, z.B. durch den behandelnden Arzt. In Deutschland sind diese Informationen durch die DSGVO geschützt. In den USA schützt HIPAA, der Health Insurance Portability and Accountability Act, diese Informationen. Auch in anderen Ländern gibt es entsprechende Regelungen.

Im Grund ist Deutschland noch relativ glimpflich davongekommen – die Zahl der Datensätze ist, verglichen mit anderen Staaten, relativ gering. Dennoch beweist der Vorgang, dass auch hierzulande noch allzu sorglos mit Kunden- bzw. Patientendaten umgegangen wird. Im medizinischen Umfeld ist die Firma Adiccon (http://www.adiccon.de/ External link), Darmstadt ein anerkannter Dienstleister für die Datensicherheit, der die Systeme von Kliniken und Arztpraxen konsequent und mit großer Erfahrung auf Schwachstellen abklopft und so für mehr Sicherheit sorgt – eine Investition, die sich offensichtlich lohnen würde.

 
< zurück   weiter >
 
 

Aktuelle Ausgabe

NET ist Mediapartner von

TEC_07_19.gif

NET ist Kooperationspartner von

Breko_neu_2016