Millionenfach Patientendaten ungeschützt im Internet
Der jüngste Skandal über millionenfach Patientendaten, die ungeschützt im Internet von jedermann abrufbar waren zeigt erneut, dass noch großer Handlungsbedarf bei der IT-Sicherheit in Arztpraxen und Krankenhäusern besteht. Konkret handelt es sich in dem vom BR und ProPublica recherchierten Fall um ein Bildarchiv, dem „Picture Archiving and Communication System“ oder kurz „PACS“ genannt. Hier werden zentral die Bilder von MRT, CT oder digitalen Röntgengeräten gespeichert. Durch ein Konfigurationsfehler waren diese inkl. der dazugehörigen Patientendaten ohne Passwort öffentlich einsehbar.
Leider ist dies kein Einzelfall. Eine einfache Suche mit spezialisierten Suchmaschinen wie Shodan offenbart eine Vielzahl potenziell fehlkonfigurierter und damit öffentlich einsehbarer Server oder Datenbanken. Hier stellt sich prinzipiell die Frage, warum diese Systeme direkt am Internet angebunden und nicht durch zusätzliche Sicherheitsmaßnahmen geschützt sind. Dies stellt den Stand der Technik dar und dieser ist nach § 8a BSI-Gesetz für Krankenhäuser mit mehr als 30.000 vollstationäre Bettenbelegungen im Jahr einzuhalten.
Besonders Problematisch ist, wenn für einen erfolgreichen Datenzugriff noch nicht einmal ein Passwort eingegeben werden muss. Doch auch bei einem gesetzten Passwort mangelt es leider oft an einer ausreichenden Komplexität, so dass dieses durch einfaches Erraten herausgefunden werden kann. Sofern Zugriff z. B. aufgrund von Fernwartung erforderlich ist, sollte hier der hinreichende Schutz über Mechanismen der Multifaktor-Authentikation (MFA) realisiert werden.
In der Regel sind solche Systeme zudem stark veraltet und so über Schwachstellen und dafür frei verfügbare Exploits angreifbar. Beispiele hierfür sind die Windows-Sicherheitslücken EternalBlue (2017) und BlueKeep (2019), für die schon länger Sicherheitsupdates bereitgestellt werden.
Inwiefern auch KRITIS-Betreiber als kritische Infrastruktur betroffen sind und somit zur Absicherung nach Stand der Technik verpflichtet waren oder sogar ein Bußgeld ausgesprochen wurde, ist aktuell nicht bekannt.
Allerdings sollten bereits bei der Umsetzung der Europäischen Datenschutzgrundverordnung (DSGVO) die oben genannten Sicherheitsprobleme nirgendwo auftreten dürfen. Ob und in welcher Höhe hier ein Bußgeld wegen Verstoß gegen Art. 32 DSGVO verhängt wird, bleibt daher ebenfalls abzuwarten.