Veraltetes Protokoll: Millionen von Patientendaten liegen ungeschützt im Netz

Sicherheitsforscher haben über einen Zeitraum von sechs Monaten Tausende über das Internet erreichbare und ungeschützte Dicom-Server identifiziert, über die mehr als 59 Millionen persönliche und medizinische Datensätze von Patienten offengelegt wurden. Aufgedeckt wurde dies von Aplite, einem in Deutschland ansässigen Beratungsunternehmen für Cybersicherheit, im Rahmen der Black Hat Europe 2023.

Zu den offengelegten persönlichen Daten (16,1 Millionen Datensätze) gehören vollständige Namen, Anschriften, Geburtsdaten und Telefonnummern, in einigen Fällen sind angeblich auch Sozialversicherungsnummern betroffen. Die medizinischen Daten (43,5 Millionen Datensätze) umfassen Informationen wie Untersuchungsergebnisse, zuständige Ärzte, angewandte Behandlungsmethoden sowie Ort und Zeit durchgeführter Untersuchungen.

Ein 30 Jahre altes Protokoll wandert in die Cloud

Quelle der Datenlecks ist einem neuen Blogbeitrag der Aplite-Forscher zufolge ein veraltetes, aber im Gesundheitswesen nach wie vor weit verbreitetes Protokoll namens Dicom (Digital Imaging and Communications in Medicine). Dieses erleichtere zwar den Austausch und die Betrachtung medizinischer Bilder wie Röntgenaufnahmen, CT-Scans und MRTs, sei aber inzwischen schon mehr als 30 Jahre alt und komme in Verbindung mit modernen Cloud-Umgebungen nach wie vor zum Einsatz.

Ursprünglich sei das Protokoll nur für isolierte Netzwerke entwickelt worden, erklären die Forscher. Dicom verfüge zwar inzwischen über einige nachträglich eingeführte Sicherheitsfunktionen, jedoch seien diese von vielen Anbietern nicht implementiert worden, da deren Verwendung nicht verpflichtend sei. So seien etwa nur bei weniger als einem Prozent aller Dicom-Server im Internet wirksame Autorisierungsmaßnahmen umgesetzt.

Millionen von Patientendaten auf Tausenden von Servern

Im Rahmen ihrer Untersuchungen fanden die Forscher insgesamt 3.806 Server aus 111 unterschiedlichen Ländern, die über das Internet erreichbar waren. 73 Prozent davon werden wohl entweder in der Cloud gehostet oder von kleineren Unternehmen per DSL bereitgestellt. 1.159 dieser Server sollen mehr als 59 Millionen sensible Datensätze von Patienten offengelegt haben.

Die Forscher warnen außerdem davor, dass auch Manipulationen medizinischer Daten möglich seien. So könne ein Angreifer etwa bestehende Aufzeichnungen derart manipulieren, dass falsche Krankheitsbilder entstehen. Mehr als 39,3 Millionen Datensätze seien einer solchen Bedrohung ausgesetzt.

Dass der Einsatz von Dicom oft mit Sicherheitsmängeln einhergeht, ist nicht grundsätzlich neu. Schon im Jahr 2020 fanden Sicherheitsforscher eine Reihe ungeschützter Dicom-Server. Umso mehr verwundert es, dass sich die Lage seitdem offenbar kaum bis gar nicht gebessert hat.