DICOM: Patientendaten landen millionenfach ungeschützt im Netz

Für die Speicherung und den Austausch medizinischer Bilddaten kommt häufig ein offener Standard namens DICOM zum Einsatz. Sicherheitsforscher haben in den vergangenen Monaten eine Vielzahl ungeschützter DICOM-Server entdeckt, über die millionenfach persönliche und medizinische Daten offengelegt wurden.

Persönliche und medizinische Daten im Internet

Aufgedeckt wurden die umfangreichen Datenlecks von Sicherheitsforschern von Aplite, einem in Deutschland ansässigen Beratungsunternehmen für Cybersicherheit. Diese erklärten im Rahmen einer Präsentation auf der Black Hat Europe 2023, sie hätten „das ganze Internet“ über einen Zeitraum von sechs Monaten gescannt und dabei mehr als 59 Millionen Datensätze von Patienten ausfindig gemacht, die von unzureichend gesicherten DICOM-Servern offengelegt wurden.

Dazu zählen 16,1 Millionen Datensätze mit persönlichen Informationen wie vollständigen Namen, Anschriften, Geburtsdaten und Telefonnummern von Patienten sowie in einigen Fällen auch deren Sozialversicherungsnummern. Hinzu kommen 43,5 Millionen Datensätze, die medizinische Informationen beinhalten, beispielsweise angewandte Behandlungsmethoden, Untersuchungsergebnisse, zuständige Ärzte sowie Ort, Datum und Uhrzeit durchgeführter Untersuchungen.

Ein 30 Jahre alter Standard geht online

Wie die Forscher in einem separaten Blogbeitrag erklären, handelt es sich bei DICOM (Digital Imaging and Communications in Medicine) um ein mehr als 30 Jahre altes Standardprotokoll für die medizinische Bildgebung. Dieses erleichtere den Austausch und die Betrachtung medizinischer Bilder wie Röntgenaufnahmen, CT-Scans und MRTs, die innere Körperstrukturen sichtbar machen.

Das Grundproblem ist dabei wohl die Tatsache, dass DICOM ursprünglich nur für isolierte Netzwerke entwickelt wurde, heute aber oftmals über moderne Cloud-Umgebungen oder einfache DSL-Anschlüsse auch für den Datenaustausch über das Internet zugänglich gemacht wird. Es seien zwar nachträglich Sicherheitsfunktionen für DICOM bereitgestellt worden, um das Protokoll an neue Anwendungsfälle und Anforderungen anzupassen, viele Anbieter hätten diese aber schlichtweg nicht implementiert, da keine Verpflichtung zu deren Verwendung bestehe. Wirksame Autorisierungsmaßnahmen seien beispielsweise nur bei weniger als einem Prozent aller DICOM-Server umgesetzt.

Tausende von Servern sind über das Internet erreichbar

Die Aplite-Forscher behaupten, insgesamt 3.806 online erreichbare DICOM-Server in 111 Ländern ausfindig gemacht zu haben. 73 Prozent davon seien entweder bei einem Cloud-Anbieter gehostet oder von kleineren Unternehmen über eine gewöhnliche DSL-Leitung bereitgestellt worden. Die bereits genannten 59 Millionen Datensätze seien von insgesamt 1.159 Servern offengelegt worden.

Darüber hinaus erklären die Forscher, es seien auch Manipulationen möglich. Ein Angreifer könne bestehende medizinische Aufnahmen etwa gezielt verändern, um gefälschte Krankheitsbilder zu erzeugen. Aplite habe mehr als 39,3 Millionen Datensätze ausfindig gemacht, die einer solchen Gefahr ausgesetzt seien.

Empfehlungen zur Absicherung der DICOM-Server

Für medizinische Einrichtungen und Betreiber von DICOM-Servern haben die Forscher in ihrem Bericht einige Abhilfemaßnahmen vorgestellt, mit denen sich die Systeme ordnungsgemäß absichern lassen. Dazu zählt beispielsweise, dass die Server vom öffentlichen Internet abgeschottet und in separaten Netzwerksegmenten untergebracht und nur über gesicherte Verbindungen zugänglich gemacht werden sollten. Aber auch gezielte Zugriffsbeschränkungen auf ausgewählte Nutzer sowie die Durchführung regelmäßiger Sicherheitstests gehören zu den empfohlenen Maßnahmen.