Wie sensibel Patienten reagieren, wenn ihre medizinischen Daten plötzlich in der Öffentlichkeit auftauchen, konnten Radiologen Mitte September erleben. MRT- und Röntgenbilder von Patienten waren über ungeschützte PACS-Systeme offen im Netz zugänglich. Allein in Deutschland handelte es sich um 13.000 Datensätze von mindestens fünf verschiedenen Server-Standorten. Dirk Schrader, IT-Sicherheitsexperte von Greenbone Networks, entdeckte das Datenleck. Er schildert im Interview mit Ursula Katthöfer ( textwiese.com ), wie Kliniken und Praxen sich schützen können.

Redaktion: Wie gelingt es Hackern, ein ungeschütztes PACS zu identifizieren?

Dirk Schrader: Ich kann Ihnen sagen, wie wir bei Greenbone sie identifiziert haben. Die Grunddaten findet man in öffentlichen Datenbanken. Darüber lässt sich recherchieren, welche IP-Adressen mit dem Begriff DICOM (Digital Imaging and Communications in Medicine) einem bestimmten Port zugeordnet sind. Nach weiteren Recherchen hatten wir eine Grundmenge an IP-Adressen, die wir überprüft haben. Darüber sind wir in ungeschützte Computersysteme gelangt. Sie waren so konfiguriert, dass wir Daten von Patienten sehen konnten, u. a. Geburtsdaten. Andere Systeme erlaubten zusätzlich, dass wir Bilder sehen konnten.

Redaktion: Wie ist das möglich? Fehlt es an Passwörtern, Verschlüsselungen?

Dirk Schrader: Es fehlt an allem. Das DICOM-Protokoll erlaubt rudimentäre Sicherheitsmaßnahmen. Sie bieten keinen starken Schutz, doch selbst sie sind nicht immer gesetzt. Auch andere Sicherheitsmaßnahmen fehlen. Wenn ich z. B. auf einen Computer in Brasilien zugreife, muss dieser Zugriff protokolliert werden. Dann sollte das System eigentlich zurückmelden, dass es abgefragt wurde.

Redaktion: Wie hoch ist der zeitliche Aufwand, um ein PACS zu knacken?

Dirk Schrader: Für ein einzelnes System? Maximal fünfzehn Minuten.

Redaktion: Kümmern Radiologen sich zu wenig um IT-Sicherheit?

Dirk Schrader: Das ist ein Spannungsfeld. Die Radiologie braucht den digitalen Workflow. Viele Radiologen setzen eine hohe Funktionalität als selbstverständlich voraus. Sie wollen Daten schnell hin- und herschieben, archivieren und versenden. Passwörter sind da eher hinderlich. Das kann ich verstehen. Aber genau diese Entscheidung hat eine Tragweite. Wenn ich von überall auf der Welt Zugriff auf bestimmte Daten haben kann, können andere das im Zweifelsfall auch.

Redaktion: Ärzte müssen sich auf ihre IT-Dienstleister verlassen können. Sie haben kaum die Zeit, sich noch um IT-Security zu kümmern. Wie erkennt man einen Dienstleister, der Wert auf Sicherheit legt?

Dirk Schrader: Ein guter Dienstleister macht sich Gedanken über die Konfiguration und kommuniziert das. Zunächst nutzt er die rudimentären Sicherungsmöglichkeiten, die DICOM bereits bietet. Darüber hinaus implementiert er jedoch noch weitere Security-Mechanismen wie etwa eine dezidierte Zugriffskontrolle. So lässt sich genau bestimmen, wer auf welche Daten mit welchen Rechten zugreifen darf. In der DS-GVO ist von der Datenschutzfolgeabschätzung die Rede. Da ist jeder Betreiber, jeder rechtlich Verantwortliche für das System gefragt.

Redaktion: Was können Krankenhäuser und Praxen selbst tun, um Sicherheitslücken zu schließen?

Dirk Schrader: Generell ist natürlich eine Schwachstellenmanagement-Lösung zu empfehlen, die alle IT-Systeme täglich auf mögliche Sicherheitslücken überprüft. Im konkreten Fall hat ein Systemadministrator folgende Möglichkeit: Er kann anhand der Log-Files der Firewall nachprüfen, wer dieses System von außen nutzt. Das könnte eine externe radiologische Praxis sein oder ein unerwünschter Zugriff aus einem fremden Land. Der Zugang der Praxis kann zugeschaltet, also erlaubt werden. Krankenhäuser und große Praxen müssten also zunächst klären, wer von außen Zugang zum eigenen System haben darf.

Die nächste Frage ist, über welche IP-Adressen kommuniziert wird. Über die Systemadministration können z. B. die IP-Adressen 1 bis 7 zugelassen werden. Wenn eine Adresse fehlt, wird sie hinzugefügt. Wichtig ist die negative Herangehensweise: Niemand darf von außen ins System. Zugang haben nur diejenigen, denen es erlaubt wurde. Jeder muss identifizierbar sein.

Redaktion: Der Bundesgesundheitsminister strebt eine elektronische Patientenakte ab 2021 für alle gesetzlich Versicherten an. Ist die Zeit dafür schon reif?

Dirk Schrader: Ich bin ein Freund von Vereinfachungen und der Möglichkeit, schnell auf lebenswichtige Informationen zugreifen zu können. Wenn man die elektronische Patientenakte von vornherein digital widerstandfähig macht, ist das eine sehr gute Idee.

Weiterführender Hinweis

• Stellungnahme des BDR zu Presseberichten über die Datenlecks online unter iww.de/s3058