Der im Oktober 2020 vorgelegte „ Bericht zur Lage der IT-Sicherheit in Deutschland 2020 “ des Bundesamts für Sicherheit in der Informationstechnik (BSI) thematisiert u. a. die PACS-Datenlecks, die im September 2019 aufgedeckt wurden (s. Interview in RWF Nr. 11/2019).

Millionen Bilder ungeschützt

In dem Bericht geht es auf Seite 22 um diese Datenlecks, durch die allein in Deutschland ca. 15.000 Datensätze von Patienten mit mehreren Millionen zugeordneten Bildern im Internet zugänglich waren, ein Großteil davon ohne Passwort oder Authentifizierung.

Empfehlungen des BSI

Das BSI empfiehlt, cloudbasierte und andere über das Internet erreichbare Services dieser Art nur zu nutzen, wenn alle verfügbaren Schutzmechanismen (z. B. die verschlüsselte Übertragung und Speicherung von Daten) definitiv angewendet werden, die für sensible Patientendaten angemessen sind. Auf RWF-Anfrage erklärte eine BSI-Sprecherin: „Ärzte sollten Hersteller nach den IT-Sicherheitseigenschaften ihrer Produkte befragen.“ Zudem solle abgefragt werden, ob sicherheitsrelevante Prozesse wie z. B. CVD (= Coordinated Vulnerability Disclosure) etabliert seien. Für ein verbessertes Verständnis der IT-Sicherheitseigenschaften von Medizinprodukten könne das Manufacturer Disclosure Statement for Medical Device Security (MDS2) sorgen (s. MDS2-Leitfaden).