60 Tage später ist es um die weltweite Situtation der ungeschützten PACS Sever nicht besser geworden. Im Gegenteil, gerade in den USA scheint es ein unaufhaltsames IT-Sicherheits- bzw Datenschutz-Desaster zu sein.
1.19 Milliarden Bilder
Das ist die Anzahl an Bildern die mit den ungeschützten medizinischen Untersuchungen verknüpft sind, die wir während unseres Reviews zum globalen Status von medizinischen Bildarchiven im Internet gefunden haben, ein Zuwachs von 60% (von vorher 737 Millionen). Weitere Details finden sich in unserem aktualisierten Bericht darüber wie sich dieser Status in den letzten 60 Tagen seit unserem ersten Report entwickelt hat, wobei diese Zahl verknüpft ist mit mehr als 35 Millionen radiologischen Untersuchungen von Patienten weltweit (ein Plus von 40%, vorher 24,5 Millionen), was – einfach gesagt – beängstigend ist.
Ignoranz oder Gleichgültigkeit?
“Check again” ist eines der Mantras in der Informationssicherheit und insbesondere im Schwachstellen-Management. Stetiges Wiederholen eines Checks zeigt erst auf, wie sich der eigene Cyber-Security-Status entwickelt, ob die getroffenen Maßnahmen und eingesetzten Werkzeuge auch wirklich funktionieren und den gewünschten Nutzen bringen. Basierend auf diesem Ansatz haben wir uns entschieden, relativ zeitnah nach dem ersten Bericht ein Review durchzuführen. Und zwar 60 Tage später, denn diese Zeitspanne ist in den USA (als hauptsächlich betroffenes Land) der Zeitrahmen in dem ein Datenleck im Gesundheitssektor gemeldet werden muss.
Allerdings haben wir nicht erwartet, noch mehr Patientendaten zu finden, mit noch mehr verknüpften Bildern. Die Frage nach Ignoranz oder Gleichgültigkeit kann eigentlich nur mit „beides, und zwar in einer ungesunden Kombination“ beantwortet werden, denn für die meisten der von uns geprüften Systeme hatten und haben wir immer noch Zugang zu den persönlichen Daten und Gesundheitsinformationen.
Es gibt so etwas wie einen Hoffnungsschimmer, da es einige Länder geschafft haben, die jeweiligen identifizierten Archiv-Server komplett aus dem öffentlichen Internet zu nehmen. Allerdings wird diese Hoffnung wieder getrübt durch die gestiegene Anzahl an zugänglichen Untersuchungen und Bildern, sowie den neuen Ländern auf unserer Liste.
“Good, bad und ugly”
Hoffnung macht, das sich die Gesamtzahl an PACS-Servern um 43 reduziert hat. Allerdings ist das nu ein kleiner Anteil am Gesamten (<10%). Bei näherer Betrachtung der Ergebnisse lassen sich drei Gruppen von Ländern in unseren Daten zusammenfassen.
„The Good“
Ländern (wie oben erwähnt) die es geschafft haben, alle gefundenen System aus dem öffentlichen Internet zu nehmen. Die Situation hat sich zum Guten gewandelt.
„The Bad”
Länder in denen wir immer noch viele System finden und abfragen können, in denen sich die Situation also nicht oder nur sehr geringfügig verändert hat. Die Situation ist immer noch schlecht.
„The Ugly”
Diese Gruppe besteht aus wenigen Ländern, wo die Situation der Archivsysteme vehement schlechter geworden ist, die Zahlen stark nach oben gingen, sie also häßlich wurde.
Neue Datenpunkte
Für die letzte Gruppe an Ländern haben wir auch weitere Datenpunkte hinzugefügt. Einer davon ist der Standort des PACS-Servers im Land, die wir auf Bundesstaaten bzw. Provinzen eingegrenzt haben. Ein anderer ist die Anzahl der in den Daten gefundenen medizinischen Einrichtungen und Ärzten bzw Therapeuten. Beide sind nicht einfach, da sie nur als Annäherung zu sehen sind und evtl. Falsch interpretiert werden könnten (zB wenn wir Städte und Gemeinden nennen würden anstelle von Bundesstaaten). Der präzise Standort eines Archives bedeutet nicht, dass sämtliche Daten im System von Patienten aus der näheren Umgebung stammen (daher nur die Verortung auf Bundesstaat bzw Provinz). Wie schon im ersten Bericht haben wir die Daten zur Laufzeit analysiert und keine Datensätze auf unseren Systemen gespeichert. Nur Zählungen und Zusammenfasungen, sowie Indikatoren für den Standort haben wir tatsächlich gespeichert.
Besonderer Blick auf die USA
Die USA sind das am stärksten von diesem Datenleck betroffene Land, Darum haben wir uns die Situation dort und die Daten etwas genauer angesehen. Nicht nur sind die Gesamtzahlen für Untersuchungen und Bilder noch oben geschnellt, wir haben auch einige alarmierende Datensätze in den ungeschützen PACS-Servern in den USA gefunden.
Ein sehr großes Archiv erlaubt vollen Zugriff auf die PHI (Personal Health Information) inclusive aller verknüpften Bilder zu ca. 1,2 Million Untersuchungen. Hinzu kommt, das etwa 75% der Datensätze auch die Social Security Number des Patienten enthalten. Das Schadenspotential für den sog. Medical Identity Theft summiert sich auf etwa 3,3 Milliarden US-Dollar. Dieser Wert macht alleine etwa 2/3 des gesamten Schadenspotentials für diese Art von Cybercrime bei den gefundenen PACS aus.
Ein anderes Archiv scheint Daten von Angehörigen des US-Militärs (inklusive der sog. DoD-ID) zu enthalten, wenn man vom Namen der medizinischen Einrichtung und anderen Hinweisen ausgeht. Obwohl die Zahl der Datensätze nicht besonders hoch ist, bedeutet der Umstand alleine, dass hier eine Reihe von Varianten zur Ausnutzung möglich sind (über die im ersten Bericht beschriebenen hinaus).
Die folgende Grafik verdeutlicht die Situation in den USA, für die betroffenen Bundesstaaten.
(hier klicken für ein hochaufgelöstes Bild, die Nutzung ist freigegeben unter Angabe des Copyrights).
Die Gesamtsituation der PACS-Server in den USA bestätigt unsere Annahmen zu den Schlüsselfaktoren einer hohen Cyberresilienz. Einen Bericht dazu warden wir in den kommenden Wochen veröffentlichen..
Empfohlene Maßnahmen
Im Bericht nennen wir auch einige mögliche Maßnahmen für jeden ‚Beteiligten‘. Diese Maßnahmen sind einfache Schritte die es wahrscheinlicher machen, Geräte die unnötigerweise mit dem Internet verbundene sind zu finden. Für Patienten sind es Tips, wie sie sicherstellen das der medizinische Dienstleister, der Arzt oder Radiologe versteht, wie wichtig die Sicherheit und der Schutz der eigenen Daten zu nehmen ist.
The report
Greenbone’s aktualisierter Bericht ist hier [1] zum Download, in englischer Sprache.
Unsere White Paper [2] zum tieferen Einstieg in die Digitale Widerstandsfähigkeit von Kritischen Infrastrukturen inklusive des Gesundheitssektors sind hier.
Wie bereits im ersten Bericht zum Ausdruck gebracht, geben wir aufgrund der Sensibilität der Daten Details für einzelne Systeme beziehungsweise die Detaillisten eines bestimmten Landes nur an berechtigte Stellen, zum Beispiel die jeweiligen Datenschutzbehörde des Landes, heraus.
Ausblick
Die erwähnte Studie zu Fähigkeiten die notwendig sind um eine höhere Cyber-Resilienz zu erreichen wird in den kommenden Tagen veröffentlicht. Diese Studie umfasst die großen Wirtschaftsnationen der Welt und 6 Sektoren, die als Kritische Nationale Infrastrukturen gesehen werden. Diese sind:
Gesundheit
Finanzen
Transport
Energie
Wasser
IT&Telekommunications
Mehr dazu dann auch hier im Blog.
Anmerkung: Wir haben keine kompletten Datensätze oder vollständige Archive heruntergeladen sondern nur auf die Zahlen der einzelnen Systeme geachtet wofür ein Download nicht notwendig ist. Ein Download wäre allerdings jederzeit möglich gewesen.
https://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpg00Dirk Schraderhttps://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpgDirk Schrader2019-11-22 11:59:212019-11-28 11:23:25„Good“, „Bad“, und “Ugly” - die Anzahl an vertraulichen Patientendaten und Bildern ungeschützt zugänglich im Internet steigt immer weiter
Medizinische Systeme und Prozesse des Gesundheitssektors werden immer weiter digitalisiert. Dafür nutzen Arztpraxen und Krankhäuser – wie alle anderen Branchen auch – die Technologien des Internets und vernetzen sich auf IP-Basis untereinander. Das dies gründlich schief gehen kann, zeigt eine globale Daten- und Informationssicherheitsanalyse von medizinischen Bildarchivierungssystemen.
Die Ausgangslage
Röntgenbilder und andere bildgebende Verfahren wie CT und MRT sind aus dem Klinikalltag schon lange nicht mehr wegzudenken. Diese daraus resultierenden Bilder helfen Ärzten und Therapeuten dabei, eine Diagnose zu stellen, für einen Patienten die richtige Behandlung zu erarbeiten oder den Behandlungsfortschritt zu beobachten und zu dokumentieren. Dazu nutzen Klinikbetriebe umfangreiche Bildarchivierungsysteme, sogenannte PACS-Server (Picture Archiving and Communication Systems-Server), in denen die Bilder gespeichert werden und von Medizinern bei Bedarf abgerufen werden können. Das PACS-Server angreifbar sind, ist schon länger bekannt [1]. Was bis heute unbekannt war, ist, wie groß und verbreitet dieses globale Datenleck tatsächlich ist.
Doch worum geht es genau. Einfach formuliert, betrifft dieses Datenleck einen Standard, der in den 80er Jahren entwickelt wurde. Dieser Standard nennt sich DICOM (Digital Imaging and Communications in Medicine) und beschreibt, wie Medizingeräte der Bildgebung miteinander vernetzt werden können, um so Informationen zu Patienten und Bildern auszutauschen und zu archivieren. PACS-Server nutzen diesen Standard, der auch die Verwendung des IP-Protokolls einbezieht. Damit sind diese Systeme auch im Internet auffindbar. Die daraus entstandene Liste an IP-Adressen war Gegenstand der Sicherheitsanalyse.
Die Schwächen
Sowie etwas mit dem öffentlichen Internet verbunden wird, stellt sich die Frage nach der Absicherung des jeweiligen Systems vor unbefugtem Zugriff. Wer soll was mit dem System machen können? Für die gefundenen Archivsysteme scheint die Antwort, sei sie noch zu unbeabsichtigt, zu sein: Jeder und alles.
Wie zu erwarten, enthalten diese Archive sensible medizinische und persönliche Informationen von Millionen von Menschen weltweit. Name, Geburtsdatum, Datum einer Untersuchung, Details der Untersuchung, behandelnde Ärzte, Kliniken, bis hin zu Informationen wie der amerikanischen Social Security Number und den eigentlichen Bildern, ist alles abrufbar und teilweise als Download verfügbar.
Das dies möglich ist, liegt an der nachlässigen Konfiguration dieser Systeme, die ohne jeglichen Schutz, ohne Passwort oder Verschlüsselung, diese Daten einem Internetnutzer, der ein paar Handgriffe tätigt, bereitstellen.
Der Begriff Internetnutzer ist ganz bewusst gewählt, denn für diese Abfrage muss kein Code geschrieben werden, keine Software-Schwachstelle ausgenutzt werden, oder eine Zero-Day-Attacke gefahren werden. Man muss also kein Hacker sein, um sich Zugang zu diesen hochsensiblen Daten zu verschaffen, sondern bekommt unter Zuhilfenahme von frei verfügbaren Tools direkt auf den Bildschirm geliefert. Um diese Daten zu sehen und – falls gewünscht – herunterzuladen, benötigt man nur eine Liste von IPs und einen entsprechenden Viewer. Beides gibt es zum Download im Netz.
Das Ausmaß
Die Zahlen, die dabei zusammenkamen, sind erschreckend. Über 24 Millionen Datensätze mit mehr als 700 Millionen verlinkten Bildern. Aus diesen sind 400 Millionen tatsächlich herunterladbar. Diese ungeschützten Systeme stehen in 52 Ländern der Welt. Neben der “Offenheit‘“ der Systeme, haben diese auch noch tausende „echte“ Schwachstellen, also veraltete Webserver-Versionen und angreifbare Datenbank-Instanzen. Zum Teil erlauben es die PACS-Server auch, via http und einen Webbrowser die Patientendaten und Bilder zu betrachten.
Der Bericht
Greenbone hat einen vollständigen Bericht verfasst, der hier zum Download [2] zur Verfügung steht. Der Bericht enthält weitere Zusammenfasungen der Gesamtsituation, eine Analyse des Gefahrenpotentials verbunden mit diesem Datenleck sowie eine Schätzung, welche Summe dieser Datenschatz im Darknet möglicherweise erbringen könnte. Für einen tieferen Einstieg in die digitale Widerstandsfähigkeit von kritischen Infrastrukturen, zu denen der Gesundheitssektor gehört, ist das Whitepaper [3] geeignet. Hier erhalten Sie weitere allgemeine Informationen zum Thema Datensicherheit.[4]
Details für einzelne Systeme beziehungsweise die Detaillisten eines bestimmten Landes, geben wir aufgrund der Sensibilität der Daten nur an berechtigte Stellen, zum Beispiel die jeweiligen Datenschutzbehörde des Landes, heraus.
Anmerkung: Wir haben keine kompletten Datensätze oder vollständige Archive heruntergeladen sondern nur auf die Zahlen der einzelnen Systeme geachtet wofür ein Download nicht notwendig ist. Ein Download wäre allerdings jederzeit möglich gewesen.
https://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpg00Dirk Schraderhttps://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpgDirk Schrader2019-09-16 18:13:132020-01-08 14:56:31Ungeschützte Patientendaten im Internet – ein massives globales Datenleck
Regierungen diskutieren regelmäßig, IT-Schwachstellen als Cyberwaffen für Hack Backs zu nutzen. Die Geschichte der Microsoft-Schwachstelle EternalBlue macht eines deutlich: Das kann sehr teuer werden. Regierungen sollten sich intensiv überlegen, ob die Vorteile einer Schwachstelle als Cyberwaffe die potenziellen Schäden für Bürger und Unternehmen wirklich überwiegen.
Am 12. Mai 2017 begann der Trojaner WannaCry sein Unwesen – mit dramatischen Folgen. Die Schadsoftware entstand aus einer Cyberwaffe, die einer Regierungsbehörde „verloren“ gegangen war. Die immensen Schäden waren ein Weckruf für Unternehmen auf der ganzen Welt. Dennoch denken Regierungen immer noch darüber nach, Cyberwaffen für sogenannte „Hack Backs“ zu sammeln, zu speichern und im Notfall zu verwenden. Das heißt: Server und Daten von Gegnern zu zerstören, zu deaktivieren oder auszuspionieren.
Der Graumarkt für Schwachstellen und Cyberwaffen ist sehr lukrativ: Potente Schwachstellen und die damit verbundenen Exploits werden mittlerweile zu Preisen von über 1 Million Dollar, wenn sie auf Windows-Desktops und -Server abzielen. Die Zahl kann sich für Exploits bei mobilen Geräten (insbesondere Apple) verdoppeln. Wenn die Regierungen ihre Pläne zum „Hack Back“ durchsetzen, ist zu erwarten, dass dieser Markt in Zukunft noch profitabler wird. Doch ist das erstrebenswert?
Die Chronik von EternalBlue
EternalBlue, so der Name einer Microsoft-Schwachstelle, wurde von der National Security Agency (NSA) in den Jahren 2011 oder 2012 „entdeckt“. Die NSA behielt ihr Wissen zunächst für sich. Allerdings gingen bis Mitte 2016 die Informationen über die Schwachstelle und deren Exploits quasi bei der NSA verschütt. Gleichzeitig wurden diese an eine Hackergruppe namens Shadow Brokers geleaket. Die Gruppe versuchte erfolglos diese Informationen im August 2016 zu verkaufen und beschloss schließlich, ihr Wissen um den Jahreswechsel herum zu veröffentlichen.
Als die Katze aus dem Sack war, musste die NSA handeln. Sie hatte keine andere Wahl, als die Schwachstelle nun doch preiszugeben. So informierte sie Microsoft im März 2017 über EternalBlue. Mitte des gleichen Monats veröffentlichte Microsoft eine Reihe von Patches – zu spät um Pandora’s Box geschlossen zu halten.
Fast zwei Monate später richtete der Trojaner WannaCry, der die EternalBlue-Schachstelle ausnutzt, teils verheerende Schäden bei zahlreichen Unternehmen auf der ganzen Welt an. So wurde bekannt, dass WannaCry und ähnliche Malware-Varianten, wie NotPetya, in nur einem Jahr 9 Milliarden Dollar Schaden verursachte. Die weltgrößte Reederei, Maersk, wurde mit 300 Millionen US-Dollar getroffen. Die Kosten für den britischen National Health Services (NHS) lagen bei über 100 Millionen US-Dollar. Es gab noch zahlreiche andere Opfer, darunter der Flugzeughersteller Boeing (März 2018) und der Chiphersteller TSMC (August 2018). Nach Schätzungen von TSMC selbst erlitt das Unternehmen einen Schaden um die 170 Millionen Dollar Schaden. Doch damit nicht genug. Untersuchungen zufolge sind Millionen von Computern immer noch durch EternalBlue gefährdet.
Die Ökonomie des Cyberwaffen-Marktes
Zweifelsohne lohnt es sich finanziell, Zeit und Geld aufzuwenden, um Schwachstellen aufzufinden. Nehmen wir den CryptoWall-Virus: CryptoWall v3 allein hat einen „Umsatz“ von mehr als 325 Millionen Dollar erzielt. Das Geschäftsmodell und die Margen im Einzel- und Großhandel mit Cyberwaffen sowie die Einnahmechancen aus dem Angebot von „Cybercrime-as-a-Service“ machen nicht nur wirtschaftlich Sinn, sondern sind auch absurderweise relativ risikofrei. Die Cybergesetze der einzelnen Länder sind so unterschiedlich, dass ein Cyberkrimineller von einem sicheren Hafen aus operieren kann, ohne Angst vor Strafverfolgung oder Auslieferung haben zu müssen.
Dabei sind Schwachstellen, die bestimmte Kriterien erfüllen, besonders begehrt und werden mit hohen Summen bezahlt. Als Faustregel: Je einfacher die Bedienung und je mehr Systeme und Geräte betroffen sind, desto besser. Je teurer der Gegenwert, desto höher der Preis, der erzielt wird. Der Verkauf einer hochkarätigen Schwachstelle an einen einzelnen Benutzer scheint die am wenigsten profitable Art zu sein, dieses „Geschäft“ zu betreiben. Stattdessen wird der Verkäufer eher versuchen, eine Schwachstelle mehr als einmal zu verkaufen. Auf der anderen Seite will jeder Käufer – unabhängig von seiner Motivation für den Kauf – die Schwachstelle ausschließlich nutzen. Anträge auf Exklusivität erhöhen den Preis für jede Schwachstelle. Zwar gibt es keine dokumentierten Fälle, aber vermutlich steigt der Preis bei Exklusivrechten um den Faktor zehn oder sogar mehr.
Auf der anderen Seite: je mehr Käufer die Schwachstelle kennen, desto wahrscheinlicher ist es, dass deren Potenzial aufgrund von Leaks oder, weil sie „in the wild“ entdecktwurde, verloren geht. Das übt deflationären Druck auf den Preis aus. Der Verkäufer muss also stets abwägen, wie häufig er eine Schwachstelle verkauft und welchen Preis er von jedem Käufer dafür verlangt.
Ein neuartiger Ansatz besteht darin, ein Servicemodell um Schwachstellen herum aufzubauen. Anstatt die Schwachstelle zu verkaufen, lizenziert der Cyberkriminelle ihre Nutzung, indem er einfach eine Plattform für Ransomware oder Botnets bereitstellt. Diese gemeinsame Nutzung einer Schwachstelle durch Viele, ist die moderne Art, ein Cybercrime-Geschäft zu betreiben. Alle Käufer zahlen hier einen „fairen“ Anteil von bis zu 50 Prozent ihrer eigenen Rendite an den Plattformanbieter. Die Akteure dahinter können es sich leisten, die Entwickler zu bezahlen, die die Plattform pflegen und auch Hackern die Suche nach neuen Schwachstellen zu ermöglichen. Sogar ein Amazon-Ansatz mit Empfehlungen zufriedener Nutzer ist denkbar. Dies erhöht die Reichweite und Benutzerfreundlichkeit der Plattform. Beispiele für diese „As-a-Service“-Plattformen sind CERBER, SATAN oder DOT.
Staatlich sanktioniert, staatlich gefördert oder staatseigen
Vor allem das Verhältnis dieser kriminellen Akteure zu Staaten muss unter die Lupe genommen werden. Dabei spielt es keine Rolle, ob die Akteure zu einer Regierung gehören oder von ihr geleitet werden, ob sie von einer Regierung finanziert werden, aber außerhalb der gesetzlichen Kontrollen einer Behörde handeln, oder ob sie staatlich sanktioniert werden. Was auch immer die Art der Beziehung ist, sie haben eine Motivation, die politischen Ziele einer bestimmten Regierung zu unterstützen.
Jeder staatlich gelenkte Akteur muss seine eigene Liste von Cyberwaffen führen, die er bei Bedarf einsetzen kann. Es besteht eine innere Gefahr, wie EternalBlue zeigt. Selbst wenn dieser Akteur in der Lage ist, die Geheimhaltung eines solchen Exploits aufrechtzuerhalten, wird es immer andere staatliche Akteure geben, die genau dasselbe tun und nach den gleichen hochkarätigen Schwachstellen suchen, die man ausnutzen kann.
Regierungen müssen sich fragen, ob die wahrscheinlichen Kosten für die Beeinträchtigung ihrer Gesellschaft durch eine ihnen bekannte, aber unveröffentlichte Schwachstelle die Vorteile des Zurückhaltens überwiegen. Es gibt viele Regierungskomitees auf der ganzen Welt, die das Für und Wider von Hack Backs und dem Nichtveröffentlichen von Schwachstellen diskutieren. Die Befürworter bringen „Interessen der nationalen Sicherheit“ als Argument an. Was passiert jedoch, wenn sich eine unveröffentlichte Schwachstelle, die dem Staat jedoch bekannt ist, gegen ihre eigene kritische Infrastruktur wendet? Genau das ist mit EternalBlue und WannaCry passiert. Doch vielleicht müssen diese Lektionen erst noch gelernt werden.
Unterm Strich ein klares Nein
Die jährlichen Schäden durch Cyberkriminalität weltweit zu erfassen ist nicht leicht, aber es gibt Schätzungen: Eine der genannten Zahlen liegt im Bereich von sechs Billionen US-Dollar. Angesichts der Tatsache, dass Cyberkriminalität die Einnahmen und Gewinne der Unternehmen trifft, folgt daraus, dass dies einen negativen Einfluss auf die Höhe der Steuergelder hat, die von den Regierungen der Unternehmen erhoben werden können – derzeit 1,3 Billionen US-Dollar weltweit.
Die Rechnung geht in etwa so: Sechs Billionen Dollar Schaden multipliziert mit einem durchschnittlichen Unternehmenssteuersatz von 22 Prozent entspricht 1,32 Billionen Dollar nicht realisierter Steuern – aufgrund reduzierter Einnahmen im Zusammenhang mit Schäden oder entstandenen Kosten durch Cyberkriminalität. Interessanterweise beträgt der Gesamthaushalt der fünf größten westlichen Volkswirtschaften 12,3 Billionen Dollar, während ihr gesamtes Haushaltsdefizit 1,23 Billionen Dollar beträgt. Lohnt es sich also, Cyberwaffen zu behalten? Angesichts dieser Zahlen muss die Antwort Nein lauten.
https://www.greenbone.net/wp-content/uploads/AdobeStock_174481608_klein.jpg393800Dirk Schraderhttps://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpgDirk Schrader2019-07-30 09:04:072019-07-30 09:04:07Schwachstellen zu Cyberwaffen formen – oder doch lieber schließen?
This portal uses cookies to optimise the browser function. Find out how we use cookies and how you can change your settings.Accept CookiesReject CookiesMore Info
„Good“, „Bad“, und “Ugly” – die Anzahl an vertraulichen Patientendaten und Bildern ungeschützt zugänglich im Internet steigt immer weiter
Blog60 Tage später ist es um die weltweite Situtation der ungeschützten PACS Sever nicht besser geworden. Im Gegenteil, gerade in den USA scheint es ein unaufhaltsames IT-Sicherheits- bzw Datenschutz-Desaster zu sein.
1.19 Milliarden Bilder
Das ist die Anzahl an Bildern die mit den ungeschützten medizinischen Untersuchungen verknüpft sind, die wir während unseres Reviews zum globalen Status von medizinischen Bildarchiven im Internet gefunden haben, ein Zuwachs von 60% (von vorher 737 Millionen). Weitere Details finden sich in unserem aktualisierten Bericht darüber wie sich dieser Status in den letzten 60 Tagen seit unserem ersten Report entwickelt hat, wobei diese Zahl verknüpft ist mit mehr als 35 Millionen radiologischen Untersuchungen von Patienten weltweit (ein Plus von 40%, vorher 24,5 Millionen), was – einfach gesagt – beängstigend ist.
Ignoranz oder Gleichgültigkeit?
“Check again” ist eines der Mantras in der Informationssicherheit und insbesondere im Schwachstellen-Management. Stetiges Wiederholen eines Checks zeigt erst auf, wie sich der eigene Cyber-Security-Status entwickelt, ob die getroffenen Maßnahmen und eingesetzten Werkzeuge auch wirklich funktionieren und den gewünschten Nutzen bringen. Basierend auf diesem Ansatz haben wir uns entschieden, relativ zeitnah nach dem ersten Bericht ein Review durchzuführen. Und zwar 60 Tage später, denn diese Zeitspanne ist in den USA (als hauptsächlich betroffenes Land) der Zeitrahmen in dem ein Datenleck im Gesundheitssektor gemeldet werden muss.
Allerdings haben wir nicht erwartet, noch mehr Patientendaten zu finden, mit noch mehr verknüpften Bildern. Die Frage nach Ignoranz oder Gleichgültigkeit kann eigentlich nur mit „beides, und zwar in einer ungesunden Kombination“ beantwortet werden, denn für die meisten der von uns geprüften Systeme hatten und haben wir immer noch Zugang zu den persönlichen Daten und Gesundheitsinformationen.
Es gibt so etwas wie einen Hoffnungsschimmer, da es einige Länder geschafft haben, die jeweiligen identifizierten Archiv-Server komplett aus dem öffentlichen Internet zu nehmen. Allerdings wird diese Hoffnung wieder getrübt durch die gestiegene Anzahl an zugänglichen Untersuchungen und Bildern, sowie den neuen Ländern auf unserer Liste.
“Good, bad und ugly”
Hoffnung macht, das sich die Gesamtzahl an PACS-Servern um 43 reduziert hat. Allerdings ist das nu ein kleiner Anteil am Gesamten (<10%). Bei näherer Betrachtung der Ergebnisse lassen sich drei Gruppen von Ländern in unseren Daten zusammenfassen.
Ländern (wie oben erwähnt) die es geschafft haben, alle gefundenen System aus dem öffentlichen Internet zu nehmen. Die Situation hat sich zum Guten gewandelt.
Länder in denen wir immer noch viele System finden und abfragen können, in denen sich die Situation also nicht oder nur sehr geringfügig verändert hat. Die Situation ist immer noch schlecht.
Diese Gruppe besteht aus wenigen Ländern, wo die Situation der Archivsysteme vehement schlechter geworden ist, die Zahlen stark nach oben gingen, sie also häßlich wurde.
Neue Datenpunkte
Für die letzte Gruppe an Ländern haben wir auch weitere Datenpunkte hinzugefügt. Einer davon ist der Standort des PACS-Servers im Land, die wir auf Bundesstaaten bzw. Provinzen eingegrenzt haben. Ein anderer ist die Anzahl der in den Daten gefundenen medizinischen Einrichtungen und Ärzten bzw Therapeuten. Beide sind nicht einfach, da sie nur als Annäherung zu sehen sind und evtl. Falsch interpretiert werden könnten (zB wenn wir Städte und Gemeinden nennen würden anstelle von Bundesstaaten). Der präzise Standort eines Archives bedeutet nicht, dass sämtliche Daten im System von Patienten aus der näheren Umgebung stammen (daher nur die Verortung auf Bundesstaat bzw Provinz). Wie schon im ersten Bericht haben wir die Daten zur Laufzeit analysiert und keine Datensätze auf unseren Systemen gespeichert. Nur Zählungen und Zusammenfasungen, sowie Indikatoren für den Standort haben wir tatsächlich gespeichert.
Besonderer Blick auf die USA
Die USA sind das am stärksten von diesem Datenleck betroffene Land, Darum haben wir uns die Situation dort und die Daten etwas genauer angesehen. Nicht nur sind die Gesamtzahlen für Untersuchungen und Bilder noch oben geschnellt, wir haben auch einige alarmierende Datensätze in den ungeschützen PACS-Servern in den USA gefunden.
Ein sehr großes Archiv erlaubt vollen Zugriff auf die PHI (Personal Health Information) inclusive aller verknüpften Bilder zu ca. 1,2 Million Untersuchungen. Hinzu kommt, das etwa 75% der Datensätze auch die Social Security Number des Patienten enthalten. Das Schadenspotential für den sog. Medical Identity Theft summiert sich auf etwa 3,3 Milliarden US-Dollar. Dieser Wert macht alleine etwa 2/3 des gesamten Schadenspotentials für diese Art von Cybercrime bei den gefundenen PACS aus.
Ein anderes Archiv scheint Daten von Angehörigen des US-Militärs (inklusive der sog. DoD-ID) zu enthalten, wenn man vom Namen der medizinischen Einrichtung und anderen Hinweisen ausgeht. Obwohl die Zahl der Datensätze nicht besonders hoch ist, bedeutet der Umstand alleine, dass hier eine Reihe von Varianten zur Ausnutzung möglich sind (über die im ersten Bericht beschriebenen hinaus).
Die folgende Grafik verdeutlicht die Situation in den USA, für die betroffenen Bundesstaaten.
(hier klicken für ein hochaufgelöstes Bild, die Nutzung ist freigegeben unter Angabe des Copyrights).
Die Gesamtsituation der PACS-Server in den USA bestätigt unsere Annahmen zu den Schlüsselfaktoren einer hohen Cyberresilienz. Einen Bericht dazu warden wir in den kommenden Wochen veröffentlichen..
Empfohlene Maßnahmen
Im Bericht nennen wir auch einige mögliche Maßnahmen für jeden ‚Beteiligten‘. Diese Maßnahmen sind einfache Schritte die es wahrscheinlicher machen, Geräte die unnötigerweise mit dem Internet verbundene sind zu finden. Für Patienten sind es Tips, wie sie sicherstellen das der medizinische Dienstleister, der Arzt oder Radiologe versteht, wie wichtig die Sicherheit und der Schutz der eigenen Daten zu nehmen ist.
The report
Greenbone’s aktualisierter Bericht ist hier [1] zum Download, in englischer Sprache.
Unsere White Paper [2] zum tieferen Einstieg in die Digitale Widerstandsfähigkeit von Kritischen Infrastrukturen inklusive des Gesundheitssektors sind hier.
Wie bereits im ersten Bericht zum Ausdruck gebracht, geben wir aufgrund der Sensibilität der Daten Details für einzelne Systeme beziehungsweise die Detaillisten eines bestimmten Landes nur an berechtigte Stellen, zum Beispiel die jeweiligen Datenschutzbehörde des Landes, heraus.
Ausblick
Die erwähnte Studie zu Fähigkeiten die notwendig sind um eine höhere Cyber-Resilienz zu erreichen wird in den kommenden Tagen veröffentlicht. Diese Studie umfasst die großen Wirtschaftsnationen der Welt und 6 Sektoren, die als Kritische Nationale Infrastrukturen gesehen werden. Diese sind:
Mehr dazu dann auch hier im Blog.
Anmerkung: Wir haben keine kompletten Datensätze oder vollständige Archive heruntergeladen sondern nur auf die Zahlen der einzelnen Systeme geachtet wofür ein Download nicht notwendig ist. Ein Download wäre allerdings jederzeit möglich gewesen.
[1] Greenbone Security Report – Unprotected Patient Data, a review
[2] Greenbone Whitepaper – Gesundheit
Ungeschützte Patientendaten im Internet – ein massives globales Datenleck
BlogMedizinische Systeme und Prozesse des Gesundheitssektors werden immer weiter digitalisiert. Dafür nutzen Arztpraxen und Krankhäuser – wie alle anderen Branchen auch – die Technologien des Internets und vernetzen sich auf IP-Basis untereinander. Das dies gründlich schief gehen kann, zeigt eine globale Daten- und Informationssicherheitsanalyse von medizinischen Bildarchivierungssystemen.
Die Ausgangslage
Röntgenbilder und andere bildgebende Verfahren wie CT und MRT sind aus dem Klinikalltag schon lange nicht mehr wegzudenken. Diese daraus resultierenden Bilder helfen Ärzten und Therapeuten dabei, eine Diagnose zu stellen, für einen Patienten die richtige Behandlung zu erarbeiten oder den Behandlungsfortschritt zu beobachten und zu dokumentieren. Dazu nutzen Klinikbetriebe umfangreiche Bildarchivierungsysteme, sogenannte PACS-Server (Picture Archiving and Communication Systems-Server), in denen die Bilder gespeichert werden und von Medizinern bei Bedarf abgerufen werden können. Das PACS-Server angreifbar sind, ist schon länger bekannt [1]. Was bis heute unbekannt war, ist, wie groß und verbreitet dieses globale Datenleck tatsächlich ist.
Doch worum geht es genau. Einfach formuliert, betrifft dieses Datenleck einen Standard, der in den 80er Jahren entwickelt wurde. Dieser Standard nennt sich DICOM (Digital Imaging and Communications in Medicine) und beschreibt, wie Medizingeräte der Bildgebung miteinander vernetzt werden können, um so Informationen zu Patienten und Bildern auszutauschen und zu archivieren. PACS-Server nutzen diesen Standard, der auch die Verwendung des IP-Protokolls einbezieht. Damit sind diese Systeme auch im Internet auffindbar. Die daraus entstandene Liste an IP-Adressen war Gegenstand der Sicherheitsanalyse.
Die Schwächen
Sowie etwas mit dem öffentlichen Internet verbunden wird, stellt sich die Frage nach der Absicherung des jeweiligen Systems vor unbefugtem Zugriff. Wer soll was mit dem System machen können? Für die gefundenen Archivsysteme scheint die Antwort, sei sie noch zu unbeabsichtigt, zu sein: Jeder und alles.
Wie zu erwarten, enthalten diese Archive sensible medizinische und persönliche Informationen von Millionen von Menschen weltweit. Name, Geburtsdatum, Datum einer Untersuchung, Details der Untersuchung, behandelnde Ärzte, Kliniken, bis hin zu Informationen wie der amerikanischen Social Security Number und den eigentlichen Bildern, ist alles abrufbar und teilweise als Download verfügbar.
Das dies möglich ist, liegt an der nachlässigen Konfiguration dieser Systeme, die ohne jeglichen Schutz, ohne Passwort oder Verschlüsselung, diese Daten einem Internetnutzer, der ein paar Handgriffe tätigt, bereitstellen.
Der Begriff Internetnutzer ist ganz bewusst gewählt, denn für diese Abfrage muss kein Code geschrieben werden, keine Software-Schwachstelle ausgenutzt werden, oder eine Zero-Day-Attacke gefahren werden. Man muss also kein Hacker sein, um sich Zugang zu diesen hochsensiblen Daten zu verschaffen, sondern bekommt unter Zuhilfenahme von frei verfügbaren Tools direkt auf den Bildschirm geliefert. Um diese Daten zu sehen und – falls gewünscht – herunterzuladen, benötigt man nur eine Liste von IPs und einen entsprechenden Viewer. Beides gibt es zum Download im Netz.
Das Ausmaß
Die Zahlen, die dabei zusammenkamen, sind erschreckend. Über 24 Millionen Datensätze mit mehr als 700 Millionen verlinkten Bildern. Aus diesen sind 400 Millionen tatsächlich herunterladbar. Diese ungeschützten Systeme stehen in 52 Ländern der Welt. Neben der “Offenheit‘“ der Systeme, haben diese auch noch tausende „echte“ Schwachstellen, also veraltete Webserver-Versionen und angreifbare Datenbank-Instanzen. Zum Teil erlauben es die PACS-Server auch, via http und einen Webbrowser die Patientendaten und Bilder zu betrachten.
Der Bericht
Greenbone hat einen vollständigen Bericht verfasst, der hier zum Download [2] zur Verfügung steht. Der Bericht enthält weitere Zusammenfasungen der Gesamtsituation, eine Analyse des Gefahrenpotentials verbunden mit diesem Datenleck sowie eine Schätzung, welche Summe dieser Datenschatz im Darknet möglicherweise erbringen könnte. Für einen tieferen Einstieg in die digitale Widerstandsfähigkeit von kritischen Infrastrukturen, zu denen der Gesundheitssektor gehört, ist das Whitepaper [3] geeignet. Hier erhalten Sie weitere allgemeine Informationen zum Thema Datensicherheit.[4]
Details für einzelne Systeme beziehungsweise die Detaillisten eines bestimmten Landes, geben wir aufgrund der Sensibilität der Daten nur an berechtigte Stellen, zum Beispiel die jeweiligen Datenschutzbehörde des Landes, heraus.
Anmerkung: Wir haben keine kompletten Datensätze oder vollständige Archive heruntergeladen sondern nur auf die Zahlen der einzelnen Systeme geachtet wofür ein Download nicht notwendig ist. Ein Download wäre allerdings jederzeit möglich gewesen.
[1] McAfee.com bzw. CT-GAN: Malicious Tampering of 3D Medical Imagery using Deep Learning
[2] Greenbone Sicherheitsbericht – Ungeschützte Patientendaten im Internet
[3] Greenbone Whitepaper – Gesundheitssektor
[4] Was ist IT-Sicherheit, Informationssicherheit und Datensicherheit?
Schwachstellen zu Cyberwaffen formen – oder doch lieber schließen?
BlogHack Backs – Pro und Kontra
Regierungen diskutieren regelmäßig, IT-Schwachstellen als Cyberwaffen für Hack Backs zu nutzen. Die Geschichte der Microsoft-Schwachstelle EternalBlue macht eines deutlich: Das kann sehr teuer werden. Regierungen sollten sich intensiv überlegen, ob die Vorteile einer Schwachstelle als Cyberwaffe die potenziellen Schäden für Bürger und Unternehmen wirklich überwiegen.
Am 12. Mai 2017 begann der Trojaner WannaCry sein Unwesen – mit dramatischen Folgen. Die Schadsoftware entstand aus einer Cyberwaffe, die einer Regierungsbehörde „verloren“ gegangen war. Die immensen Schäden waren ein Weckruf für Unternehmen auf der ganzen Welt. Dennoch denken Regierungen immer noch darüber nach, Cyberwaffen für sogenannte „Hack Backs“ zu sammeln, zu speichern und im Notfall zu verwenden. Das heißt: Server und Daten von Gegnern zu zerstören, zu deaktivieren oder auszuspionieren.
Der Graumarkt für Schwachstellen und Cyberwaffen ist sehr lukrativ: Potente Schwachstellen und die damit verbundenen Exploits werden mittlerweile zu Preisen von über 1 Million Dollar, wenn sie auf Windows-Desktops und -Server abzielen. Die Zahl kann sich für Exploits bei mobilen Geräten (insbesondere Apple) verdoppeln. Wenn die Regierungen ihre Pläne zum „Hack Back“ durchsetzen, ist zu erwarten, dass dieser Markt in Zukunft noch profitabler wird. Doch ist das erstrebenswert?
Die Chronik von EternalBlue
EternalBlue, so der Name einer Microsoft-Schwachstelle, wurde von der National Security Agency (NSA) in den Jahren 2011 oder 2012 „entdeckt“. Die NSA behielt ihr Wissen zunächst für sich. Allerdings gingen bis Mitte 2016 die Informationen über die Schwachstelle und deren Exploits quasi bei der NSA verschütt. Gleichzeitig wurden diese an eine Hackergruppe namens Shadow Brokers geleaket. Die Gruppe versuchte erfolglos diese Informationen im August 2016 zu verkaufen und beschloss schließlich, ihr Wissen um den Jahreswechsel herum zu veröffentlichen.
Als die Katze aus dem Sack war, musste die NSA handeln. Sie hatte keine andere Wahl, als die Schwachstelle nun doch preiszugeben. So informierte sie Microsoft im März 2017 über EternalBlue. Mitte des gleichen Monats veröffentlichte Microsoft eine Reihe von Patches – zu spät um Pandora’s Box geschlossen zu halten.
Fast zwei Monate später richtete der Trojaner WannaCry, der die EternalBlue-Schachstelle ausnutzt, teils verheerende Schäden bei zahlreichen Unternehmen auf der ganzen Welt an. So wurde bekannt, dass WannaCry und ähnliche Malware-Varianten, wie NotPetya, in nur einem Jahr 9 Milliarden Dollar Schaden verursachte. Die weltgrößte Reederei, Maersk, wurde mit 300 Millionen US-Dollar getroffen. Die Kosten für den britischen National Health Services (NHS) lagen bei über 100 Millionen US-Dollar. Es gab noch zahlreiche andere Opfer, darunter der Flugzeughersteller Boeing (März 2018) und der Chiphersteller TSMC (August 2018). Nach Schätzungen von TSMC selbst erlitt das Unternehmen einen Schaden um die 170 Millionen Dollar Schaden. Doch damit nicht genug. Untersuchungen zufolge sind Millionen von Computern immer noch durch EternalBlue gefährdet.
Die Ökonomie des Cyberwaffen-Marktes
Zweifelsohne lohnt es sich finanziell, Zeit und Geld aufzuwenden, um Schwachstellen aufzufinden. Nehmen wir den CryptoWall-Virus: CryptoWall v3 allein hat einen „Umsatz“ von mehr als 325 Millionen Dollar erzielt. Das Geschäftsmodell und die Margen im Einzel- und Großhandel mit Cyberwaffen sowie die Einnahmechancen aus dem Angebot von „Cybercrime-as-a-Service“ machen nicht nur wirtschaftlich Sinn, sondern sind auch absurderweise relativ risikofrei. Die Cybergesetze der einzelnen Länder sind so unterschiedlich, dass ein Cyberkrimineller von einem sicheren Hafen aus operieren kann, ohne Angst vor Strafverfolgung oder Auslieferung haben zu müssen.
Dabei sind Schwachstellen, die bestimmte Kriterien erfüllen, besonders begehrt und werden mit hohen Summen bezahlt. Als Faustregel: Je einfacher die Bedienung und je mehr Systeme und Geräte betroffen sind, desto besser. Je teurer der Gegenwert, desto höher der Preis, der erzielt wird. Der Verkauf einer hochkarätigen Schwachstelle an einen einzelnen Benutzer scheint die am wenigsten profitable Art zu sein, dieses „Geschäft“ zu betreiben. Stattdessen wird der Verkäufer eher versuchen, eine Schwachstelle mehr als einmal zu verkaufen. Auf der anderen Seite will jeder Käufer – unabhängig von seiner Motivation für den Kauf – die Schwachstelle ausschließlich nutzen. Anträge auf Exklusivität erhöhen den Preis für jede Schwachstelle. Zwar gibt es keine dokumentierten Fälle, aber vermutlich steigt der Preis bei Exklusivrechten um den Faktor zehn oder sogar mehr.
Auf der anderen Seite: je mehr Käufer die Schwachstelle kennen, desto wahrscheinlicher ist es, dass deren Potenzial aufgrund von Leaks oder, weil sie „in the wild“ entdeckt wurde, verloren geht. Das übt deflationären Druck auf den Preis aus. Der Verkäufer muss also stets abwägen, wie häufig er eine Schwachstelle verkauft und welchen Preis er von jedem Käufer dafür verlangt.
Ein neuartiger Ansatz besteht darin, ein Servicemodell um Schwachstellen herum aufzubauen. Anstatt die Schwachstelle zu verkaufen, lizenziert der Cyberkriminelle ihre Nutzung, indem er einfach eine Plattform für Ransomware oder Botnets bereitstellt. Diese gemeinsame Nutzung einer Schwachstelle durch Viele, ist die moderne Art, ein Cybercrime-Geschäft zu betreiben. Alle Käufer zahlen hier einen „fairen“ Anteil von bis zu 50 Prozent ihrer eigenen Rendite an den Plattformanbieter. Die Akteure dahinter können es sich leisten, die Entwickler zu bezahlen, die die Plattform pflegen und auch Hackern die Suche nach neuen Schwachstellen zu ermöglichen. Sogar ein Amazon-Ansatz mit Empfehlungen zufriedener Nutzer ist denkbar. Dies erhöht die Reichweite und Benutzerfreundlichkeit der Plattform. Beispiele für diese „As-a-Service“-Plattformen sind CERBER, SATAN oder DOT.
Staatlich sanktioniert, staatlich gefördert oder staatseigen
Vor allem das Verhältnis dieser kriminellen Akteure zu Staaten muss unter die Lupe genommen werden. Dabei spielt es keine Rolle, ob die Akteure zu einer Regierung gehören oder von ihr geleitet werden, ob sie von einer Regierung finanziert werden, aber außerhalb der gesetzlichen Kontrollen einer Behörde handeln, oder ob sie staatlich sanktioniert werden. Was auch immer die Art der Beziehung ist, sie haben eine Motivation, die politischen Ziele einer bestimmten Regierung zu unterstützen.
Jeder staatlich gelenkte Akteur muss seine eigene Liste von Cyberwaffen führen, die er bei Bedarf einsetzen kann. Es besteht eine innere Gefahr, wie EternalBlue zeigt. Selbst wenn dieser Akteur in der Lage ist, die Geheimhaltung eines solchen Exploits aufrechtzuerhalten, wird es immer andere staatliche Akteure geben, die genau dasselbe tun und nach den gleichen hochkarätigen Schwachstellen suchen, die man ausnutzen kann.
Regierungen müssen sich fragen, ob die wahrscheinlichen Kosten für die Beeinträchtigung ihrer Gesellschaft durch eine ihnen bekannte, aber unveröffentlichte Schwachstelle die Vorteile des Zurückhaltens überwiegen. Es gibt viele Regierungskomitees auf der ganzen Welt, die das Für und Wider von Hack Backs und dem Nichtveröffentlichen von Schwachstellen diskutieren. Die Befürworter bringen „Interessen der nationalen Sicherheit“ als Argument an. Was passiert jedoch, wenn sich eine unveröffentlichte Schwachstelle, die dem Staat jedoch bekannt ist, gegen ihre eigene kritische Infrastruktur wendet? Genau das ist mit EternalBlue und WannaCry passiert. Doch vielleicht müssen diese Lektionen erst noch gelernt werden.
Unterm Strich ein klares Nein
Die jährlichen Schäden durch Cyberkriminalität weltweit zu erfassen ist nicht leicht, aber es gibt Schätzungen: Eine der genannten Zahlen liegt im Bereich von sechs Billionen US-Dollar. Angesichts der Tatsache, dass Cyberkriminalität die Einnahmen und Gewinne der Unternehmen trifft, folgt daraus, dass dies einen negativen Einfluss auf die Höhe der Steuergelder hat, die von den Regierungen der Unternehmen erhoben werden können – derzeit 1,3 Billionen US-Dollar weltweit.
Die Rechnung geht in etwa so: Sechs Billionen Dollar Schaden multipliziert mit einem durchschnittlichen Unternehmenssteuersatz von 22 Prozent entspricht 1,32 Billionen Dollar nicht realisierter Steuern – aufgrund reduzierter Einnahmen im Zusammenhang mit Schäden oder entstandenen Kosten durch Cyberkriminalität. Interessanterweise beträgt der Gesamthaushalt der fünf größten westlichen Volkswirtschaften 12,3 Billionen Dollar, während ihr gesamtes Haushaltsdefizit 1,23 Billionen Dollar beträgt. Lohnt es sich also, Cyberwaffen zu behalten? Angesichts dieser Zahlen muss die Antwort Nein lauten.