60 Tage später ist es um die weltweite Situtation der ungeschützten PACS Sever nicht besser geworden. Im Gegenteil, gerade in den USA scheint es ein unaufhaltsames IT-Sicherheits- bzw Datenschutz-Desaster zu sein.

1.19 Milliarden Bilder

Das ist die Anzahl an Bildern die mit den ungeschützten medizinischen Untersuchungen verknüpft sind, die wir während unseres Reviews zum globalen Status von medizinischen Bildarchiven im Internet gefunden haben, ein Zuwachs von 60% (von vorher 737 Millionen). Weitere Details finden sich in unserem aktualisierten Bericht darüber wie sich dieser Status in den letzten 60 Tagen seit unserem ersten Report entwickelt hat, wobei diese Zahl verknüpft ist mit mehr als 35 Millionen radiologischen Untersuchungen von Patienten weltweit (ein Plus von 40%, vorher 24,5 Millionen), was – einfach gesagt – beängstigend ist.

Ignoranz oder Gleichgültigkeit?

“Check again” ist eines der Mantras in der Informationssicherheit und insbesondere im Schwachstellen-Management. Stetiges Wiederholen eines Checks zeigt erst auf, wie sich der eigene Cyber-Security-Status entwickelt, ob die getroffenen Maßnahmen und eingesetzten Werkzeuge auch wirklich funktionieren und den gewünschten Nutzen bringen. Basierend auf diesem Ansatz haben wir uns entschieden, relativ zeitnah nach dem ersten Bericht ein Review durchzuführen. Und zwar 60 Tage später, denn diese Zeitspanne ist in den USA (als hauptsächlich betroffenes Land) der Zeitrahmen in dem ein Datenleck im Gesundheitssektor gemeldet werden muss.

Allerdings haben wir nicht erwartet, noch mehr Patientendaten zu finden, mit noch mehr verknüpften Bildern. Die Frage nach Ignoranz oder Gleichgültigkeit kann eigentlich nur mit „beides, und zwar in einer ungesunden Kombination“ beantwortet werden, denn für die meisten der von uns geprüften Systeme hatten und haben wir immer noch Zugang zu den persönlichen Daten und Gesundheitsinformationen.

Es gibt so etwas wie einen Hoffnungsschimmer, da es einige Länder geschafft haben, die jeweiligen identifizierten Archiv-Server komplett aus dem öffentlichen Internet zu nehmen. Allerdings wird diese Hoffnung wieder getrübt durch die gestiegene Anzahl an zugänglichen Untersuchungen und Bildern, sowie den neuen Ländern auf unserer Liste.

“Good, bad und ugly”

Hoffnung macht, das sich die Gesamtzahl an PACS-Servern um 43 reduziert hat. Allerdings ist das nu ein kleiner Anteil am Gesamten (<10%). Bei näherer Betrachtung der Ergebnisse lassen sich drei Gruppen von Ländern in unseren Daten zusammenfassen.

  • „The Good“
    Ländern (wie oben erwähnt) die es geschafft haben, alle gefundenen System aus dem öffentlichen Internet zu nehmen. Die Situation hat sich zum Guten gewandelt.
  • „The Bad”
    Länder in denen wir immer noch viele System finden und abfragen können, in denen sich die Situation also nicht oder nur sehr geringfügig verändert hat. Die Situation ist immer noch schlecht.
  • „The Ugly”
    Diese Gruppe besteht aus wenigen Ländern, wo die Situation der Archivsysteme vehement schlechter geworden ist, die Zahlen stark nach oben gingen, sie also häßlich wurde.

Neue Datenpunkte

Für die letzte Gruppe an Ländern haben wir auch weitere Datenpunkte hinzugefügt. Einer davon ist der Standort des PACS-Servers im Land, die wir auf Bundesstaaten bzw. Provinzen eingegrenzt haben. Ein anderer ist die Anzahl der in den Daten gefundenen medizinischen Einrichtungen und Ärzten bzw Therapeuten. Beide sind nicht einfach, da sie nur als Annäherung zu sehen sind und evtl. Falsch interpretiert werden könnten (zB wenn wir Städte und Gemeinden nennen würden anstelle von Bundesstaaten). Der präzise Standort eines Archives bedeutet nicht, dass sämtliche Daten im System von Patienten aus der näheren Umgebung stammen (daher nur die Verortung auf Bundesstaat bzw Provinz). Wie schon im ersten Bericht haben wir die Daten zur Laufzeit analysiert und keine Datensätze auf unseren Systemen gespeichert. Nur Zählungen und Zusammenfasungen, sowie Indikatoren für den Standort haben wir tatsächlich gespeichert.

Besonderer Blick auf die USA

Die USA sind das am stärksten von diesem Datenleck betroffene Land, Darum haben wir uns die Situation dort und die Daten etwas genauer angesehen. Nicht nur sind die Gesamtzahlen für Untersuchungen und Bilder noch oben geschnellt, wir haben auch einige alarmierende Datensätze in den ungeschützen PACS-Servern in den USA gefunden.

Ein sehr großes Archiv erlaubt vollen Zugriff auf die PHI (Personal Health Information) inclusive aller verknüpften Bilder zu ca. 1,2 Million Untersuchungen. Hinzu kommt, das etwa 75% der Datensätze auch die Social Security Number des Patienten enthalten. Das Schadenspotential für den sog. Medical Identity Theft summiert sich auf etwa 3,3 Milliarden US-Dollar. Dieser Wert macht alleine etwa 2/3 des gesamten Schadenspotentials für diese Art von Cybercrime bei den gefundenen PACS aus.

Ein anderes Archiv scheint Daten von Angehörigen des US-Militärs (inklusive der sog. DoD-ID) zu enthalten, wenn man vom Namen der medizinischen Einrichtung und anderen Hinweisen ausgeht. Obwohl die Zahl der Datensätze nicht besonders hoch ist, bedeutet der Umstand alleine, dass hier eine Reihe von Varianten zur Ausnutzung möglich sind (über die im ersten Bericht beschriebenen hinaus).

Die folgende Grafik verdeutlicht die Situation in den USA, für die betroffenen Bundesstaaten.

 

(hier klicken für ein hochaufgelöstes Bild, die Nutzung ist freigegeben unter Angabe des Copyrights).

Die Gesamtsituation der PACS-Server in den USA bestätigt unsere Annahmen zu den Schlüsselfaktoren einer hohen Cyberresilienz. Einen Bericht dazu warden wir in den kommenden Wochen veröffentlichen..

Empfohlene Maßnahmen

Im Bericht nennen wir auch einige mögliche Maßnahmen für jeden ‚Beteiligten‘. Diese Maßnahmen sind einfache Schritte die es wahrscheinlicher machen, Geräte die unnötigerweise mit dem Internet verbundene sind zu finden. Für Patienten sind es Tips, wie sie sicherstellen das der medizinische Dienstleister, der Arzt oder Radiologe versteht, wie wichtig die Sicherheit und der Schutz der eigenen Daten zu nehmen ist.

The report

Greenbone’s aktualisierter Bericht ist hier [1] zum Download, in englischer Sprache.

Unsere White Paper [2] zum tieferen Einstieg in die Digitale Widerstandsfähigkeit von Kritischen Infrastrukturen inklusive des Gesundheitssektors sind hier.

Wie bereits im ersten Bericht zum Ausdruck gebracht, geben wir aufgrund der Sensibilität der Daten Details für einzelne Systeme beziehungsweise die Detaillisten eines bestimmten Landes nur an berechtigte Stellen, zum Beispiel die jeweiligen Datenschutzbehörde des Landes, heraus.

Ausblick

Die erwähnte Studie zu Fähigkeiten die notwendig sind um eine höhere Cyber-Resilienz zu erreichen wird in den kommenden Tagen veröffentlicht. Diese Studie umfasst die großen Wirtschaftsnationen der Welt und 6 Sektoren, die als Kritische Nationale Infrastrukturen gesehen werden. Diese sind:

  •     Gesundheit
  •     Finanzen
  •     Transport
  •     Energie
  •     Wasser
  •     IT&Telekommunications

Mehr dazu dann auch hier im Blog.

Anmerkung: Wir haben keine kompletten Datensätze oder vollständige Archive heruntergeladen sondern nur auf die Zahlen der einzelnen Systeme geachtet wofür ein Download nicht notwendig ist. Ein Download wäre allerdings jederzeit möglich gewesen.

[1] Greenbone Security Report – Unprotected Patient Data, a review

[2] Greenbone Whitepaper – Gesundheit