Viele haben den digitalen Wandel im Gesundheitswesen gelobt. Durch die Modernisierung seiner Technologie verabschiedet sich die Gesundheitsbranche von ineffizienten Datenaustauschmethoden wie dem Faxen. Dank neuer KI-Tools und fortschrittlicher Analysemodelle stattet die Branche ihre Ärzte und Entscheidungsträger in der Wirtschaft außerdem mit mehr Daten als je zuvor aus.
Allerdings bleibt die digitale Transformation des Gesundheitswesens nicht ohne Folgen – mit zunehmender Vernetzung von Geräten und Systemen steigt das Risiko der Offenlegung von Patientendaten. Letzte Woche veröffentlichte der Anbieter von Cybersicherheitssoftware Censys einen Bericht, der zeigt, dass es weltweit mehr als 14.000 eindeutige IP-Adressen gibt, die potenziell sensible medizinische Daten von Patienten im öffentlichen Internet preisgeben.
Dem Bericht zufolge sind offene Ports und Webschnittstellen für den Austausch und die Anzeige medizinischer Bilder für 36 % dieser Risiken verantwortlich. Diese Ports und Webschnittstellen werden hauptsächlich für potenziell sensible medizinische Bilder wie Ultraschall, Röntgen, CT-Scans und MRT verwendet.
Mindestens alle Benutzer, die auf diese Dienste zugreifen, sollten sich authentifizieren müssen, sagte Himaja Motheram, Sicherheitsforscher bei Censys. Sie fügte hinzu, dass die Implementierung der Multi-Faktor-Authentifizierung auch eine zusätzliche Sicherheitsebene bieten könne, die über reine Passwörter hinausgeht.
„Darüber hinaus sollten DICOM-Dienste nach Möglichkeit nicht dem öffentlichen Internet zugänglich gemacht werden – dies ist für ihre Funktionalität unnötig. Stattdessen sollten Organisationen virtuelle private Netzwerke (VPNs) nutzen, um sichere Verbindungen für autorisierte Benutzer herzustellen“, erklärte Motheram.
Dem Bericht zufolge stellten EMR-Systeme mit 28 % die zweitgrößte Belastungsart dar. Wenn die Anmeldeschnittstelle eines EMR offengelegt wird, sind große Mengen an Patientendaten gefährdet, darunter Sozialversicherungsnummern und sensible Krankengeschichten.
Epic ist für mehr als 90 % der im Bericht von Censys beobachteten EMR-Expositionen verantwortlich.
Es ist klar, dass viele Gesundheitsdienstleister darauf vertrauen, dass die Produkte von Epic funktionieren. Dieses Vertrauen bedeutet, dass etwaige Schwachstellen in der Epic-Plattform unverhältnismäßige Auswirkungen auf zahlreiche Gesundheitseinrichtungen haben könnten, betonte Motheram.
„Das EMR von Epic unterstützt die Multi-Faktor-Authentifizierung – eine Seltenheit unter EMRs – was einen positiven Schritt zur Verbesserung der Sicherheit darstellt. Es gibt jedoch nicht genügend Beweise dafür, dass diese Funktion für alle Benutzer durchgehend erforderlich ist. Wie jeder weit verbreitete Anbieter von Software für kritische Infrastrukturen hat Epic eine große Verantwortung, der Sicherheit seiner Produkte Priorität einzuräumen“, erklärte sie.
Der Bericht stellte auch fest, dass es in den USA viel mehr öffentlich zugängliche Gesundheitsanwendungen gibt als in anderen Ländern. Fast 7.000 der 14.004 von Censys gefundenen Expositionen liegen in den USA
Die USA seien unverhältnismäßig vielen Risiken ausgesetzt, weil ihr Gesundheitssystem geografisch und organisatorisch so dezentralisiert sei, bemerkte Motheram.
„Im Gegensatz zu einigen Ländern mit einer stärker zentralisierten Gesundheitsinfrastruktur verfügen die USA über eine riesige Mischung aus großen, überregionalen Krankenhausnetzwerken, medizinischen Fakultäten und Tausenden kleinerer Spezialkliniken, jede mit ihren eigenen Systemen und ihrer eigenen digitalen Infrastruktur. Dies führt überall zu inkonsistenten Sicherheitsstandards, was die Eindämmungs- und Aufklärungsbemühungen im Falle eines kritischen Sicherheitsproblems schwieriger macht“, erklärte sie.
Foto: WhataWin, Getty Images
