Greenbone - Massive Sicherheitslücke in medizinischen Datenbanken entdeckt

Wie Sie diese Woche mit Sicherheit mitbekommen haben, wurde durch Sicherheitsforscher von Greenbone Networks entdeckt, dass weltweit Patientendaten frei über das Internet erreichbar waren. Dabei handelt es sich um über 24 Millionen Datensätzen mit mehr als 700 Millionen verlinkten Bildern, verteilt auf 52 Länder. In Deutschland alleine gibt es 15.000 Datensätze von Bundesbürgern mit 2,85 Millionen Bildern, viele davon ohne Passwort oder Authentifizierung abrufbar. Diese Informationen wurden durch den CMO Dirk Schrader an den Bayerischen Rundfunk gemeldet und durch BR Recherche geprüft und bestätigt.

Betroffen waren sogenannte PACS (Picture Archiving and Communication Systems) Server, welche über das DICOM (Digital Imaging and Communications in Medicine) Protokoll miteinander kommunizieren. Diese werden weltweit eingesetzt und gelten im medizinischen Sektor als Standard.

In den Patientendaten waren mindestens Name, Geburtsdatum, Datum der Untersuchung, sowie medizinische Anmerkungen zum Grund der Untersuchung enthalten. Je nach Datensatz konnten auch weitere Informationen sowie Bilder enthalten sein.

Das ist nicht nur aus Sicht der DSGVO ein fatales Vergehen, sondern auch ein potenziell großes Problem für die betroffenen Patienten. Das fängt mit dem Vereinfachen von Phising Angriffen mit personalisierter Anrede und Anschrift, dem sogenannten Spear-Phising an. Es geht allerdings weiter über Identitätsdiebstahl bis hin zur Erpressung oder öffentlicher Zurschaustellung im Falle von möglicherweise peinlichen Arztbesuchen. Das Spektrum möglicher Verwendungszwecke ist vielseitig. Man geht davon aus, dass diese Menge von Informationen im Darknet einen Gegenwert von über eine Milliarde Euro hätte.

Greenbone hat zudem auch eine Sicherheits-Analyse der offenen Systeme mit Hilfe des Greenbone Security Managers durchgeführt. Dabei wurden mehr als 10.000 Schwachstellen identifiziert, davon über 20% mit hoher Gefährlichkeit. Es wurden sogar mehr als 500 Schwachstellen mit dem höchsten Schweregrad im Common Vulnerability Scoring System (CVSS 10,0) identifiziert. Das bedeutet, dass jeder aus der Ferne das System komplett übernehmen könnte.

Auch wenn meistens eine im Internet gut dokumentierte Software benötigt wird, die auch ein technischer Laie einsetzen kann, so waren verschiedene Systeme auch direkt über Web-Browser und/oder FTP erreichbar.

Was sind mögliche Gegenmaßnahmen?

Da es sich hier nicht um eine klassische Sicherheitslücke handelt, die mit einem einfachen Softwareupdate aus der Welt geräumt werden kann, muss die Infrastruktur angepasst werden. Zum Beispiel mit Access Control Lists damit nur bestimme IP-Adressen, oder IP-Bereiche Zugriff auf die Systeme erhalten. Dazu sollte zwingend ein Authentifzierungssystem zum Einsatz kommen, welche eingehende Verbindungen nur nach erfolgreicher Anmeldung zulässt.
Auch der Einsatz von VPN Verbindungen für zugangsberechtigte Personen ist stark empfohlen, da dadurch eine Ende-zu-Ende Verschlüsselung bereitgestellt werden kann.
Zudem sollte auch das entsprechende System softwaretechnisch auf einen aktuellen Stand gebracht werden, damit eventuelle vorhandene Sicherheitslücken nicht ausgenutzt werden können.

Wer ist Greenbone Networks?

Greenbone Networks wurde 2008 in Osnabrück gegründet und bietet eine Open-Source basierte Lösung für Schwachstellen-Analyse und -Management, den Greenbone Security Manager (GSM). Mit diesem ist man in der Lage kontinuierlich das Netzwerk und die Geräte im Unternehmen auf bekannte Schwachstellen zu überprüfen. Das können nicht nur Sicherheitslücken sein, sondern auch Fehlkonfigurationen, wie beispielsweise nicht geänderte Standardpasswörter. Diese werden dann in einem Bericht gesammelt und Empfehlungen ausgesprochen, wie man das Problem beseitigen kann. Der GSM agiert abseits des Scannens rein passiv und nimmt selbst keine Veränderungen am Gerät oder Netzwerk vor. Dabei bietet Greenbone sowohl Hardware-, als auch virtuelle-Appliances an die sowohl für kleine Unternehmen, als auch hin bis zu Konzernen alle Bereiche abdecken können. Zudem hat Greenbone Netzworks bei der Lizenzierung den Vorteil, dass die Leistung des Gerätes lizenziert wird und nicht die Anzahl der Geräte/IPs im Unternehmen. Dadurch können Sie beispielsweise eine Appliance mit einer Leistung von bis zu 500 IPs pro Tag erwerben, auch wenn Sie 2.000 IPs im Unternehmen haben. Damit könnten Sie dann jede IP alle 4 Tage scannen.

 

Falls Sie Interesse an einer Teststellung oder einem Projekt mit dem Greenbone Security Manager haben, können Sie uns gerne telefonisch, per E-Mail oder über unser Kontaktformular mit uns in Verbindung treten.

Die mit einem * markierten Felder sind Pflichtfelder.