DICOM-Server waren schutzlos zugänglich

1,7 Millionen Euro Fördergeld standen den sechs Projektpartnerinnen und -partnern von MITSicherheit.NRW zur Verfügung, um Schwachstellen in der IT-Sicherheit im Gesundheitswesen zu analysieren und um Handlungsempfehlungen zu erarbeiten. Einen offiziellen Abschluss hat das Projekt coronabedingt noch nicht gefunden, die abschließenden Erkenntnisse liegen aber bereits vor. Und sie offenbaren in Teilen ein Bild, das so manche Praxen, aber auch Patientinnen und Patienten nachdenklich stimmen dürfte.

Herr Saatjohann, warum hat sich die FH Münster seinerzeit für das Projekt mitbeworben? Was war die Motivation?

Das Labor für IT-Sicherheit an der FH Münster ist Spezialist für kryptografische Protokolle, also den verschlüsselten Austausch von Daten. Wir haben hier in der Vergangenheit viel Forschung im Bereich der E-Mail-Sicherheit betrieben. Für uns war es spannend, diese Expertise in den Dienst der IT-Sicherheit in Krankenhäusern zu stellen. Vor allem, weil das Projekt extrem interdisziplinär aufgestellt war und wir viele verschiedene Blickwinkel auf die Fragestellungen hatten. Unser Wissen wurde ergänzt durch das der Anwendenden in Praxen und Krankenhäusern und durch das der Entwickelnden von Gesundheits-IT, beispielsweise VISUS. Diese Zusammenarbeit im Netzwerk war extrem befruchtend und schon allein darin liegt ein großer Erfolg des Projekts.

Worin konkret bestand Ihre Aufgabe?

Wir haben uns die Kommunikationsprotokolle, die in Krankenhäusern verwendet werden, vorgeknöpft, also hauptsächlich HL7 und DICOM, und nach Fehlerquellen gesucht. Beispielsweise durch eine manuelle Analyse der Spezifikationen, der Dokumente, die das Protokoll beschreiben. Unser Ziel war es, den Status quo in puncto Sicherheit dieser Protokolle zu ermitteln und darauf basierend Handlungsempfehlungen zu erarbeiten.

Haben Sie Sicherheitslücken gefunden?

Ja. Und zwar keine ganz harmlosen. Wir haben einen Scanner gebaut, mit dem wir das Internet gezielt nach verschiedenen Kommunikationsprotokollen durchsucht haben. Im Rahmen dieses Forschungsprojekts war dies rechtlich möglich. Und wir sind fündig geworden: Diverse DICOM, HL7, Webserver und TI-Konnektoren waren ohne – oder nur wenig – Schutz und Sicherheitsmaßnahmen zugänglich. Die – meist radiologischen – Patientendaten hätten theoretisch mühelos runtergeladen werden können.

Was ist mit diesen „offenen“ Servern passiert?

Wir haben uns über das Bundesamt für Sicherheit in der Informationstechnologie (BSI) an die Betreibenden gewandt und auf die schwerwiegende Sicherheitslücke aufmerksam gemacht. Die Betreibenden der Server in Deutschland haben alle reagiert und die Schwachstelle behoben. Bei den ausländischen DICOM-Serverbetreibenden war das Interesse nicht ganz so groß. Viele Betreibende haben nicht geantwortet oder sich ganz bewusst für diese Variante entschieden. Diese Server bieten also nach wie vor Angriffsfläche.

Was bedeuten diese schwerwiegenden Lücken für den künftigen Austausch medizinischer Daten bzw. radiologischer Bilder? Welche Schlüsse ziehen Sie daraus?

Für zukünftige Anwendungen in der Radiologie ist ein Hebel der DICOM-Standard selbst. DICOM ist ein altes Protokoll mit wenig Sicherheitsmechanismen. Als DICOM in den 1980er-Jahren entwickelt wurde, spielte das einfach noch keine Rolle.

Perspektivisch wäre es sicher sinnvoll – und das ist eine Handlungsempfehlung unsererseits – dass der Standard in Richtung Sicherheit weiterentwickelt wird. Er beinhaltet bereits wesentliche Elemente hierfür. Die werden von den Modalitätenherstellenden aber nicht unterstützt. Ein weiteres Problem, das es zu lösen gilt, ist die Verwaltung der Schlüsselzertifikate, um verschlüsselte DICOM-Kommunikation in der Praxis flächendeckend einsetzen zu können.
Es wäre wünschenswert, hier eine Verbindlichkeit für Herstellende festzulegen und nach einer Übergangsfrist nur noch solche Modalitäten zuzulassen, welche die Sicherheitsanforderungen unterstützen.

Das ist ein Hebel, welchen gibt es noch?

Grundsätzlich liegt die Verantwortung für die IT-Sicherheit bei den Betreibenden, also den Praxen und Kliniken selbst. Mittlerweile müssen nicht mehr nur KRITIS-Häuser gewährleisten, die Daten bestmöglich auf Basis des aktuellen Technikstands zu schützen, sondern auch alle anderen Einrichtungen. Dieser Verpflichtung kommen heute längst nicht alle nach. Auch, weil viele die Kosten scheuen, die damit verbunden sind.

Für mich ist das etwas paradox: Keine Praxis käme auf die Idee, die Gebäudetechnik in die eigene Hand zu nehmen. Das wird an Dienstleistende ausgelagert. Aber für die IT will niemand Geld in die Hand nehmen, da wird lieber der Neffe eines Bekannten engagiert. Diese Einstellung, dass IT-Sicherheit nichts kosten darf, muss sich auf Seiten der Verantwortlichen grundsätzlich ändern. Und natürlich haben die Anwendenden auch noch den Hebel in der Hand, Druck auf die Herstellenden auszuüben.

Vielen Dank für das Gespräch!
 

Unter der Leitung von MedEcon Ruhr, dem Träger des Westdeutschen Teleradiologieverbundes, haben die Unternehmen G Data Advanced Analytics, Visus Health IT und die Radprax Gesellschaft für medizinische Versorgungszentren in 400 Krankenhäusern in Nordrhein-Westfalen neue IT-Produkte und IT-Dienstleistungen erprobt. Forschungsergebnisse der Ruhr-Universität Bochum sowie der FH Münster flossen in die Entwicklung ein. Die im Projekt erarbeiteten Lösungen werden auf einer Kompetenzplattform für Cybersicherheit in der Gesundheitswirtschaft offen zugänglich sein.

Projektpartner

• MedEcon Ruhr
• G DATA
• VISUS
• Radprax
• FH Münster
• Ruhr-Universität Bochum
• Krankenhausgesellschaft NRW
   

Weitere Informationen: mits.nrw