Patientendaten von der MedUni Wien ungeschützt im Netz

Ungeschützte Patientendaten im Netz sind etwas Unangenehmes. Denn als Patient möchte man sich keine Sorgen machen, dass heikle medizinische Befunde über einen frei abrufbar sind. Der Wiener Sicherheitsforscher Sebastian Bicchi hat an der Medizinischen Universität Wien nun aber Datensätze gefunden, die von jedem abgerufen werden konnten.

Er konnte sich bei einer Software namens „Aperio Spectrum“, die von der MedUni Wien zum Teilen von Bildern von Gewebeproben verwendet worden war, einloggen und auf Datensätze zugreifen. Dazu verwendete er den offiziellen Zugang für Administratoren, der mit einem Standard-Passwort betrieben wurde. Das Passwort fand Bicchi ganz einfach über einen Google-Suchfilter. Die MedUni Wien hatte das Passwort der Software nicht wie empfohlen nach dem ersten Mal einloggen geändert.

"Nur für die Lehre gescannt"

Bicchi, der das IT-Beratungsunternehmen SEC Research betreibt und das Problem in einem Blogeintrag beschreibt, meldete die Schwachstelle sofort nach dem Entdecken an die MedUni. Wenige Tage später war kein Zugriff mehr auf die Software möglich. Die MedUni Wien bestätigte im Gespräch mit der futurezone, dass der Server vom Netz genommen worden sei. Bei den abgefragten Daten handle es sich zudem nicht um „klinische Datensätze im eigentlichen Sinne“, beschwichtigte der Pressesprecher der MedUni, Johannes Angerer. In der Software verarbeitet worden seien lediglich „histologische Schnittbilder humaner Proben, die ausschließlich zu wissenschaftlichen Zwecken und für die Lehre gescannt“ worden seien.

Sämtliche identifizierende Merkmale seien zudem entfernt worden, heißt es. Screenshots, die der futurezone vorliegen, belegen jedoch, dass neben Bildern von Gewebeproben auch Daten wie die Fallnummer, Datum der Aufnahme des Patienten, die klinische Vorgeschichte, das Geburtsdatum sowie Geschlecht und Alter miteinander verknüpft abgespeichert und abrufbar waren. „Daten vollständig zu anonymisieren, kann sich als schwieriger herausstellen, als man denkt“, sagt Bicchi zur futurezone.„Nur weil kein Name und keine Versicherungsnummer vorhanden sind, sind die Daten nicht komplett anonym.“

Gerät und Software wurden einfach vergessen

Laut der MedUni Wien sei das betreffende Gerät, mit dem die Software verknüpft war, schon „seit längerer Zeit“ nicht mehr verwendet worden und es handle sich daher um keine „aktuellen Daten aus dem laufenden Betrieb“. Auf die Frage, wie viele Datensätze genau betroffen waren, wollte die MedUni Wien keine Auskunft erteilen. Laut Bicchi hätte man sehr wohl weitere Datensätze abgreifen und das System exfiltrieren können. Die MedUni Wien wäre dadurch für einen Hacker-Angriff anfällig gewesen. Bicchi rät daher auch medizinischen Einrichtungen wie der MedUni, die eng mit dem AKH Wien zusammenarbeitet, ihre Systeme regelmäßig zu warten und veraltete Systeme und Software mit Patientendaten vom Netz zu nehmen. Inwiefern die MedUni mit dem AKH verknüpft ist, blieb seitens der MedUni ebenfalls unbeantwortet.

Auf die Software gestoßen war Bicchi übrigens, nachdem im Herbst 2019 bekannt worden war, dass weltweit über eine Milliarde personenbezogener Patientendaten auf unsicher konfigurierten Servern im Internet gefunden worden waren. Das Problem bestand weltweit. In den USA sind noch immer Krankenhäuser akut davon betroffen und Patientendaten durch die Sicherheitslücke gefährdet, wie Bicchi der futurezone erzählt. „In weniger als 48 Stunden konnten wir mehrere hundert Patientendaten laden“, so der Forscher. Auch medizinische Bilder wie Brustkrebsscreenings oder Röntgenaufnahmen waren in den Datensätzen enthalten.

Bicchi hatte sich daraufhin auch die Sicherheit von Patientendaten in Österreich näher angesehen. Einrichtungen in Österreich schienen auf den ersten Blick nicht von der Sicherheitslücke betroffen zu sein - doch andere Lücken bestehen sehr wohl, wie der aktuelle Fall zeigt.