CT-, MRT- und Ultraschall-Befunde Patientendaten frei verfügbar: Sicherheitslücke in Philips-Systemen für die Radiologie

Anbieter zum Thema

xSuite Group GmbH

Im System Philips Vue PACS wurden mehrere schwere Sicherheitslecks entdeckt. Damit sollen radiologische Patientendaten für alle frei verfügbar sein und potenzielle Angreifer könnten im schlimmsten Fall beliebigen Code auf den Systemen ausführen.

Für das System Philips Vue PACS hat der Hersteller Philips Medizin Systeme mehrere kritische Schwachstellen gemeldet – die auch Patientendaten betreffen. Das meldet die Sicherheits-Beratung KRITIS & Cyber. Die webbasierte Anwendung Vue PACS wird hauptsächlich für radiologische Befunde in Krankenhäusern und Arztpraxen eingesetzt. 

Philips habe vor allem eine Schwachstelle in seinem Speichersystem für Bilder für die Magnet-Resonanz-Tomographie (MRT), Computer-Tomographie (CT) und Ultraschall bekannt gegeben. Damit seien Patientendaten für alle frei verfügbar. Hinzu komme: Die Schwachstellen sollen es potenziellen Angreifern im schlimmsten Fall ermöglichen, einen beliebigen Code auf den zugrundeliegenden Systemen auszuführen. Dies kann ausgenutzt werden, um sich zum Beispiel Zugang zu IT-Infrastrukturen in Gesundheitseinrichtungen zu  verschaffen. 

Da die gemeldeten Schwachstellen für versierte Angreifer leicht auszunutzen sind, sollten betroffene Einrichtungen schnellstmöglich handeln.

Dr. Martin C. Wolff, KRITIS & Cyber

 Von den 13  gemeldeten Schwachstellen werden zwölf vom Hersteller als „kritisch“ bis „hoch“  eingestuft. Das bezieht sich vor allem auf Versionen des Programms älter als  12.2.8.410. 

Großes Risiko für Patientendaten

Betroffen sind zahlreiche Arztpraxen und Kliniken: In Deutschland gab es laut Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) im Jahr 2021 insgesamt knapp je 3.000 MRT- und CT-Geräte. Die Anzahl aller MRT-Untersuchungen lag 2021 in  Deutschland bei 13,3 Millionen.

Das Security-Research-Team von KRITIS & Cyber fand heraus, dass in Deutschland, Österreich und der Schweiz mindestens 17 Kliniken beziehungsweise radiologische Praxen von dem Vorfall betroffen sind. Das seien rund vier Prozent. „Hinzu kommt, dass zum Zeitpunkt der Untersuchung mehr als 75 Prozent aller Systeme auf Versionen älter als 12.2.8.410 liefen und damit potenziell  angreifbar sind“, erklärt Dr. Martin C. Wolff von KRITIS & Cyber. Besonders alarmierend sei die Situation bei den Krankenhäusern, von denen keines eine nicht angreifbare Version installiert hätte.

Europäische Sicherheitsrichtlinie NIS-2

Acht Security-Sofortmaßnahmen für Krankenhäuser

Umfangreiche Folgen von Cyberangriffen

Der Experte für Cybersicherheit ergänzt, dass die psychologischen Folgen von Cyberangriffen auf Krankenhäuser die Widerstandsfähigkeit unserer Gesellschaft erheblich beeinträchtigen könnten. Krankenhäuser seien daher besonders attraktive Ziele für Angreifer. „Da die gemeldeten Schwachstellen für versierte Angreifer leicht auszunutzen sind, sollten betroffene Einrichtungen schnellstmöglich handeln und die Anwendung aktualisieren. Das Patch-Management muss regelmäßig auf seine effektive Umsetzung überprüft werden, um Cyberangriffen aktiv vorzubeugen.“ 

Um die IT-Sicherheit von Krankenhäusern, die zur Kritischen Infrastruktur gehören, zu verbessern, sieht der deutsche Gesetzgeber zukünftig sogar eine entsprechende Pflicht für Krankenhäuser vor. Diese resultiert aus der EU-Richtlinie NIS-2, die Unternehmen zu Cyber-Security-Maßnahmen verpflichtet. Bei Verstößen drohen empfindliche Bußgelder von bis zu zehn Millionen Euro.