Subscribe to RSS
DOI: 10.1055/s-2007-963037
© Georg Thieme Verlag KG Stuttgart · New York
IT-Sicherheitsprobleme im radiologischen Umfeld am Beispiel der Dicom-CD
Dicom-CDs - risks and adverse effectsPublication History
eingereicht: 17.11.2006
angenommen: 27.2.2007
Publication Date:
07 March 2008 (online)
Die digitale Bildakquisition und -speicherung halten immer weiter Einzug in die Radiologie und sind mittlerweile vielerorts eine Selbstverständlichkeit. Ein PACS gehört zur Standardausrüstung einer jeden größeren radiologischen Abteilung [1]. Die digitale Bildspeicherung brachte auch die Möglichkeit der digitalen Bildweitergabe mit sich, verspricht sie doch Kosteneinsparungen durch weniger Filmverbrauch sowie mehr Komfort sowohl für den Radiologen als auch für den Patienten. Um den Austausch digitaler medizinischer Daten zu standardisieren, entwickelten das American College of Radiology (ACR) und die National Electrical Manufacturers Association (NEMA) den Standard Dicom [2] (Digital Imaging and Communication in Medicine). Die derzeit am häufigsten praktizierte Methode des digitalen Bildaustausches ist die Weitergabe von Bilddaten mittels Dicom-CD oder -DVD [3] [4].
Allerdings hat nahezu jeder Radiologe schon erfahren müssen, dass diese neue Methode des Bildaustausches durchaus Probleme in sich birgt. Diese reichen von zerkratzten und damit unlesbaren CDs über das Fehlen von Dicom-Viewern, Fehler beim Dicom-Import, nicht ausreichende Benutzerrechte zum Ansehen der Bilddaten bis hin zu schwer bedienbaren Dicom-Viewern.
Kürzlich richtete die Deutsche Röntgengesellschaft ein „Testat-Projekt für Datenaustauschmedien” [5] ein. Ein wichtiger Aspekt dieses Projektes ist die Erstellung klar definierter Anforderungen an Dicom-Datenträger sowie die technische Prüfung von Patientendatenträgern und Vergabe eines „Testats”. Hierdurch soll eine bessere Interoperabilität der einzelnen Dicom-Betrachtungs- und CD-Erstellungswerkzeuge erreicht werden. Eine weitere Aufgabe des Projektes ist die Entwicklung eines Leitfadens zur Handhabung von Patientendatenträgern. Eine erste Version dieses Leitfadens steht seit dem Deutschen Röntgenkongress 2006 zur Verfügung (abrufbar unter http://www.dicom-cd.de/docs/DRG-Leitfaden-2006.pdf). Das Projekt stellt somit einen wesentlichen Schritt in Richtung eines komfortablen und effizienten Bildaustausches dar. Allerdings gibt es neben Interoperabilität und Dicom-Konformität noch den wichtigen Aspekt der Computersicherheit, einen Bereich mit zunehmender Wichtigkeit, mit täglich neuen Entwicklungen und Gefahren. Dass diese Gefahren nicht theoretischer Natur sind, zeigen bereits erfolgreich durchgeführte Einbrüche in Computersysteme großer Firmen oder Krankenhäuser [6] [7] [8]. Kern des Problems sind Computerprogramme aus nicht vertrauenswürdigen Quellen. Solche Programme können Schadcode enthalten. Beispielsweise können sich so genannte Trojaner für den Nutzer als ganz normale Dicom-Viewer präsentieren. Im Hintergrund können diese Programme jedoch unbemerkt den Computer oder das gesamte Unternehmensnetz ausspionieren, nach Sicherheitslöchern suchen und Daten sammeln, verändern oder löschen. Gesammelte Daten könnten ggf. unbemerkt über einen Internetzugang nach außen zum Angreifer gesandt werden. Ein Angreifer, der Interesse am Eindringen in ein Klinikums- oder Praxisnetz hat, müsste lediglich eine CD herstellen, welche äußerlich einer Dicom-CD eines vertrauenswürdigen Herstellers gleicht. Dies ist mit wenig Aufwand und einem guten Drucker möglich. Auf der CD selbst müssen dann neben den eigentlichen Patientendaten statt des normalen Dicom-Viewers eine präparierte Version des Programmes, welches neben der Funktion des eigentlichen Dicom-Viewers zusätzlich Schadcode enthält, vorhanden sein. Wird dieser präparierte Dicom-Viewer gestartet zeigt sich dem Arzt der ganz normale Viewer, doch im Hintergrund erlangt das Programm möglicherweise weitgehenden Zugriff auf den Rechner. Hat ein Angreifer erst einmal Zugriff auf einen Rechner des Krankenhauses oder der Praxis, ist der Weg in das gesamte Krankenhaus- oder Praxisnetz leicht. Denn durch die Dicom-CD werden möglicherweise existierende Unternehmenfirewalls einfach umgangen, der Angreifer befindet sich plötzlich ohne jeden Belagerungskampf direkt in der Festung.
Der dabei entstehende Schaden bedeutet im harmlosen Fall das Löschen einzelner Patientendaten. Auch die Störung des Krankenhausnetzes bis zum Stillstand des Netzwerkverkehrs, durch tausende sinnloser Anfragen an viele verschiedene Rechner, so genannte Denial of Service Attacken, sind möglich. Größerer Schaden könnte durch Änderungen an bestehenden Daten wie Änderungen bestehender Diagnosen und Befunde entstehen. Das weitaus größte Risiko besteht aber für den Diebstahl von Patientendaten. Schätzungen zufolge kann ein medizinisches Profil inklusive Herkunft, Alter, Beruf, Versichertenstatus, Diagnosen und Risikofaktoren auf dem Schwarzmarkt ca. 100 € bis 1000 € wert sein [9] [10]. Nimmt man sich die Charité mit jährlich 123 000 stationären und 900 000 ambulanten Patienten als Beispiel, so würde allein ein Zugriff auf die Daten des letzten Jahres eine potenzielle Einnahme von mehr als 100 000 € bedeuten können. Für die in einem solchen Fall gebrochene ärztliche Schweigepflicht wäre der einzelne Arzt zumindest mitverantwortlich.
Gibt es aus der Problematik einen Ausweg? Zumindest teilweise. Dicom-CDs sollten bleiben, was sie einst waren: CDs mit Bilddaten. Computerprogramme, welche im medizinischen Umfeld ausgeführt werden, sollten nur aus vertrauenswürdigen Quellen stammen und nicht von individuellen CDs oder aus E-mails. Ein Dicom-Viewer gehört ebenso wenig auf eine Patienten-CD wie ein Lichtkasten in eine Röntgentüte, eine gewisse Grundausstattung ist beim empfangenden Arzt vorauszusetzen. Für Ärzte oder Patienten, die keinen Dicom-Viewer haben, existiert eine Vielzahl kostenloser Varianten [11]. Diese könnten von einer vertrauenswürdigen Instanz, beispielsweise vom Dicom-CD-Projekt der DRG, evaluiert und herausgegeben werden.
Sollte dennoch der Bedarf bestehen, spezielle Viewer von Dicom-CDs zu verwenden, so sind zumindest im medizinischen Umfeld spezielle Sicherheitsvorkehrungen notwendig. Eine digitale Signatur der Applikation ist eine Möglichkeit, die vertrauenswürdige Herkunft des Programms sicherzustellen. So kann gewährleistet werden, dass die Programme nicht nachträglich präpariert wurden. Die Signaturen müssten wiederum von einer vertrauenswürdigen Instanz wie der DRG, der RSNA oder NEMA herausgegeben werden. Zwar existieren entsprechende technologische Grundlagen dafür bereits in heutigen Windows-Betriebssystemen, diese sind aber nur schwer zugänglich.
Ärzte, welche mit Dicom-CDs umgehen, sollten sich der Risiken, die mit ihrer Benutzung einhergehen bewusst sein. Dicom-Viewer oder zusätzliche Web-Inhalte der CDs, können Schadcode, Trojaner oder Computerviren enthalten, welche die Sicherheit des Praxis- oder Krankenhausnetzes und damit die ärztliche Schweigepflicht gefährden. Solche Programme aus nichtvertrauenswürdiger Quelle sollten generell nicht benutzt werden. Die CD-Autostart-Funktion im Windows-Betriebssystem sollte unbedingt deaktiviert werden. Zum Lesen der Dicom-CDs sollte nur Software aus vertrauenswürdigen Quellen benutzt werden.
Alternativ zur Dicom-CD kommt auch der Bildtransfer via Dicom-E-mail [12] oder über webbasierte Bildverteilungssysteme [13] in Frage.
Aus Sicht der Computersicherheit wäre die optimale Lösung für eine Praxis ohne PACS-Anbindung eine dezidierte Dicom-Betrachtungsworkstation ohne jeglichen Netzzugang. Radiologische Abteilungen mit eigenem PACS könnten speziell abgeschottete Dicom-Import-Server [14] benutzen, welche den sicheren und dicomkonformen Import der externen Bilder in das eigene digitale Archiv sicherstellen.
Da der Einsatz der Dicom-CDs viele Vorteile in den radiologischen Alltag bringt und im finanziell sehr angespannten Gesundheitssystem zu einer „Mobilisierung der Ressourcen” beiträgt, versteht sich dieser Artikel klar als Diskussionsangebot und nicht als eine „Verteufelung des Mediums”. Er soll lediglich auf die entstehenden Gefahren hinweisen, die durch den unkritischen Einsatz von Dicom-CDs entstehen können und somit ein Gedankenanstoß für die weitere technische Entwicklung der digitalen Technik in der Medizin sein.
Literatur
- 1 Kotter E, Jäger D, Binder M. et al . Elektronische Befund- und Bildverteilung aus einem PACS: Umsetzung der datenschutzrechtlichen Aspekte am Beispiel des Universitätsklinikums Freiburg. Fortschr Röntgenstr. 2003; 175 849-854
- 2 Eichelberg M, Mildenberger P. Aktuelle Entwicklungen von DICOM - Nutzen im Alltag. Fortschr Röntgenstr. 2005; 177 DOI: DOI: 10.1055/s-2005 - 867 376
- 3 Walz M. DICOM CD - Erfahrungen, Anforderungen und Perspektiven der ärztlichen Stellen. Fortschr Röntgenstr. 2006; 178 S127
- 4 Mildenberger P. Austausch von Bildern mit Patienten-CDs - aus radiologischer Sicht. Fortschr Röntgenstr. 2006; 178 S127
- 5 Deutsche Röntgengesellschaft . Das DRG-Testatprojekt. , http://www.dicom-cd.de
- 6 Poulsen K. 1,2 Millionen Pateientendateien in Holland gecknackt. , http://www.labournet.de/internationales/nl/hospitalhack.html
- 7 Stasiukonis S. Hospital records hacked hard. , http://www.theregister.co.uk/2000/12/07/hospital_records_hacked_hard/
- 8 Spaink K. Social Engineering, the USB Way. , http://www.darkreading.com/document.asp?doc_id = 95 556
- 9 Maus T. Gesundheitskarte und Gesundheitstelematik - 1984 reloaded?. , http://www.busch-telefon.de/artikel/1152595671t85.pdf
- 10 Maus T. E-Card versus Schweigepflicht und Schweigerecht. Vortrag auf dem „Ärztetag der Basis” am 4.11. in Köln. 2006;
- 11 Rorden C. Links to free DICOM viewers. , http://www.sph.sc.edu/comd/rorden/dicom.html#links
- 12 Mildenberger P, Kämmerer M, Engelmann U. et al . Teleradiologie mit DICOM E-mail: Empfehlungen der @GIT. Fortschr Röntgenstr. 2005; 177 697-702
- 13 Hackländer T, Kleber K, Scheider H. et al . Entwicklung einer sicheren und kostengünstigen Infrastruktur zum Zugriff auf beliebige webbasierte Bildverteilungssysteme. Fortschr Röntgenstr. 2004; 176 1167-1174
- 14 Hackländer T, Kleber K, Martin J. et al . DICOM Router: Eine Open Source Toolbox zur Kommunikation und Korrektur von DICOM-Objekten. Fortschr Röntgenstr. 2005; 177 DOI: DOI: 10.1055/s-2005-867789
Dr. Henning Meyer
Institut für Radiologie, Charité - Universitätsmedizin Berlin
Chariteplatz 1
10117 Berlin
Phone: ++49/30/4 50 62 70 49
Fax: ++49/30/4 50 52 79 10
Email: Henning.Meyer@charite.de