Ausnutzung von Schwachstellen
Unsichere DICOM-Server, ein Risiko für Patientendaten
Weltweit sind Tausende von DICOM-Servern für medizinische Bildgebung ohne grundlegende Sicherheitsmaßnahmen online zugänglich sind. Wie sieht das resultierende Risiko für sensible Patientendaten und Abläufe im Gesundheitswesen aus?
Save to Folio
Wichtige Erkenntnisse
- Scan-Daten von Shodan.io erkannten 3.627 Digital Imaging and Communications in Medicine (DICOM)-Server für medizinische Bildgebung in mehr als 100 Ländern, die direkt über das öffentliche Internet zugänglich sind und Patientendaten von Hunderten von Organisationen im Gesundheitswesen, im akademischen Bereich und in der Regierung offenlegen.
- Die im DICOM-Protokoll integrierten Sicherheitsmechanismen bleiben auf diesen exponierten Servern weitgehend ungenutzt: Nur 0,14 % der exponierten Server verwenden TLS-Verschlüsselung, und 99,56 % akzeptieren Verbindungen ohne AE-Titel-Validierung.
- Kritische CVEs (CVSS 7,5–9,8) betreffen alle großen DICOM-Plattformen, und 44 % der exponierten Server gruppieren sich in Clustern mit identischen Softwarekonfigurationen, was bedeutet, dass ein einziger Exploit auf Hunderte von Zielen skaliert werden kann.
Von Röntgenaufnahmen über MRT- und CT-Untersuchungen bis hin zu Ultraschallbildern werden medizinische Bilder mithilfe eines universellen Standards namens „Digital Imaging and Communications in Medicine“ (DICOM) erfasst, gespeichert, abgerufen, übertragen, verarbeitet, ausgedruckt und betrachtet. Doch die damit mögliche umfassende Vernetzung birgt besondere Risiken.
Unsere Untersuchung von DICOM-Servern mit Internetanbindung hat ergeben, Diese Gefährdung kann böswilligen Akteuren die Möglichkeit bieten, auf sensible Patientendaten zuzugreifen, medizinische Unterlagen zu manipulieren oder kritische Abläufe im Gesundheitswesen zu stören.
Wir haben eine Analyse von November bis Dezember 2025 von über das Internet zugängliche DICOM-Server durchgeführt, die ergab, dass Tausende von medizinischen Bildgebungssystemen für das öffentliche Internet zugänglich sind, oft mit minimalen oder gar keinen Sicherheitsvorkehrungen. Wir haben diese Server durch systematisches Scannen des Internets mit Shodan.io entdeckt und mehrere Validierungsschritte durchgeführt, um Fehlalarme durch Honeypots oder falsch konfigurierte Nicht-DICOM-Dienste zu reduzieren. Der resultierende Datensatz mit 3.627 Servern stellt validierte DICOM-Endpunkte mit hoher Zuverlässigkeit dar.
Die exponierten DICOM-Daten offenbaren Cybersicherheitsrisiken in der globalen Gesundheitsinfrastruktur, die schwerwiegende Folgen für den Datenschutz der Patienten, die Einhaltung gesetzlicher Vorschriften und die klinische Sicherheit haben. Wir fanden:
- nur 0,14 % der exponierten Server verwenden TLS-Verschlüsselung
- 99,56 % akzeptieren Verbindungen ohne AE-Titel-Validierung
- 334 Organisationen konnten identifiziert werden
- 44 % der Server gruppieren sich in Clustern, die identische Software ausführen
Dadurch wird die Skalierbarkeit von Angriffen zu einem ernsthaften Risiko.
Weltweite Verbreitung
Die exponierten Server sind weltweit verteilt, wobei die höchste Konzentration in Industrienationen mit fortschrittlicher Gesundheitsinfrastruktur zu verzeichnen ist.
Die USA stehen mit 1.189 Server (33 %) an erster Stelle, was sowohl die Größe des US-Gesundheitssystems als auch die weit verbreitete Nutzung digitaler Bildgebung widerspiegelt. In Indien mit 445 Server (12 %) ist die rasante Digitalisierung des Gesundheitswesens in Verbindung mit uneinheitlichen Sicherheitspraktiken für dieses Risiko verantwortlich. Deutschland mit 138 Server (4 %) ist ein Gesundheitsdienstleister mit umfangreicher Cloud-Nutzung. Die übrigen Server verteilen sich auf über 100 Länder, was zeigt, dass es sich hierbei um ein wahrhaft globales Problem handelt, das Gesundheitssysteme auf allen Entwicklungsstufen betrifft.
Das Sicherheitsrisiko
DICOM ist der internationale Standard für die Übertragung, Speicherung, den Abruf, den Druck, die Verarbeitung und die Darstellung medizinischer Bilddaten. Darin wird sowohl ein Dateiformat für medizinische Bilder als auch ein Netzwerkprotokoll für die Kommunikation zwischen Bildgebungsgeräten und klinischen Systemen definiert. In der Praxis ermöglicht DICOM die Interoperabilität innerhalb eines breiten Ökosystems aus Geräten und Software, darunter Scanner, Server, Workstations, Drucker, Netzwerkhardware und Bildarchivierungs- und Kommunikationssysteme (PACS) verschiedener Hersteller.
Das Protokoll setzt eine vertrauenswürdige Netzwerkumgebung voraus und enthält einige integrierte Sicherheitsmechanismen. Da Organisationen im Gesundheitswesen die digitale Transformation, Telemedizin und Cloud-Dienste zunehmend nutzen, sind DICOM-Server immer häufiger dem öffentlichen Internet ausgesetzt.
Cloud- vs. lokale Infrastruktur
Ein wichtiges Ergebnis unserer Analyse ist das Vorhandensein von DICOM-Servern in Cloud-Umgebungen. Von den 3.627 exponierten Servern sind 2.508 Server (69 %) Onpremise mit Internetdienstanbieter verbunden: herkömmliche Installationen in Krankenhäusern und Kliniken über kommerzielle Internetdienstanbieter. 1.119 Server (31 %) sind Bereitstellungen auf großen Cloud-Plattformen, häufig für Cloud-PACS, Teleradiologie oder Notfallwiederherstellung.
Bei den Cloud-gehosteten Servern ist die Verteilung auf die großen Anbieter bemerkenswert:
- Microsoft Azure: 533 Server (48 % der Cloud) – Die dominierende Cloud-Plattform für die Bildgebung im Gesundheitswesen, wahrscheinlich aufgrund von Microsofts Fokus auf die Gesundheitsbranche und HIPAA-konformen Angeboten.
- Amazon Web Services: 287 Server (26 % der Cloud) – Bedeutende Präsenz, insbesondere in der Region US-Ost.
- Google Cloud Platform: 129 Server (12 % der Cloud)
Besonders besorgniserregend ist die Konzentration exponierter Server auf den großen Cloud-Plattformen. Zwar bieten diese Anbieter robuste Sicherheitsfunktionen, doch liegt die Verantwortung für die ordnungsgemäße Konfiguration weiterhin bei der Gesundheitsorganisation. Schon eine einzige falsch konfigurierte Sicherheitsgruppe kann einen DICOM-Server dem gesamten Internet aussetzen.
Technische Analyse
Das Verständnis der technischen Landschaft exponierter DICOM-Server liefert Einblicke sowohl in die Angriffsfläche als auch in mögliche Abhilfemaßnahmen.
Port-Verteilung
DICOM-Server arbeiten über mehrere Standardports, von denen jeder Aufschluss über die zugrunde liegende Software und Konfiguration gibt:
Das fast vollständige Fehlen von TLS-Nutzung ist ein wesentliches Ergebnis dieser Analyse. DICOM TLS ist seit 1999 verfügbar, doch nur 0,14 % der exponierten Server setzen diese grundlegende Sicherheitsmaßnahme um.
Software-Implementierung
Die Identifizierung der auf exponierten DICOM-Servern ausgeführten Software hilft bei der Bewertung der Sicherheitsrisiken. Unsere Analyse zeigt ein konzentriertes Bild:
Die Konzentration auf nur wenige Software-Implementierungen bedeutet, dass etwaige Schwachstellen in diesen Plattformen ein unverhältnismäßig hohes Risiko bergen. Eine einzige kritische Schwachstelle in DCMTK würde beispielsweise fast die Hälfte aller exponierten Server betreffen.
Arten der exponierten Geräte
Die exponierte DICOM-Infrastruktur stellt ein vielfältiges Ökosystem medizinischer Bildgebungstechnologie dar. Anhand von Software-Signaturen, Portkonfigurationen und Metadatenanalysen können wir Rückschlüsse auf die Arten von Geräten und Systemen ziehen, die mit den DICOM-Servern kommunizieren.
Obwohl es sich bei den DICOM-Servern selbst oft um PACS-Systeme oder Workstations handelt, dienen sie als Schnittstellen zu angeschlossenen Bildgebungsgeräten. Es ist anzumerken, dass wir in unseren gesammelten Shodan.io-Daten keines der oben genannten medizinischen Geräte entdeckt haben, die ungeschützt waren. Aufgrund der Funktionsweise von DICOM können wir jedoch davon ausgehen, dass sie mit den ungeschützten DICOM-Servern kommunizieren.
Die zentralen Speicher- und Verteilungssysteme weisen eine große Vielfalt auf
Welche Informationen sind gefährdet?
DICOM-Dateien enthalten mehr als nur medizinische Bilder. Jede Datei enthält umfangreiche Metadaten, die ein beträchtliches Volumen an geschützten Gesundheitsdaten (Protected Health Information, PHI) im Sinne des HIPAA und ähnlicher Datenschutzbestimmungen für Gesundheitsdaten weltweit darstellen. DICOM-Dateien enthalten in der Regel Patientenidentifikatoren wie den vollständigen Namen, das Geburtsdatum und die Krankenaktennummer. In manchen Fällen können die Dateien auch Sozialversicherungsnummern oder andere nationale Identifikatoren enthalten. Diese personenbezogenen Daten reichen aus, um Identitätsdiebstahl und medizinischen Betrug zu ermöglichen.
Darüber hinaus sind Untersuchungsbeschreibungen, der überweisende Arzt, Auswertender Radiologe, Diagnosecodes oder Angaben zum Eingriff gespeichert.
DICOM-Dateien geben zudem organisatorische Details preis, wie z. B. Namen von Einrichtungen, Abteilungskennungen, Gerätebestände und Informationen zur Netzwerkarchitektur, die weitere Angriffe ermöglichen könnten.
Die Bilder selbst geben Aufschluss über sensible Gesundheitszustände. Mammographien, onkologische Scans, psychiatrische Bildgebungsverfahren und andere spezialisierte Untersuchungen können Diagnosen offenlegen, die Patienten möglicherweise vor Arbeitgebern, Versicherern oder Familienangehörigen geheim halten möchten.
Weitere Einzelheiten entnehmen Sie bitte dem Originalbeitrag. Im nächsten Teil des Beitrags geht es um die Angriffsoberfläche und Bedrohungsmodell für diese Server.