Newsletter November 2020 - Es ist ein Skandal sondergleichen, und er geht im Trommelwirbel der Corona-Nachrichten nahezu unter: Ein Hacker hat schon im November 2018 die Datenbank eines großen finnischen Psychotherapie-Zentrums gehackt. Mehr als 40.000 Patientenakten sind damit in seinen Besitz gelangt, berichtet die Frankfurter Allgemeine Zeitung. Im September 2020 wandte sich der Hacker an die Chefs des Zentrums und verlangte 450.000 Euro Schweigegeld, andernfalls werde er ab sofort jeden Tag die Akten von 100 Patient*innen in einem Netzwerk veröffentlichen. Da das Management auf die Erpressung nicht einging, schritt der Hacker zur Tat und lud mehrere hundert Akten und für eine Stunde offenbar sogar die gesamte Sammlung hoch – mitsamt Diagnosen, ärztlichen Vermerken und Protokollen der Therapiesitzungen, in denen intimste und persönlichste Probleme besprochen wurden.
Im Anschluss an die Veröffentlichung erhielten zigtausende Patient*innen des Therapiezentrums einen Erpresserbrief, mit dem sie sich angeblich für mehrere hundert Euro freikaufen konnten. Die Behörden rieten allerdings davon ab, Schweigegeld zu bezahlen und empfahlen stattdessen, die Polizei zu informieren, deren Server umgehend in die Knie gingen.
Für Finnland gibt es in allen digitalen Akten ein Personenkennzeichen, mit dem nicht nur Krankendaten gesammelt werden, sondern auch Bestellungen getätigt, Firmen gegründet und Kredite beantragt werden können. Ist dieses Kennzeichen bekannt, kann man theoretisch alle diese Vorgänge auch einsehen. Und will man das verhindern und das Kennzeichen sperren, muss man mit sieben bis acht Behörden verhandeln ...
„Die zwei Hauptfragen lauten: Warum haben alle Aufsichtsbehörden versagt? Sind Gesetzeslage und Gesellschaftsstruktur überhaupt gerüstet für digitale Großunfälle dieser Art?“, schreibt die FAZ. Hinzu kommt, dass Kriminelle die geklauten Daten im Darknet weiterverkaufen und für zusätzliche Erpressungsversuche nutzen können. Denn keiner weiß, wie oft das Datenpaket runtergeladen worden ist und wer alles im Besitz der Akten ist.
Der Vorfall erscheint umso bedeutsamer, als wir in Deutschland dabei sind, elektronische Patientenakten einzuführen, die bis auf weiteres zentral gespeichert sein werden (siehe dazu unsere jüngste Meldung zum Patientendaten-Schutzgesetz). Im kommenden Jahr ist die Einführung geplant. Wie an dieser Stelle berichtet, haben Patient*innen im ersten Anlauf keinen Einfluss darauf, in welchem Umfang ihre Daten gespeichert werden. Diese Funktion zur aktiven Freigabe wird – aus technischen Gründen, wie es heißt – erst später freigeschaltet.
Quelle
FAZ, 28. Oktober 2020