Datenleck in Dänemark: Patienten bloßgestellt

Härnösand taz | Da nützt die Schweigepflicht nicht mehr viel: Sechs Wochen nach einem Hackerangriff auf einen Gesundheitskonzern in Dänemark sind privateste Patientendaten im Netz aufgetaucht. Wie der dänische Rundfunk DR am Dienstag berichtete, veröffentlichten offenbar die Täter selbst gestohlene Daten in einem Hackerforum.

„Viel sensiblere Daten, als ich dachte“, zitierte der DR einen IT-Sicherheitsexperten, der das Leak untersucht hatte und es als „sehr kritisch“ bewertete. Unter den Daten seien konkrete Informationen über Krankheitsverläufe, Überweisungen an Krankenhäuser und verschriebene Medizin.

Am Dienstagnachmittag bestätigte die Polizei Syd- og Sønderjylland dann das Datenleck. Es sei wichtig, dass Patienten und ehemalige Patienten der betroffenen Einrichtungen jetzt besonders aufmerksam gegenüber mögliche Betrugsversuchen seien, teilte die Polizei mit. Sie ermittelt in dem Fall zusammen mit dem Nationalen Cyber Crime Center.

Die geleakten Informationen könnten nicht nur für Betrugs-, sondern auch für Erpressungsversuche genutzt werden, sagte der Sprecher des dänischen Cybersicherheitsrats, Jacob Herbst, dem DR: „Einige der Daten sind so persönlich, dass Hacker sie dezidiert dafür benutzen können.“

Bericht: Praxiskonzern verhandelte bereits mit Hackern

Das betroffene Unternehmen „Alles Lægehus“ betreibt Hausarztpraxen in ganz Dänemark, insgesamt sind 130.000 Menschen dort zur medizinischen Versorgung registriert. Wie viele von ihnen von dem Datendiebstahl vom 9. Dezember betroffen sind, ist noch nicht bekannt.

Das Unternehmen hatte bislang nur davon gesprochen, dass Namen, Adressen, Personennummern und E-Mailadressen gestohlen worden seien, sowie in manchen Fällen zusätzliche Informationen, etwa, ob man Diabetiker sei. Das nun bekannt gewordene, weit umfassendere Szenario schloss es lange aus: „Es gibt keine Anzeichen, dass Aktennotizen gestohlen wurden“, hieß es noch am Dienstagabend auf der Unternehmenswebsite.

Das Tech-Magazin Version2 hatte zuvor berichtet, dass die Hacker Lösegeld für die gestohlenen Daten forderten. „Alles Lægehus“ verhandelte den Informationen zufolge mit ihnen. Die Hacker hätten wohl die Geduld verloren, vermutete der IT-Sicherheitsexperte im DR.

Begonnen hatte die Aufregung kurz vor dem Jahreswechsel, als der Praxiskonzern an die Öffentlichkeit ging – erst drei Wochen nach dem Hackerangriff. Die potenziell Betroffenen wurden dann erst Anfang des neuen Jahres direkt angeschrieben. Datenschützer kritisierten, die Information hätte wesentlich früher und wesentlich klarer sein müssen.

Praxiskonzern speicherte auch Daten von Nichtpatienten

Zusätzliche Verwirrung entstand, weil offenbar auch Menschen angeschrieben wurden, die sagen, sie seien nie Patienten bei einer Praxis des Unternehmens gewesen. Dies erklärte „Alles Lægehus“ unter anderem mit der Pandemie, wo man auch Test- und Impfstationen betrieben habe.

Die Daten mancher, die ansonsten nicht als Patienten registriert sind, können so zum Unternehmen gelangt sein – und von dort nun in die Hände von Kriminellen.