piwik no script img

Datenleck in DänemarkPatienten bloßgestellt

Mutmaßliche Hacker erpressen offenbar einen Praxiskonzern, bei dem 130.000 Patienten registriert sind, mit gestohlenen digitalen Patientendaten.

Wie sicher sind die von Computern erfassten Gesundheitsdaten? Ultraschalluntersuchung in einer Praxis (Symbolbild aus Deutschland) Foto: Maurizio Gambarini/dpa

Härnösand taz | Da nützt die Schweigepflicht nicht mehr viel: Sechs Wochen nach einem Hackerangriff auf einen Gesundheitskonzern in Dänemark sind privateste Patientendaten im Netz aufgetaucht. Wie der dänische Rundfunk DR am Dienstag berichtete, veröffentlichten offenbar die Täter selbst gestohlene Daten in einem Hackerforum.

„Viel sensiblere Daten, als ich dachte“, zitierte der DR einen IT-Sicherheitsexperten, der das Leak untersucht hatte und es als „sehr kritisch“ bewertete. Unter den Daten seien konkrete Informationen über Krankheitsverläufe, Überweisungen an Krankenhäuser und verschriebene Medizin.

Am Dienstagnachmittag bestätigte die Polizei Syd- og Sønderjylland dann das Datenleck. Es sei wichtig, dass Patienten und ehemalige Patienten der betroffenen Einrichtungen jetzt besonders aufmerksam gegenüber mögliche Betrugsversuchen seien, teilte die Polizei mit. Sie ermittelt in dem Fall zusammen mit dem Nationalen Cyber Crime Center.

Die geleakten Informationen könnten nicht nur für Betrugs-, sondern auch für Erpressungsversuche genutzt werden, sagte der Sprecher des dänischen Cybersicherheitsrats, Jacob Herbst, dem DR: „Einige der Daten sind so persönlich, dass Hacker sie dezidiert dafür benutzen können.“

Bericht: Praxiskonzern verhandelte bereits mit Hackern

Das betroffene Unternehmen „Alles Lægehus“ betreibt Hausarztpraxen in ganz Dänemark, insgesamt sind 130.000 Menschen dort zur medizinischen Versorgung registriert. Wie viele von ihnen von dem Datendiebstahl vom 9. Dezember betroffen sind, ist noch nicht bekannt.

Das Unternehmen hatte bislang nur davon gesprochen, dass Namen, Adressen, Personennummern und E-Mailadressen gestohlen worden seien, sowie in manchen Fällen zusätzliche Informationen, etwa, ob man Diabetiker sei. Das nun bekannt gewordene, weit umfassendere Szenario schloss es lange aus: „Es gibt keine Anzeichen, dass Aktennotizen gestohlen wurden“, hieß es noch am Dienstagabend auf der Unternehmenswebsite.

Das Tech-Magazin Version2 hatte zuvor berichtet, dass die Hacker Lösegeld für die gestohlenen Daten forderten. „Alles Lægehus“ verhandelte den Informationen zufolge mit ihnen. Die Hacker hätten wohl die Geduld verloren, vermutete der IT-Sicherheitsexperte im DR.

Begonnen hatte die Aufregung kurz vor dem Jahreswechsel, als der Praxiskonzern an die Öffentlichkeit ging – erst drei Wochen nach dem Hackerangriff. Die potenziell Betroffenen wurden dann erst Anfang des neuen Jahres direkt angeschrieben. Datenschützer kritisierten, die Information hätte wesentlich früher und wesentlich klarer sein müssen.

Praxiskonzern speicherte auch Daten von Nichtpatienten

Zusätzliche Verwirrung entstand, weil offenbar auch Menschen angeschrieben wurden, die sagen, sie seien nie Patienten bei einer Praxis des Unternehmens gewesen. Dies erklärte „Alles Lægehus“ unter anderem mit der Pandemie, wo man auch Test- und Impfstationen betrieben habe.

Die Daten mancher, die ansonsten nicht als Patienten registriert sind, können so zum Unternehmen gelangt sein – und von dort nun in die Hände von Kriminellen.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

6 Kommentare

 / 
  • Das Problem liegt viel früher bei der Programmierung und bei der Spezifikation dafür. Man kann Daten sicher speichern. Aber dann ist es natürlich auch aufwendig, an die Daten ran zu kommen für die, die damit jeden Tag arbeiten.



    Oder unter den IT- Spezialisten des Unternehmens gibt es absichtliches Fehlverhalten.

  • Das kommt bei uns auch noch ... verdeckte Aktion von Versicherungen um später zu sagen nein wir zahlen nicht.... keine Angst... erst wenn du alt und wehrlos bist

  • Gut, dass wir Lauterbach haben. Mit der ePA kann sowas garantiet nicht passieren, Lauterbach hat das versprochen ....

    Und wenn doch, wird es sicher keine Konsequenzen für Lauterbach haben ...

    Er hatte auch versprochen, die Kosten des Gesundheitssystems und der Pflege zu reduzieren, und zumindest sicherzustellen, dass nicht nur die gesetzlich Versicherten die Lasten tragen. Hat auch da nicht geklappt, auch da waren die leichtfertigen Versprechungen größer als die folgenden Taten. Macht ja auch nichts, und hat für ihn persönlich keinerlei Konsequenzen. Kann ihm auch egal sein, er ist Beamter und daher auch bei Komplettversagen nicht kündbar und vermutlich privat versichert.

    • @Sonja Bleichle:

      Hat denn Lauterbach schon mal mitgeteilt, ob er sich eine EPA angelegt hat und seine Daten der Forschung natürlich zur Verfügung stellt

  • Wo ein Trog ist kommen die Schweine. Und die Wölfe, wegen der Schweine. Kann in Deutschland mit der ePA nicht passieren, sagt der Minister.

    Nebenbei: Lösegeld für gestohlene Daten? Ist das ein Witz, oder ein Denkfehler?



    - Wenn die Daten "gestohlen" wurden, also unrechtmässig ausserhalb des Anbieters kopiert, ist das Kind bereits im Brunnen verstorben und eine Zahlung sinnlos (die Kopie verschwindet durch die Zahlung nicht).



    - Wenn zusätzlich die Daten - und alle Kopien - auf den Systemen des Anbieters verschlüsselt wurden UND der auch keine weiteren Backups hat, dann könnte der Anbieter zahlen wollen, um die Daten "wiederzubekommen", also den Schlüssel zu erhalten. Das würde bedeuten, das der Anbieter seine Sicherungspflichten komplett ignoriert hat und völlig unfähig ist.

  • Früher kannte man "GAU" und "Super-GAU" nur in Zsammenhang mit Atomkraftwerken.

    Hier hat der Begriff eine neue Heimstatt gefunden.

    Wobei mir da gerade das Thema "elektronische Patientenakte" einfällt ...



    Aber die ist ja sicher. Wie das Amen in der Kneipe.