piwik no script img

taz zahl ich

Sicherheit von GesundheitsdatenTransparenz bei Leaks

Anne Diekhoff
Kommentar von Anne Diekhoff

In Dänemark wurden Gesundheitsdaten geleakt und öffentlich. Die Betroffenen empört aber vor allem, dass sie zu spät informiert wurden.

Röntgenaufnahme eines menschlichen Brust
Gläserne Patienten? Keine IT-Infrastruktur ist vollständig unverwundbar Foto: Dmitry Rukhlenko/imageBROKER/imago

W as meine Arztpraxis über mich weiß, weiß sonst niemand: So sollte es sein. In Dänemark erleben gerade 130.000 Menschen, dass es für die Vertraulichkeit ihrer Krankengeschichte keine Garantie gibt. Die schlimmsten Befürchtungen derer, die vor den Gefahren der allumfassenden Digitalisierung warnen, wurden nach einem Hackerangriff auf einen Praxiskonzern wahr. Wochen nach dem Datendiebstahl, mit dem die Angreifer offenbar Lösegeld erpressen wollten, finden sich sensible Informationen im Netz.

Betroffene fordern jetzt nicht die Rückkehr zur papiernen Patientenakte. Was sie empört ist, wie spät sie informiert wurden – erst knapp einen Monat nach dem Cyberangriff. Und da ging es zunächst „nur“ um Daten wie Namen, Adressen und Personennummern. Dass nun Behandlungsprotokolle geleakt wurden, war der zweite, weitreichendere Schock. Der Konzern erklärte sein Vorgehen mit Rücksicht auf die laufenden Ermittlungen.

Aber wer mit derart sensiblen Daten um Lösegeld erpresst wird, sollte zuallererst einsehen, dass er tatsächlich erpressbar ist. Die Verantwortung für die ihm anvertrauten Informationen ist zu groß, um heimlich zu versuchen, irgendwie aus der Sache rauszukommen – und dabei die eigentlich Betroffenen in Unwissen zu lassen. Ob die jemals erfahren werden, inwieweit das Unternehmen sich am jetzigen Leak mitschuldig gemacht hat, dürfte als ungewiss gelten.

Was aber leider klar ist, darauf weisen auch Verbraucherschützer in Deutschland hin: Keine IT-Infrastruktur ist vollständig unverwundbar. Das Risiko eines folgenreichen Cyberangriffs lässt sich trotz der besten Vorkehrungen nicht komplett ausschließen. Es wird die ewige Aufgabe von datensammelnden Institutionen und Unternehmen bleiben, so nah wie möglich an eine hundertprozentige Sicherheit heranzukommen. Und sollte die Datenkatastrophe dennoch passieren, muss die Reaktion – anders als in Dänemark – entschlossen im Sinne der eigentlichen Opfer ausfallen.

Eine Koalition, die was bewegt: taz.de und ihre Leser:innen

Unsere Community ermöglicht den freien Zugang für alle. Dies unterscheidet uns von anderen Nachrichtenseiten. Wir begreifen Journalismus nicht nur als Produkt, sondern auch als öffentliches Gut. Unsere Artikel sollen möglichst vielen Menschen zugutekommen. Mit unserer Berichterstattung versuchen wir das zu tun, was wir können: guten, engagierten Journalismus. Alle Schwerpunkte, Berichte und Hintergründe stellen wir dabei frei zur Verfügung, ohne Paywall. Gerade jetzt müssen Einordnungen und Informationen allen zugänglich sein. Was uns noch unterscheidet: Unsere Leser:innen. Sie müssen nichts bezahlen, wissen aber, dass guter Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 50.000 – und mit Ihrer Beteiligung können wir es schaffen. Es wäre ein schönes Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Anne Diekhoff

Anne Diekhoff

 Nordeuropa-Korrespondentin
Seit 2022 bei der taz. Erst als Themenchefin in Berlin, jetzt als Korrespondentin in Schweden. Früherer Job im Norden: Trolle verkaufen am Fjord. Frühere Redaktionen: Neue OZ, Funke, Watson. Skandinavistin M.A.
Themen #Datenschutz #Gesundheitsdaten #Dänemark #Hacker
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Ultraschalluntersuchung in einer Praxis (Symbolbild aus Deutschland)

Datenleck in Dänemark

Patienten bloßgestellt

Mutmaßliche Hacker erpressen offenbar einen Praxiskonzern, bei dem 130.000 Patienten registriert sind, mit gestohlenen digitalen Patientendaten.
Von Anne Diekhoff
Eine elektronische Gesundheitskarte wird in den Schlitz eines Lesegerätes geschoben

Start der elektronischen Patientenakte

Eine gute Entscheidung braucht ehrliche Kommunikation

Kommentar von Svenja Bergt
Weil über die Risiken der digitalen Patientenakte nicht aufgeklärt wird, können sich Patienten keine neutrale Meinung bilden. Das verspielt Vertrauen.
Eine Hand steckt eine Karte in ein weißes Gerät

Ethischer Hacker über Gesundheitskonten

„Wir hatten theoretisch Zugriff auf alle Patientenakten“

Martin Tschirsich von Chaos Computer Club hält die neue elektronische Patientenakte nicht für sicher. Angreifer könnten gebrauchte Lesegeräte kaufen.
Interview von Kaija Kutter

10 Wochen im Probeabo

taz digital + wochentaz print testen

Greifen Sie zur taz: Besonders wirksam dank wöchentlichem Schwerpunktthema und täglichen Sonderseiten zur heißen Phase des Wahlkampfs.
Jetzt bestellen

7 Kommentare

 / 
  • B

    Zum Thema ePA kann ich nur jedem raten, die Opt-Out-Möglichkeit in Anspruch zu nehmen, so lange sie noch existiert.



    Herr Lauterbach hat auf der Bitcom persönlich damit geprahlt, welche Firmen ihm nachrennen um Zugang zu den deutschen Gesundeitsdaten zu bekommen (natürlich alles sorgfältig anonymisiert). Und das war VOR dem CCC-Hack.



    Der wäre eigentlich noch nicht mal notwendig gewesen, denn alleine aus der Entstehungsgeschichte (Stichworte: gematik, Spahn, Villa) und den zugehörigen Kommentaren derjenigen, die diese Infrastruktur benutzen sollen (Deutsches Ärzteblatt, 1254 Treffer zum Thema) ist schon vollkommen klar, wozu das dienen soll: ökonomische Optimierung der Betreiber.



    Der ganze Rest (Verbesserung der Patientenversorgung, günstigere Preise, bessere Ergebnisse...) ist nur Werbegeschwätz, nichts davon wird passieren.



    BTW: eine sichere Infrastruktur wäre natürlich möglich gewesen, die Tools existieren und sind validiert. Will nur einfach niemand (von den Betreibern).

  • GL

    Der Chaos Computer Club hat die ePa schon auf verschiedene Weisen geknackt, einzeln oder auch in größeren Gruppen nach Arztpraxen.



    Der Spruch: "Keine IT-Infrastruktur ist vollständig unverwundbar" mag zwar stimmen, sollte aber auch nicht darüber hinwegtäuschen, dass man Sicherheit schaffen kann. Eine dezentrale Speicherung, z.B.: auf der Karte des Patienten wurde nicht in Betracht gezogen. Diese hätte selbst im Falle einer großen Schwachstelle den Zugriff auf die Daten nur mit großem Aufwand und im Einzelfall zugelassen.



    Aber man wollte dem Patienten ja die Möglichkeit nehmen, der Industrie nicht all seine Daten zu schenken. Das Problem ist wie immer durch Politiker verursacht worden.

    • S
      @Genosse Luzifer:

      Ich möchte gerne anmerken, dass das Beispiel mit der Speicherung auf der Karte selbst andere Probleme mit sich bringt. Neben der Frage "Wie viel Speicher braucht nun so eine Karte?" wären durch Beschädigung oder Verlust die Patientendaten verloren.

      Aber immerhin ziehen Hacker ihren Vorteil aus der voranschreitenden Digitalisierung.

      • GL
        @Stubenhocker1337:

        Eine Karte mit genug Speicherplatz lässt sich sicher leicht erfinden, sollte die alte Karte nicht genug haben.



        Der Einwand mit dem Verlust stimmt; allerdings muss man auf manche Dinge halt aufpassen. Sicherungskopien kann man ja auch erstellen. Alles in einem bereits geknacktem System zu speichern ist aus meiner Sicht definitiv schlechter.

  • U

    Wenn es denn so wäre, dass datensammelnde Firmen und Institutionen und Behörden alles Nötige unternehmen, um ihr Dach abzudichten und die Eingangstür zu verschließen. Aber weit gefehlt, das Gegenteil ist der Normalfall. Alles was getan wird, ist Compliance, das Papier nicht wert, auf dem die angebliche Absicherung dokumentiert ist. "Aber wir haben doch drei ! verschiedene AntivirenSW gleichzeitig am Start" - alles für die Tonne, nichts davon nützt irgendwas. Baut eure Systeme vernünftig, statt diesen Bauernfängern auf den Leim zu gehen und euch ein Alibi zu verschaffen.

    Ja, das Risiko eines erfolgreichen Angriffs ist nicht komplett auszuschließen, daran trägt der Staat aber auch eine gehörige Mitschuld, durch Staatstrojaner (wodurch Lücken nicht geschlossen werden), durch ein ahnungsloses BSI, das seiner Aufgabe in keinster Weise gerecht wird, und durch den Hackerparagraphen (wodurch unabhängige wohlmeinende Sicherheitsexperten wie die vom CCC ihre Arbeit nicht machen können), aber zwischen 20% abgedichtet (der Normalzustand da draußen) und 99% abgedichtet ist noch jede Menge Luft.

    Das gilt analog natürlich auch für Dänemark und andere Länder. Deshalb zb der ePA widersprechen.

  • P

    Das blüht uns beim aktuellen Stand der Sicherheit der ePA quasie jederzeit und für alle. Ich sehe es auch so, dass nichts absolut sicher ist und man versuchen sollte den 100% Sicherheit so nahe wie möglich zu kommen. Leider hat man diesen Versuch nach etwa 50% für gut genug erklärt und erst, nachdem man mehrmals drauf gestoßen wurde, dass das absolut nicht reicht, überhaupt drüber nachdenkt wenigstens die 55% zu erreichen.

  •

    Das übliche Vorgehen halt.



    1. so lang als möglich tot schweigen



    2. Spindoctors in Stellung bringen



    3. Marketingkampagne lostreten



    4. Kleinmütig Schuldbewusstsein heucheln.



    5. Besserung loben

meistkommentiert

1

Leak zu Zwei-Klassen-Struktur beim BSW

Sahras Knechte

2

Klimaneutral bis 2045?

Grünes Wachstum ist wie Abnehmenwollen durch mehr Essen

3

Nach Hitlergruß von Trump-Berater Bannon

Rechtspopulist Bardella sagt Rede ab

4

Bildungsforscher über Zukunft der Kinder

„Bitte nicht länger ignorieren“

5

Wahlentscheidung

Mit dem Wahl-O-Mat auf Weltrettung

6

CDU-Chef Friedrich Merz

Friedrich der Mittelgroße