Sicherheit von Gesundheitsdaten: Transparenz bei Leaks

W as meine Arztpraxis über mich weiß, weiß sonst niemand: So sollte es sein. In Dänemark erleben gerade 130.000 Menschen, dass es für die Vertraulichkeit ihrer Krankengeschichte keine Garantie gibt. Die schlimmsten Befürchtungen derer, die vor den Gefahren der allumfassenden Digitalisierung warnen, wurden nach einem Hackerangriff auf einen Praxiskonzern wahr. Wochen nach dem Datendiebstahl, mit dem die Angreifer offenbar Lösegeld erpressen wollten, finden sich sensible Informationen im Netz.

Betroffene fordern jetzt nicht die Rückkehr zur papiernen Patientenakte. Was sie empört ist, wie spät sie informiert wurden – erst knapp einen Monat nach dem Cyberangriff. Und da ging es zunächst „nur“ um Daten wie Namen, Adressen und Personennummern. Dass nun Behandlungsprotokolle geleakt wurden, war der zweite, weitreichendere Schock. Der Konzern erklärte sein Vorgehen mit Rücksicht auf die laufenden Ermittlungen.

Aber wer mit derart sensiblen Daten um Lösegeld erpresst wird, sollte zuallererst einsehen, dass er tatsächlich erpressbar ist. Die Verantwortung für die ihm anvertrauten Informationen ist zu groß, um heimlich zu versuchen, irgendwie aus der Sache rauszukommen – und dabei die eigentlich Betroffenen in Unwissen zu lassen. Ob die jemals erfahren werden, inwieweit das Unternehmen sich am jetzigen Leak mitschuldig gemacht hat, dürfte als ungewiss gelten.

Was aber leider klar ist, darauf weisen auch Verbraucherschützer in Deutschland hin: Keine IT-Infrastruktur ist vollständig unverwundbar. Das Risiko eines folgenreichen Cyberangriffs lässt sich trotz der besten Vorkehrungen nicht komplett ausschließen. Es wird die ewige Aufgabe von datensammelnden Institutionen und Unternehmen bleiben, so nah wie möglich an eine hundertprozentige Sicherheit heranzukommen. Und sollte die Datenkatastrophe dennoch passieren, muss die Reaktion – anders als in Dänemark – entschlossen im Sinne der eigentlichen Opfer ausfallen.