piwik no script img

taz zahl ich

Sicherheit von GesundheitsdatenTransparenz bei Leaks

Anne Diekhoff
Kommentar von Anne Diekhoff

In Dänemark wurden Gesundheitsdaten geleakt und öffentlich. Die Betroffenen empört aber vor allem, dass sie zu spät informiert wurden.

Röntgenaufnahme eines menschlichen Brust
Gläserne Patienten? Keine IT-Infrastruktur ist vollständig unverwundbar Foto: Dmitry Rukhlenko/imageBROKER/imago

W as meine Arztpraxis über mich weiß, weiß sonst niemand: So sollte es sein. In Dänemark erleben gerade 130.000 Menschen, dass es für die Vertraulichkeit ihrer Krankengeschichte keine Garantie gibt. Die schlimmsten Befürchtungen derer, die vor den Gefahren der allumfassenden Digitalisierung warnen, wurden nach einem Hackerangriff auf einen Praxiskonzern wahr. Wochen nach dem Datendiebstahl, mit dem die Angreifer offenbar Lösegeld erpressen wollten, finden sich sensible Informationen im Netz.

Betroffene fordern jetzt nicht die Rückkehr zur papiernen Patientenakte. Was sie empört ist, wie spät sie informiert wurden – erst knapp einen Monat nach dem Cyberangriff. Und da ging es zunächst „nur“ um Daten wie Namen, Adressen und Personennummern. Dass nun Behandlungsprotokolle geleakt wurden, war der zweite, weitreichendere Schock. Der Konzern erklärte sein Vorgehen mit Rücksicht auf die laufenden Ermittlungen.

Aber wer mit derart sensiblen Daten um Lösegeld erpresst wird, sollte zuallererst einsehen, dass er tatsächlich erpressbar ist. Die Verantwortung für die ihm anvertrauten Informationen ist zu groß, um heimlich zu versuchen, irgendwie aus der Sache rauszukommen – und dabei die eigentlich Betroffenen in Unwissen zu lassen. Ob die jemals erfahren werden, inwieweit das Unternehmen sich am jetzigen Leak mitschuldig gemacht hat, dürfte als ungewiss gelten.

Was aber leider klar ist, darauf weisen auch Verbraucherschützer in Deutschland hin: Keine IT-Infrastruktur ist vollständig unverwundbar. Das Risiko eines folgenreichen Cyberangriffs lässt sich trotz der besten Vorkehrungen nicht komplett ausschließen. Es wird die ewige Aufgabe von datensammelnden Institutionen und Unternehmen bleiben, so nah wie möglich an eine hundertprozentige Sicherheit heranzukommen. Und sollte die Datenkatastrophe dennoch passieren, muss die Reaktion – anders als in Dänemark – entschlossen im Sinne der eigentlichen Opfer ausfallen.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Anne Diekhoff

Anne Diekhoff

 Nordeuropa-Korrespondentin
Seit 2022 bei der taz. Erst als Themenchefin in Berlin, jetzt als Korrespondentin in Schweden. Früherer Job im Norden: Trolle verkaufen am Fjord. Frühere Redaktionen: Neue OZ, Funke, Watson. Skandinavistin M.A.
Themen #Datenschutz #Gesundheitsdaten #Dänemark #Hacker #Social-Auswahl
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Ultraschalluntersuchung in einer Praxis (Symbolbild aus Deutschland)

Datenleck in Dänemark

Patienten bloßgestellt

Mutmaßliche Hacker erpressen offenbar einen Praxiskonzern, bei dem 130.000 Patienten registriert sind, mit gestohlenen digitalen Patientendaten.
Von Anne Diekhoff
Eine elektronische Gesundheitskarte wird in den Schlitz eines Lesegerätes geschoben

Start der elektronischen Patientenakte

Eine gute Entscheidung braucht ehrliche Kommunikation

Kommentar von Svenja Bergt
Weil über die Risiken der digitalen Patientenakte nicht aufgeklärt wird, können sich Patienten keine neutrale Meinung bilden. Das verspielt Vertrauen.
Eine Hand steckt eine Karte in ein weißes Gerät

Ethischer Hacker über Gesundheitskonten

„Wir hatten theoretisch Zugriff auf alle Patientenakten“

Martin Tschirsich von Chaos Computer Club hält die neue elektronische Patientenakte nicht für sicher. Angreifer könnten gebrauchte Lesegeräte kaufen.
Interview von Kaija Kutter

10 Wochen im Probeabo

taz digital + wochentaz print testen

Wahre Liebe und heiße Flirts: Wir schauen auf die politische Reality Deutschlands – jede Woche mit Schwerpunktthema und auf täglichen Sonderseiten zur heißen Phase des Wahlkampfs.
Jetzt bestellen

7 Kommentare

 / 
  • B

    Zum Thema ePA kann ich nur jedem raten, die Opt-Out-Möglichkeit in Anspruch zu nehmen, so lange sie noch existiert.



    Herr Lauterbach hat auf der Bitcom persönlich damit geprahlt, welche Firmen ihm nachrennen um Zugang zu den deutschen Gesundeitsdaten zu bekommen (natürlich alles sorgfältig anonymisiert). Und das war VOR dem CCC-Hack.



    Der wäre eigentlich noch nicht mal notwendig gewesen, denn alleine aus der Entstehungsgeschichte (Stichworte: gematik, Spahn, Villa) und den zugehörigen Kommentaren derjenigen, die diese Infrastruktur benutzen sollen (Deutsches Ärzteblatt, 1254 Treffer zum Thema) ist schon vollkommen klar, wozu das dienen soll: ökonomische Optimierung der Betreiber.



    Der ganze Rest (Verbesserung der Patientenversorgung, günstigere Preise, bessere Ergebnisse...) ist nur Werbegeschwätz, nichts davon wird passieren.



    BTW: eine sichere Infrastruktur wäre natürlich möglich gewesen, die Tools existieren und sind validiert. Will nur einfach niemand (von den Betreibern).

  • GL

    Der Chaos Computer Club hat die ePa schon auf verschiedene Weisen geknackt, einzeln oder auch in größeren Gruppen nach Arztpraxen.



    Der Spruch: "Keine IT-Infrastruktur ist vollständig unverwundbar" mag zwar stimmen, sollte aber auch nicht darüber hinwegtäuschen, dass man Sicherheit schaffen kann. Eine dezentrale Speicherung, z.B.: auf der Karte des Patienten wurde nicht in Betracht gezogen. Diese hätte selbst im Falle einer großen Schwachstelle den Zugriff auf die Daten nur mit großem Aufwand und im Einzelfall zugelassen.



    Aber man wollte dem Patienten ja die Möglichkeit nehmen, der Industrie nicht all seine Daten zu schenken. Das Problem ist wie immer durch Politiker verursacht worden.

    • S
      @Genosse Luzifer:

      Ich möchte gerne anmerken, dass das Beispiel mit der Speicherung auf der Karte selbst andere Probleme mit sich bringt. Neben der Frage "Wie viel Speicher braucht nun so eine Karte?" wären durch Beschädigung oder Verlust die Patientendaten verloren.

      Aber immerhin ziehen Hacker ihren Vorteil aus der voranschreitenden Digitalisierung.

      • GL
        @Stubenhocker1337:

        Eine Karte mit genug Speicherplatz lässt sich sicher leicht erfinden, sollte die alte Karte nicht genug haben.



        Der Einwand mit dem Verlust stimmt; allerdings muss man auf manche Dinge halt aufpassen. Sicherungskopien kann man ja auch erstellen. Alles in einem bereits geknacktem System zu speichern ist aus meiner Sicht definitiv schlechter.

  • U

    Wenn es denn so wäre, dass datensammelnde Firmen und Institutionen und Behörden alles Nötige unternehmen, um ihr Dach abzudichten und die Eingangstür zu verschließen. Aber weit gefehlt, das Gegenteil ist der Normalfall. Alles was getan wird, ist Compliance, das Papier nicht wert, auf dem die angebliche Absicherung dokumentiert ist. "Aber wir haben doch drei ! verschiedene AntivirenSW gleichzeitig am Start" - alles für die Tonne, nichts davon nützt irgendwas. Baut eure Systeme vernünftig, statt diesen Bauernfängern auf den Leim zu gehen und euch ein Alibi zu verschaffen.

    Ja, das Risiko eines erfolgreichen Angriffs ist nicht komplett auszuschließen, daran trägt der Staat aber auch eine gehörige Mitschuld, durch Staatstrojaner (wodurch Lücken nicht geschlossen werden), durch ein ahnungsloses BSI, das seiner Aufgabe in keinster Weise gerecht wird, und durch den Hackerparagraphen (wodurch unabhängige wohlmeinende Sicherheitsexperten wie die vom CCC ihre Arbeit nicht machen können), aber zwischen 20% abgedichtet (der Normalzustand da draußen) und 99% abgedichtet ist noch jede Menge Luft.

    Das gilt analog natürlich auch für Dänemark und andere Länder. Deshalb zb der ePA widersprechen.

  • P

    Das blüht uns beim aktuellen Stand der Sicherheit der ePA quasie jederzeit und für alle. Ich sehe es auch so, dass nichts absolut sicher ist und man versuchen sollte den 100% Sicherheit so nahe wie möglich zu kommen. Leider hat man diesen Versuch nach etwa 50% für gut genug erklärt und erst, nachdem man mehrmals drauf gestoßen wurde, dass das absolut nicht reicht, überhaupt drüber nachdenkt wenigstens die 55% zu erreichen.

  •

    Das übliche Vorgehen halt.



    1. so lang als möglich tot schweigen



    2. Spindoctors in Stellung bringen



    3. Marketingkampagne lostreten



    4. Kleinmütig Schuldbewusstsein heucheln.



    5. Besserung loben

meistkommentiert

1

Angriff auf Kinder in Aschaffenburg

Merz und Söder fordern Grenzschließung für alle Flüchtlinge

2

Zwei Tote und zwei Verletzte

Entsetzen nach Messerattacke auf Kinder in Aschaffenburg

3

Gegenwehr gegen Donald Trump

Eine neue Antifa-Heldin

4

Sy­re­r*in­nen in Deutschland

Kein Grund zu gehen

5

Friedensbewegung heute

Gespalten und orientierungslos

6

Lichtermeer gegen Rechtsruck

Die Demos gegen rechts sind zurück