Informationen zur persönlichen Gesundheit sind mit die intimsten Details von Menschen. Wer woran erkrankt, von einer Sucht geplagt oder in der Seele überlastet ist – das gehört zu den schätzenswertesten Daten, die gespeichert und verarbeitet werden können. Entsprechend umfassend müssen Diagnosen, Therapiedetails oder die Medikation von Patienten gegen Missbrauch geschützt werden.
Und umso schwerer wiegt, wenn es Hackern gelingt – wie gerade in Australien geschehen –, doch Zugriff auf solche hoch sensiblen Informationen zu bekommen.
Dort sind Cyberkriminelle in die IT-Systeme von Medibank eingedrungen, dem größten australischen Krankenversicherer, und haben Daten von 9,7 Millionen Kunden gestohlen. Im Fall von rund einer halben Million Menschen soll es sich dabei um konkrete, gesundheitsbezogene Angaben handeln, wie die australische Bundespolizei und Medibank berichten. Nachdem sich der Versicherer geweigert hatte, Lösegeld zu zahlen, haben die Erpresser – die laut Bundespolizei von Russland aus operieren – begonnen, Patientendaten im Internet zu veröffentlichen. Darunter so sensible Informationen wie Angaben zu Abtreibungen oder Alkoholabhängigkeit.
Auch Geheimdienste wollen an Gesundheitsdaten
Der digitale Raubzug in Australien ist nur der jüngste erfolgreiche Angriff auf Unternehmen, die gesundheitsbezogene Personendaten verarbeiten. Im Herbst 2020 etwa hatten Hacker in Finnland Daten von mehreren zehntausend Patienten des privaten Psychotherapieanbieters Vastaamo gestohlen, der landesweit 25 Therapiezentren betreibt. Anschließend erpressten die Cyberkriminellen nicht das Unternehmen, sondern die Patienten mit der Drohung, Details zum Krankheitsbild oder Informationen aus Therapiegesprächen zu veröffentlichen.
Und da bekommt der jüngste Datenraub in Australien eine zweite, besonders brisante Dimension: Denn längst sind die Übergänge zwischen Cyberkriminellen und Geheimdiensten fließend, zahlen staatliche Datensammler attraktive Prämien an Hacker, die bei ihren Raubzügen an sensible Informationen über Zielpersonen aus Politik und Wirtschaft anderer Staaten gelangen.
Aus gutem Grund: Gerade mithilfe von Wissen um die persönliche Gesundheit und möglicherweise auch den Lebenswandel, der sie beeinflusst, bekommen die Erpresser ein außerordentliches Druckmittel gegen die Betroffenen in die Hand. Im Fall der Medibank gehört beispielsweise auch Australiens Premierminister Anthony Albanese zu den Kunden, die vom Diebstahl medizinischer Befunde und Therapiedaten betroffen sein könnten.
Angesichts dieser doppelten Brisanz von Cyberattacken auf Gesundheitsdaten – zum einen der schweren Verletzung der Intimsphäre, zum anderen der besonderen Erpressbarkeit der Betroffenen – ist es nicht nachvollziehbar, dass für den Umgang mit Patientendaten in Deutschland keine verschärften Schutzvorgaben bestehen.
Ja, die Regeln der Datenschutzgrundverordnung gelten auch für Krankenversicherer. Aber das tun sie nicht anders für Adresshändler, die Werbebriefe verschicken, oder für Schwimmvereine, die ihre Mitglieder verwalten. Und das ist einfach zu wenig.
Die ganze Gesundheitsbranche – von der Arztpraxis bis zum Versicherer – gehört als sogenannte Kritische Infrastruktur („Kritis“) eingestuft und damit von den gesetzlichen Schutzvorgaben erfasst, die im Gesundheitssektor bisher nur für Krankenhausbetreiber, Labore sowie Arzneimittel- und Impfstoffherstellung, -verteilung und -abgabe gelten. Teil dieser Auflagen sind rigide und kontinuierlich verschärfte Auflagen für den Schutz von IT-Systemen und den darin gespeicherten Patienteninformationen.
Es ist höchste Zeit, die sogenannte Kritisverordnung nachzuschärfen, die definiert, für welche Branchen und Unternehmen besondere Schutzauflagen gelten. Die Verordnung soll alle zwei Jahre überarbeitet werden und wurde zuletzt Anfang 2022 novelliert; allerdings mit einem Jahr Verzug. Insofern steht bereits wieder die nächste Revision an. Und sie muss den Gesundheitssektor als Ganzes erfassen.
Es eilt. Denn auch hierzulande sind Gesundheitsversicherer und -dienstleister längst im Visier der Datendiebe.
Lesen Sie auch: Zwei-Faktor-Authentifizierung gilt als wirksamer Schutz gegen Onlinebetrüger. Dennoch umgehen Angreifer diese Hürde immer öfter. Fünf typische Hacker-Tricks und wie Sie sich schützen.
