Peter Bauer, Chef des IT-Sicherheitsunternehmens McAfee in Deutschland, war vor einiger Zeit mit einem außergewöhnlichen Fall konfrontiert. Kriminelle wollten einen Politiker erpressen. Sie drohten, Gesundheitsdaten des Politikers zu veröffentlichen, die für ihn das gesellschaftliche und somit berufliche Aus bedeuten würden.
"Es wurden Gesundheitsdaten gestohlen und diese wurden genutzt, um jemanden zu erpressen und zu diffamieren. Der Politiker hat das damals öffentlich gemacht und dann wurde der Sache halt nachgegangen. Und dann hat sich herausgestellt, dass ganz spezifische Daten von ihm gestohlen wurden im Rahmen einer größeren Aktion. Es war nicht eine gezielte Aktion, sondern im Rahmen einer größeren Aktion."
Markt für Gesundheitsdaten im Darknet
Die Erpresser hatten die Gesundheitsdaten des Politikers aus dem Darknet. Als Darknet wird der Teil des Internet bezeichnet, der nur über das TOR-Netzwerk erreichbar ist, das größtmögliche Anonymität bietet, aber auch illegale Geschäfte erleichtert. Peter Bauer:
"Im Darknet gibt es einen Markt für Gesundheitsdaten. Die gestohlenen Daten gehen in der Regel ins Darknet, weil sie dort für einen bestimmten Wert halt verkauft werden. Dann kann man sich dort natürlich gezielt an Daten orientieren und Daten einkaufen, so wie man das ganz normal im Wirtschaftsumfeld mit Personendaten, Wirtschaftsspionage, Politikerdaten, wie man die halt beziehen kann. Und dann wird ein Preis ausgehandelt und darüber entsteht dort ein Wirtschaftskreislauf."
"Im Darknet gibt es einen Markt für Gesundheitsdaten. Die gestohlenen Daten gehen in der Regel ins Darknet, weil sie dort für einen bestimmten Wert halt verkauft werden. Dann kann man sich dort natürlich gezielt an Daten orientieren und Daten einkaufen, so wie man das ganz normal im Wirtschaftsumfeld mit Personendaten, Wirtschaftsspionage, Politikerdaten, wie man die halt beziehen kann. Und dann wird ein Preis ausgehandelt und darüber entsteht dort ein Wirtschaftskreislauf."
Datenverarbeitung ohne Widerspruchsrecht
Ausgespäht werden dabei zunehmend medizinische Datenbanken. Ausgerechnet die Bundesregierung könnte solchen kriminellen Hackern das Geschäft erleichtern. Seit Januar 2020 ist das Implantateregister-Errichtungsgesetz in Kraft. In einem Implantateregister sollen Hüft- und Knieprothesen, aber auch Brustimplantate, Stents und andere Implantate erfasst werden. Gegen solch ein Register kann niemand etwas haben. Wie solide ein Herzschrittmacher arbeitet oder ob Risiken für ein bestimmtes Brustimplantat bekannt sind, das wollen Patienten wissen und sie begrüßen es, wenn ihre Ärzte das vor einer Operation abklären.
Unsichere Server: Offenbar Millionen Patientendaten im Netz
Bundesdatenschützer Ulrich Kelber fordert eine bessere Ausstattung von Datenschutzbehörden. Er reagiert damit auf eine BR-Recherche, wonach weltweit Millionen hochsensibler Patientendaten im Netz zugänglich sind. Betroffen sind offenbar mehr als 50 Staaten, darunter auch Deutschland.
Bundesdatenschützer Ulrich Kelber fordert eine bessere Ausstattung von Datenschutzbehörden. Er reagiert damit auf eine BR-Recherche, wonach weltweit Millionen hochsensibler Patientendaten im Netz zugänglich sind. Betroffen sind offenbar mehr als 50 Staaten, darunter auch Deutschland.
Das Implantate-Errichtungsgesetz schreibt aber auch vor, dass der Patient, dem ein Implantat eingesetzt wird – ein Herzschrittmacher zum Beispiel –, seine sämtlichen Patientendaten an das Register geben muss. Er hat kein Widerspruchsrecht gegen die Datenverarbeitung. Und das bedeutet, er kann auch nicht festlegen, unter welchen Bedingungen er seine Daten freigeben will. Die Pflicht zur vollständigen Datenabgabe ohne Widerspruchsrecht begründet der Unfallchirurg Professor Joachim Hassenpflug so:
"Das ist ganz entscheidend für die Verlässlichkeit und Belastbarkeit der Ergebnisse. Denn wenn zum Beispiel Fälle, die problematisch sind, Problembereiche nicht entsprechend im Register dokumentiert werden, ergibt sich ein ausgesprochen verzerrtes Bild."
"Das ist ganz entscheidend für die Verlässlichkeit und Belastbarkeit der Ergebnisse. Denn wenn zum Beispiel Fälle, die problematisch sind, Problembereiche nicht entsprechend im Register dokumentiert werden, ergibt sich ein ausgesprochen verzerrtes Bild."
Kritiker werden Aushebelung des Datenschutzes vor
Der Bundesbeauftragte für den Datenschutz war zu den Anhörungen über den Entwurf des Implantate-Errichtungsgesetzes im Deutschen Bundestag nicht einmal eingeladen. Die Datenschutzexperten der Gesellschaft für Informatik kritisierten das massiv und zogen daraus den Schluss, Chancen und Risiken seien nicht ausreichend abgeklärt worden. Sie sehen hier eine Aushebelung des Datenschutzes. Diese Aushebelung hätte die Bundesregierung mit einigen juristischen Klimmzügen hinbekommen, weil sie für das Implantate-Errichtungsgesetz eine rechtliche Grundlage geschaffen habe, die den Datenschutz einem größeren Nutzen für die Allgemeinheit unterordnet.
Zunächst hatte das Bundesgesundheitsministerium auch noch damit argumentiert, dass die Patientendaten anonymisiert würden. Später war nur noch von einer Pseudonymisierung die Rede. Bei diesem Verfahren wird der Patientenname durch ein Pseudonym ersetzt. Es kann aber leicht auf die Identität eines einzelnen Patienten zurückgerechnet werden. An welchen Stellen Patientendaten pseudonymisiert und wo Klardaten verwendet werden, ist zudem bis heute unklar. Auch, wer alles Zugriff auf diese Daten hat, ist nur unzureichend geregelt. Letztlich entscheidet darüber das Bundesgesundheitsministerium.
Illegaler Datenhandel könnte explodieren
Ebenso unklar ist, wie die Datenbanken des Implantateregisters abgesichert werden. Hier sehen Sicherheitsexperten wie der Informatik-Professor Hartmut Pohl eine Riesengefahr. Sie befürchten, dass die heiklen Patientendaten künftig von Online-Kriminellen ausgespäht werden. Hartmut Pohl:
"Der erste Angriff auf diese Cloud oder dieses Rechenzentrum, der gelingt, sorgt dafür, dass die Daten auf dem Markt sind und es kann nie wieder korrigiert werden."
"Der erste Angriff auf diese Cloud oder dieses Rechenzentrum, der gelingt, sorgt dafür, dass die Daten auf dem Markt sind und es kann nie wieder korrigiert werden."
