Manfred Kloiber: In dieser Woche haben die Kollegen vom ARD-Magazin Kontraste von einem millionenfachen Datendiebstahl berichtet. Unklar war bisher allerdings, wie die Datendiebe an teilweise hochsensible Versichertendaten der BKK Gesundheit gelangt sind. Das ist jetzt aufgeklärt. Peter Welchering, wie ist denn der Datendiebstahl vonstatten gegangen?
Peter Welchering: Auf eine unglaublich simple Weise. Man glaubt das wirklich kaum. Nämlich per Bildschirmauszug. Bei den Callcenter-Mitarbeitern, die für die BKK Gesundheit tätig sind, ist auf deren PCs eine Terminalemulation installiert. Und über diese Terminalemulation wird eine Verschlüsselte Verbindung via virtuellem privatem Netzwerk zum Rechenzentrum der BKK Gesundheit aufgebaut. Da greifen dann die Callcenter-Mitarbeiter auf die Versichertendaten zu. Die können sie nur lesen, das ist ja auch richtig so, die können sie nicht ausdrucken oder per Mail weiter versenden eigentlich. Aber was hier passiert ist: Wenn so ein Datensatz am Bildschirm angezeigt wird, dann ist ein Screenshot gemacht worden, ein Bildschirmauszug. Also genaugenommen ist der Inhalt des Speichers der Grafikkarte in eine eigene Datei geschrieben worden. Und das, was auf dem Bildschirm angezeigt wurde, das wurde also via Screenshot in eine Datei kopiert und das lässt sich automatisieren, dieses Verfahren. Wann immer ein Datensatz am Bildschirm angezeigt wird, wird so ein Screenshot gemacht, wird der Bildschirminhalt eben in eine Datei geschrieben. Und pro Versichertendatensatz bei der BKK Gesundheit sind das 15 unterschiedliche Bildschirme, also 15 Karteireiter, wenn man sich das so vorstellen will. Und die lassen sich dann auf diese Weise leicht in eine eigene Datei kopieren und leicht weiterverarbeiten.
Kloiber: Um solche Bildschirmauszüge zu kopieren und weiterverarbeiten zu können, braucht der Mitarbeiter aber einiges an Software auf seinem Rechner. Hat das bei der Krankenkasse oder dem Callcenter niemand bemerkt?
Welchering: Nein, und das konnte auch niemand bemerken. Generell, um Bildschirmauszüge kopieren zu können, braucht man ein Screenshot-Programm. Und um dieses Abziehen von Bildschirminhalten zu automatisieren, muss der Mitarbeiter eine kleine Routine haben, unter Umständen ist sie auf Betriebssystem-Ebene geschrieben. Und um diese Daten dann wirklich stehlen zu können, muss er diese Dateien, die da entstanden sind, auf eine CD brennen oder auf einen Wechseldatenträger kopieren. Und die Voraussetzung, um so ein Screenshot-Programm einsetzen zu können oder um so eine Betriebssystem-Routine zu schreiben für die automatisierte Weiterverarbeitung, um diese Daten dann beispielsweise auch auf CD zu brennen oder per Mail wohin auch immer zu versenden oder etwa auf so einen USB-Stick zu beamen, die waren hier denkbar einfach. Es gab nämlich Callcenter-Mitarbeiter, die ihren Job mit ihrem privaten PC von zu Hause vom Küchentisch mehr oder weniger aus gemacht haben. Und möglich war das durch eine etwas verwinkelte Konstruktion und die erläutert Knud Brandis, IT-Sachverständiger, der die ganze Angelegenheit im Auftrag des Vorstandes der BKK Gesundheit derzeit untersucht.
Knud Brandis: Das direkte Vertragsverhältnis der BKK hatte eine Outsourcing-Firma aus Bayern. Die hatte zum 1. Januar dieses Jahres wohl einen Teil des Auftrages vergeben an eine Berliner Firma. Und die Berliner Firma – das sind die aktuellen Erkenntnisse – hat Callcenter-Agenten wiederum benutzt, die eben home-office arbeiten. Und scheinbar waren darunter auch Privatarbeitsplätze. Die Benutzer haben sich mit ihren Privatarbeitsplätzen über eine gesicherte, also eine verschlüsselte Internetleitung mit dem Rechenzentrum der BKK verbunden. Dort mussten sie sich mit einem personifizierten Login anmelden, das heißt, jeder Mitarbeiter hat genau seinen eigenen, auf ihn persönlich zugeschnittenen Login, also Benutzername, Passwort, gehabt und waren in einer bestimmten Sicherheitsgruppe drin, die die Zugriffsrechte auf die Applikationen hatte.
Welchering: Und mit diesen Applikationen konnte auf hochsensible Daten zugegriffen werden, etwa auf medizinische Diagnosedaten. Und diese Daten konnten per Screenshot kopiert werden. Denn was auf diesen Rechnern zu Hause, bei den Mitarbeitern – teilweise Aushilfen waren das, teilweise Freiberufler – noch so an Software läuft, das hat niemand kontrolliert. Mit anderen Worten: In welcher Umgebung hier hochpersönliche und hochsensible Daten verarbeitet wurden, medizinische Daten, das ist zu keinem Zeitpunkt überprüft worden.
Kloiber: Herr Welchering, reden wir über den Schaden. Wie viele Versichertendaten sind denn gestohlen worden?
Welchering: Das steht im Augenblick noch nicht fest. Aber die BKK Gesundheit hat 1,5 Millionen Versicherte. Und die mutmaßlichen Täter hatten Zugriff auf zwei Applikationen mit Identifikationsdaten, persönlichen Daten und eben auch diesen Diagnosedaten. Der Sachverständige Knud Brandis meint, es seien nicht allzu viele Daten entwendet worden, weil ja immer diese Screenshots gemacht werden sollten. Aber man muss wissen: Auch wenn diese Daten als Screenshots, als Bilddatei entwendet wurden und wenn der Täter auch 15 Bilder braucht, um einen kompletten Datensatz abzubilden und wenn auch tatsächlich nur dieses Callcenter vier Wochen lang gearbeitet hat; man kann natürlich diese Art der Tätigkeit, diese Art des Datenabgreifens automatisieren. Und wenn man das automatisiert, das heißt, wann immer ein neuer Bildschirminhalt kommt, wird automatisch ein Screenshot gezogen von einem Programm. Der wird automatisch in eine Datei geschrieben. Die wiederum wird automatisch zusammengefügt, bis 15 Datensätze, also Karteireiter dieser Kartei zusammen sind und dann abgeschickt. Dann kann man natürlich in sehr kurzer Zeit sehr, sehr viele Daten auf diese Weise erbeuten. Also es steht zu befürchten, dass wirklich sehr viele Versicherte von diesem Datendiebstahl tatsächlich betroffen sind.
Kloiber: Peter Welchering war das über das Datenleck bei der BKK Gesundheit. Herzlichen Dank.
Peter Welchering: Auf eine unglaublich simple Weise. Man glaubt das wirklich kaum. Nämlich per Bildschirmauszug. Bei den Callcenter-Mitarbeitern, die für die BKK Gesundheit tätig sind, ist auf deren PCs eine Terminalemulation installiert. Und über diese Terminalemulation wird eine Verschlüsselte Verbindung via virtuellem privatem Netzwerk zum Rechenzentrum der BKK Gesundheit aufgebaut. Da greifen dann die Callcenter-Mitarbeiter auf die Versichertendaten zu. Die können sie nur lesen, das ist ja auch richtig so, die können sie nicht ausdrucken oder per Mail weiter versenden eigentlich. Aber was hier passiert ist: Wenn so ein Datensatz am Bildschirm angezeigt wird, dann ist ein Screenshot gemacht worden, ein Bildschirmauszug. Also genaugenommen ist der Inhalt des Speichers der Grafikkarte in eine eigene Datei geschrieben worden. Und das, was auf dem Bildschirm angezeigt wurde, das wurde also via Screenshot in eine Datei kopiert und das lässt sich automatisieren, dieses Verfahren. Wann immer ein Datensatz am Bildschirm angezeigt wird, wird so ein Screenshot gemacht, wird der Bildschirminhalt eben in eine Datei geschrieben. Und pro Versichertendatensatz bei der BKK Gesundheit sind das 15 unterschiedliche Bildschirme, also 15 Karteireiter, wenn man sich das so vorstellen will. Und die lassen sich dann auf diese Weise leicht in eine eigene Datei kopieren und leicht weiterverarbeiten.
Kloiber: Um solche Bildschirmauszüge zu kopieren und weiterverarbeiten zu können, braucht der Mitarbeiter aber einiges an Software auf seinem Rechner. Hat das bei der Krankenkasse oder dem Callcenter niemand bemerkt?
Welchering: Nein, und das konnte auch niemand bemerken. Generell, um Bildschirmauszüge kopieren zu können, braucht man ein Screenshot-Programm. Und um dieses Abziehen von Bildschirminhalten zu automatisieren, muss der Mitarbeiter eine kleine Routine haben, unter Umständen ist sie auf Betriebssystem-Ebene geschrieben. Und um diese Daten dann wirklich stehlen zu können, muss er diese Dateien, die da entstanden sind, auf eine CD brennen oder auf einen Wechseldatenträger kopieren. Und die Voraussetzung, um so ein Screenshot-Programm einsetzen zu können oder um so eine Betriebssystem-Routine zu schreiben für die automatisierte Weiterverarbeitung, um diese Daten dann beispielsweise auch auf CD zu brennen oder per Mail wohin auch immer zu versenden oder etwa auf so einen USB-Stick zu beamen, die waren hier denkbar einfach. Es gab nämlich Callcenter-Mitarbeiter, die ihren Job mit ihrem privaten PC von zu Hause vom Küchentisch mehr oder weniger aus gemacht haben. Und möglich war das durch eine etwas verwinkelte Konstruktion und die erläutert Knud Brandis, IT-Sachverständiger, der die ganze Angelegenheit im Auftrag des Vorstandes der BKK Gesundheit derzeit untersucht.
Knud Brandis: Das direkte Vertragsverhältnis der BKK hatte eine Outsourcing-Firma aus Bayern. Die hatte zum 1. Januar dieses Jahres wohl einen Teil des Auftrages vergeben an eine Berliner Firma. Und die Berliner Firma – das sind die aktuellen Erkenntnisse – hat Callcenter-Agenten wiederum benutzt, die eben home-office arbeiten. Und scheinbar waren darunter auch Privatarbeitsplätze. Die Benutzer haben sich mit ihren Privatarbeitsplätzen über eine gesicherte, also eine verschlüsselte Internetleitung mit dem Rechenzentrum der BKK verbunden. Dort mussten sie sich mit einem personifizierten Login anmelden, das heißt, jeder Mitarbeiter hat genau seinen eigenen, auf ihn persönlich zugeschnittenen Login, also Benutzername, Passwort, gehabt und waren in einer bestimmten Sicherheitsgruppe drin, die die Zugriffsrechte auf die Applikationen hatte.
Welchering: Und mit diesen Applikationen konnte auf hochsensible Daten zugegriffen werden, etwa auf medizinische Diagnosedaten. Und diese Daten konnten per Screenshot kopiert werden. Denn was auf diesen Rechnern zu Hause, bei den Mitarbeitern – teilweise Aushilfen waren das, teilweise Freiberufler – noch so an Software läuft, das hat niemand kontrolliert. Mit anderen Worten: In welcher Umgebung hier hochpersönliche und hochsensible Daten verarbeitet wurden, medizinische Daten, das ist zu keinem Zeitpunkt überprüft worden.
Kloiber: Herr Welchering, reden wir über den Schaden. Wie viele Versichertendaten sind denn gestohlen worden?
Welchering: Das steht im Augenblick noch nicht fest. Aber die BKK Gesundheit hat 1,5 Millionen Versicherte. Und die mutmaßlichen Täter hatten Zugriff auf zwei Applikationen mit Identifikationsdaten, persönlichen Daten und eben auch diesen Diagnosedaten. Der Sachverständige Knud Brandis meint, es seien nicht allzu viele Daten entwendet worden, weil ja immer diese Screenshots gemacht werden sollten. Aber man muss wissen: Auch wenn diese Daten als Screenshots, als Bilddatei entwendet wurden und wenn der Täter auch 15 Bilder braucht, um einen kompletten Datensatz abzubilden und wenn auch tatsächlich nur dieses Callcenter vier Wochen lang gearbeitet hat; man kann natürlich diese Art der Tätigkeit, diese Art des Datenabgreifens automatisieren. Und wenn man das automatisiert, das heißt, wann immer ein neuer Bildschirminhalt kommt, wird automatisch ein Screenshot gezogen von einem Programm. Der wird automatisch in eine Datei geschrieben. Die wiederum wird automatisch zusammengefügt, bis 15 Datensätze, also Karteireiter dieser Kartei zusammen sind und dann abgeschickt. Dann kann man natürlich in sehr kurzer Zeit sehr, sehr viele Daten auf diese Weise erbeuten. Also es steht zu befürchten, dass wirklich sehr viele Versicherte von diesem Datendiebstahl tatsächlich betroffen sind.
Kloiber: Peter Welchering war das über das Datenleck bei der BKK Gesundheit. Herzlichen Dank.