Gesundheitsdaten und Cyber-Gefahren: Die Geister wird man nicht mehr los.
Die Nonchalence, mit der in Österreich schnell einmal eine Super-Datenbank mit "eh allem" über die Bevölkerung erwogen wurde, erstaunt umso mehr, als Europa zeitgleich einen besonders dramatischen Fall der immer häufiger werdenden Cyber-Erpressung mit gehackten Gesundheitsdaten diskutiert. Mit allfälligen Husch-Pfusch-Lösungen könnten Personen und Organisationen ihre Freude haben, die Eigeninteressen über die Einhaltung der Grundrechte stellen.
Dies gilt nicht nur kurzfristig für erwerbsmäßige Hacker, sondern auch langfristig, da ja nicht auszuschließen ist, dass wieder einmal ein diktatorisches Regime an die Macht und damit an die Daten kommen könnte. Hierzulande noch zu wenig gelesen, aber sehr anschaulich, warnt etwa Andreas Eschbach im Thriller "NSA: Nationales Sicherheits-Amt", wie ein Faschismus mit "Komputer und Weltnetz" ausgesehen haben könnte - dies sollte eigentlich Pflichtlektüre in Politik und Schule sein.
Irlands Gesundheitssystem wurde lahmgelegt
Ganz aktuell zeigt der Blick zum EU-Partner Irland eindringlich, wie schnell Unachtsamkeit im EDV-Bereich für jede und jeden Einzelnen gefährlich werden kann. Seit einer Woche und wohl noch längerfristig können in Irland Kranke nicht ordnungsgemäß versorgt werden, nachdem eine Erpresserbande aus St. Petersburg namens "Wizard Spider" online ins Gesundheitssystem eindrang. Viele Spitäler mussten alle Behandlungen außer Notfällen absagen, darunter laut offiziellen Angaben des Nationalen Gesundheitsdienstes landesweit sogar die Hälfte aller Chemotherapien. Gestohlen wurden laut "Politico", "Wall Street Journal" und "Financial Times" nicht nur Befunde, sondern auch die Adressen und Telefonnummern der von Patientinnen und Patienten sowie vertragliche und finanzielle Informationen zu den im Gesundheitssektor Arbeitenden.
Schlimm genug, dass dies in Zeiten der Pandemie eine zusätzliche Medizinsektorkrise auslöst, weil die Computersysteme weitestgehend stillgelegt werden mussten. Auch längerfristig ergeben sich aber erhebliche Folgeschäden materieller und immaterieller Natur auf vielen Ebenen von Staat und Gesellschaft. Der Generaldirektor des irischen Gesundheitsdienstes, Paul Reid, schätzt laut "Wall Street Journal" die Kosten der Reparatur der Schäden auf "tens of millions of euros".
Die Lösegeldforderung hatte sich laut "Financial Times" auf fast 20 Millionen Dollar belaufen. Die irische Regierung leugnete zuerst, Opfer von Kriminellen geworden zu sein, gab dann aber bekannt, kein Lösegeld zu zahlen. Dies ist die einzig mögliche Antwort, wenn man solchen Verbrechen nicht Tür und Tor öffnen will. Überdies gab es zahllose Fälle, in denen trotz Lösegeld (etwa von Privaten und Firmen) gestohlene Daten nicht oder nur teilweise retourniert wurden.
Auf die irische Regierung wurde Druck ausgeübt, indem einzelne Gesundheitsdaten und Protokolle von Spitalsbesprechungen ins sogenannte Darknet, einen schwerer zugänglichen Teil des Internets, gestellt wurden. Darunter waren laut "Financial Times" auch persönliche Befunde und Laborergebnisse, etwa über einen Sterbenden, anhand derer man die Authentizität der entwendeten Informationen überprüfen konnte. Die Drohung lautete, ohne Lösegeldzahlung die Daten kommende Woche im Internet zu veröffentlichen.
Eine Kaskade von Folgeverbrechen droht
Aber die Sache wird noch übler: Die irische Regierung warnte inzwischen laut "Politico", dass die Erpresser die Daten hunderttausender Patienten an andere Kriminelle verkaufen könnten. Eine Kaskade von Folgeverbrechen ist also wahrscheinlich, in diesem wie in künftigen Fällen allerorts: Hacker verkaufen die Beute ganz oder in Portionen weiter an immer kleinere Fische im Teich der Cyber-Kriminalität. Ihnen kommt zugute, dass Daten nicht nur einmal verwendet werden können, sondern teilbar und mehrfach einsetzbar sind, im Unterschied zur oft damit verglichenen Ressource Erdöl.
So ist auch im geschilderten Fall wahrscheinlich, dass nach und nach weitere Gebietskörperschaften (etwa Distrikte), Institutionen (Sozialversicherungsuntereinheiten etc.), Gruppen (Vereine, Kirchen) und natürlich Einzelpersonen Erpressungsopfer sein werden. Nicht auszumalen, was mit Daten über Entwöhnungskuren, psychische oder unheilbare Erkrankungen, Abtreibungen, Suizidversuche, sexualitätskonnotierte Krankheiten etc. angestellt werden könnte - Hinweise oder Daten dazu finden sich in Krankenakten allemal, sei es direkt oder indirekt (etwa via Medikamentenverschreibungen).
Angesichts dessen ist es nur wenig tröstlich, dass die Regierung in Dublin eine Notfall-Hotline eingerichtet hat und ihr inzwischen der Decodierungsschlüssel "geschenkt" wurde, um die EDV des Gesundheitssystem wieder hochzufahren. Dessen Prüfung kostet ohnehin doppelt, könnte doch Schadsoftware darin versteckt sein.
Daten sind teilbar und mehrfach verwendbar
Solch kriminelle Aktivitäten werden immer häufiger, wie etwa der Buchtitel "Cyberweapons arms race" der "New York Times"-Journalistin Nicole Perlroth widerspiegelt: In den USA wurden neben einer kürzlich betroffenen großen Pipeline der Betreiberfirma Colonial nachgewiesenermaßen auch schon städtische Wasserwerke, Wahlberechnungssoftware-Firmen sowie Atomkraftwerke gehackt. Neben Verbrechern sind oft auch politische Gegner die Anstifter, besonders häufig werden Russland, China und Nordkorea als Quellen solcher Angriffe genannt.
In Europa ist bisher Irland das Hauptziel von für Cyber-Erpressung, weil dort infolge Steuerdumpings überproportional viele multinationale Konzerne ansässig sind. Meist sind ja Unternehmen betroffen, aber zunehmend werden jetzt auch öffentliche Infrastrukturen erpresst. Allein in den vergangenen Monaten wurden laut "Politico" in Europa Patientendaten in großem Stil auch in Finnland und Frankreich gestohlen.
Hinter Erpressungssoftware, die mittlerweile auch auf Plattformen online verkauft werden dürfte, steht ein ganzes System von Profiteuren, neben den Hackern auch die Versicherungen für einschlägige Risiken und private EDV-Firmen, die in solchen Notsituationen verdienen. Öffentliche Akteure stecken aber auch deshalb in einem Dilemma, weil sie sich die besten EDV-Kräfte heute meist nicht mehr leisten können. Gleichzeitig wird der Zukauf von Software und Expertise immer teurer und unvermeidlich, umso mehr in Krisensituationen (in Irland werken laut "Wall Street Journal" hunderte Personen, um sicherzustellen, dass keine Malware-Spuren des aktuellen Datenklaus in den Systemen verbleiben). Generell ist zu beklagen, dass aus diesem und anderen Gründen Datengiganten wie Amazon, Google oder Apple gegenüber demokratischen Gemeinwesen quasi die Oberhand erringen.
Österreich ist keine"Insel der Seligen"
Auch Österreich, und hier das Außenministerium, wurde erst im Jänner 2020 Opfer einer schweren Cyber-Attacke, davor traf es die ÖVP im Vorfeld der vergangenen Nationalratswahl. Kleinere Angriffe auf Ministerien und andere Einrichtungen finden ohnehin laufend statt.
Das führt zur Frage: Was muss eigentlich erst passieren, damit die Sicherheit von Daten der Bevölkerung ernstgenommen wird? Verstärkter und dann auch in der Praxis tatsächlich umgesetzter Datenschutz entwickelt sich zunehmend zu einer unerlässlichen Basisinfrastruktur für das Funktionieren der Demokratie. Diese muss angesichts der immer noch rasanteren "Digitalen Revolution" ohnehin pro-aktiv geschützt werden, wenn sie denn eine Zukunft haben soll.