Ausland
Vertrauliche Psychotherapiedaten in Finnland gehackt
Dienstag, 27. Oktober 2020
Helsinki – Vertrauliche Notizen aus Psychotherapiesitzungen von zehntausenden Patienten sind in Finnland von Hackern gestohlen und teils veröffentlicht worden. Innenministerin Maria Ohisalo nannte die Tat gestern „schockierend“.
Die Regierung kam bereits vorgestern zu einer Krisensitzung zusammen. Bei weiteren Treffen im Laufe der Woche sollen Wege gefunden werden, die Opfer zu unterstützen. Die Daten wurden bereits vor über einem Jahr gestohlen.
Viele Patienten berichteten, von den Hackern per E-Mail erpresst worden zu sein. Die Verfasser forderten die Betroffenen auf, umgerechnet 200 Euro in der digitalen Währung Bitcoin zu überweisen – im Gegenzug würden sie die sensiblen Daten nicht ins Internet stellen.
Die Polizei ermittelt nach eigenen Angaben unter anderem wegen schwerer Erpressung. Tausende Patienten haben bereits Anzeige erstattet. Nach Polizeiangaben wurden Daten von zehntausenden Patienten des privaten Psychotherapieanbieters Vastaamo gestohlen. Das Unternehmen betreibt 25 Therapiezentren in dem nordeuropäischen Land.
Experten für Cybersicherheit sagten der Zeitung Helsingin Sanomat, im Darknet kursiere eine zehn Gigabyte große Datei. Sie enthalte Notizen aus Therapiesitzungen von mindestens 2.000 Patienten.
Wie Heise.de berichtet, betreibt Vastaamo 22 Praxen in ganz Finnland und beschäftigt etwa 300 Psychotherapeuten. Der oder die Erpresser behaupten demnach, Informationen zu mehr als 40.000 Patienten an sich gebracht zu haben. Dazu gehören unter anderem Tagebücher, Diagnosen und Kontaktinformationen, auch von Minderjährigen.
Der betroffene Psychotherapieanbieter Vastaamo teilte gestern Abend mit, der Chef des Unternehmens sei entlassen worden. Interne Ermittlungen hätten ergeben, dass er bereits 2019 von dem Datenleck wusste, aber weder das Mutterunternehmen noch den Verwaltungsrat informierte.
Vastaamo räumte Fehler ein. Nach Angaben des Unternehmens waren bis März 2019 Kriminelle in seine Datenbank eingedrungen. Zuvor hatte es geheißen, dass nur bis November 2018 Daten gestohlen wurden. Die zuständige finnische Aufsichtsbehörde kündigte eine Untersuchung an.
Finnlands Innenministerin Ohisalo erklärte, in Finnland müsse Hilfe für psychische Probleme ohne Angst in Anspruch genommen werden können. Die finnischen Behörden richteten eine Internetseite für Opfer des Cyberangriffs ein, auf der sie den Betroffenen raten, nicht mit den Erpressern zu kommunizieren.
Laut einer 2018 veröffentlichten Studie der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) leidet fast jeder fünfte Finne unter psychischen Erkrankungen – so viele wie in keinem anderen europäischen Land.
Über den Hackerangriff in Finnland zeigten sich auch Ärzte und Psychotherapeuten in Deutschland bestürzt. Der Vorsitzende des Deutschen Psychotherapeuten-Netzwerkes (DPNW), Dieter Adler, sprach von einem „absoluten, digitalen Desaster“. Man fühle mit den Kollegen und Patienten. „Wir wissen, wie wichtig das Vertrauensverhältnis und das Datengeheimnis in unserem Beruf ist.“
Zugleich führe das finnische Datendesaster anschaulich vor Augen, wie angreifbar die Speicherung von Patientendaten auf zentralen Servern sei, so Adler. Man müsse „alles dafür tun, dass so etwas nicht passieren kann“.
Adler kritisierte die Politik von Bundesgesundheitsminister Jens Spahn (CDU). Der gehe aktuell „unbeirrt den falschen Weg zur digitalen Patientenakte in der Gesundheitscloud weiter – trotz aller Datenschutz-Bedenken und negativen Erfahrungen im Ausland.“ Er rief Spahn auf, die Pläne für die elektronische Patientenakte zu stoppen. © afp/may/aerzteblatt.de

Alles nur Kinderkram. Wartet bis in D die ePA alles enthalten,
dann geht es um viel mehr als "nur" um psychotherapeutische und damit hochsensible Daten. In Finnland wird "nur" Geld erpresst. Sind die ePA der Patienten erst einmal gehackt, dann ist vieles denkbar:
- Lehrer werden mit intimen Daten erpresst, um besser Schulnoten zu bekommen.
- Professoren werden analog erpresst.
- Kollegen/Vorgesetzte werden mit Wissen über deren psychische Erkrankungen/Depressionen gemobt/erpresst/unter Druck gesetzt.
Ob Geld, Gefälligkeiten oder sonstiges erpresst wird, spielt keine Rolle. Es geht um das Missbrauchspotenzial, welches sich erst mit der Implementierung der ePA ergibt. Wer Missbrauch ausschließen will, kommt nicht umhin, eine zentrale Speicherung von Patienten- bzw. Behandlungsdaten zu vermeiden.
Das Argument "die Daten werden sicher aufbewahrt" werden nicht nur die Finnen auch vorher vorgebracht haben. Genau wie die NSA, die diversen großen (Uni-)Kliniken wie auch kleinerer Krankenhäuser in D, die alle schon gehackt wurden. Spätestens ein innerer Täter, wie beispielsweist die Kundendaten von deutschen Kunden bei schweizer Banken, hebelt alle Sicherheitsmaßnahmen aus.

Nachrichten zum Thema



Kommentare
Die Kommentarfunktion steht zur Zeit nicht zur Verfügung.