Asper Biogene: Gen-Daten von 10.000 Esten gestohlen

[English]Sicherheits- und Datenschutzvorfall in Finnland, der Gesundheitsdaten von Patienten betrifft. Das Gentestunternehmen Asper Biogene teilte mit, dass Unbekannte auf ihre Datenbank zugriffen und die Gen-Daten von um die 10.000 Personen aus Estland, die dort eine genetische Untersuchung beantragt hatte, durch unbefugte Dritte gestohlen wurden. Der Vorfall fand bereits im November 2023 statt, bekannt wurde es aber erst Mitte Dezember 2023, durch den Bericht einer Zeitung. Das Ganze wirft natürlich ein Schlaglicht auf die deutschen Pläne für die elektronische Gesundheitsakte.

Digitalisierung: Andere können das doch auch

Ich nehme mal diesen Cybervorfall, der mir bereits vor Weihnachten bekannt wurde, hier in den Blog auf. Denn Deutschland steht ja am "Vorabend der Digitalisierung im Medizinbereich" – was kann da schon schief gehen. Wenn ich schon mal warne, dass da gerade was vor dem Wand gefahren wird, heißt es "wieso können andere Ländern das denn, da hörst Du nix". Gerade die skandinavischen Länder und das Baltikum werden uns ja immer als "leuchtendes Beispiel zur Digitalisierung" dargestellt.

Estland hat sich nach einem verheerenden Hackerangriff im Jahr 2007 gänzlich neu in Sachen Cybersicherheit aufgestellt, wie man hier lesen kann. In jeder Behörde gibt es verpflichtend einen Verantwortlichen für Informationssicherheit. Seit 2007 finden Übungen in Sachen Cybersicherheit statt und mindestens zehn Mal im Jahr proben die Behörden den Ernstfall. In Deutschland undenkbar – und trotzdem gibt es auch in Skandinavien sowie im Baltikum Datenschutz- und Cybersicherheitsvorfälle.

Da gab es 2022 den Hack der unter litauischer Lizenz segelnden Smartphone-Bank Revolt (siehe). Gut, ist ein privates Unternehmen, was wohl in Großbritannien das Datenleck bekannt gab. Aber mir ist auch noch ein Datenskandal aus Estland aus dem Jahr 2017 in Erinnerung, wo Sicherheitsexperten gravierende Schwachstellen im elektronischen Personalausweis des Landes nachwiesen. Hacker hätten die digitale Identität der meisten Esten stehlen können. dieser DW-Beitrag aus 2019 greift das auf. Nachfolgend noch zwei weitere Beispiele für Sicherheitsvorfälle im skandinavischen Gesundheitswesen.

Schweden: Gesundheitsdaten versehentlich öffentlich

Im Februar 2019 berichtete ich im Beitrag Sicherheit: Die schnellsten Hacker, neue Datenleaks und mehr, dass die schwedische Firma Medhelp einen Datenskandal zu vermelden hatte. Die Firma betreibt die landesweite schwedische Gesundheitshotline 1177. Und dieser Dienst zeichnet die Anrufe jahrelang auf, 2,7 Millionen Anrufdaten und 170.000 Gesprächsstunden sind so seit 2013 angefallen.

Um Kosten zu sparen, wurde außerhalb der normalen Geschäftszeiten die in Thailand beheimatete Firma Medicall als Subunternehmen beauftragt. Es kam, wie es kommen musste: Diese Daten lagerten unverschlüsselt auf einem Server. Und dieser Server war direkt und ohne weiteren Passwortschutz aus dem Internet erreichbar. So konnte quasi jedermann auf diese Daten zugreifen. Kommt mir irgendwie bekannt vor, so geht Digitalisierung.

Finnische Psychotherapie-Patientendaten erbeutet

Und es gab den Fall, aus dem Jahr 2020 wo die Patientendaten des privaten finnischen Psychotherapie-Anbieters Vastaam gestohlen und dann im Darknet gehandelt wurden. Das Unternehmen betreibt 25 Therapiezentren in Finnland und hat mehr als 40.000 Psychotherapie-Patienten. Im Darknet kursiert wohl eine ca. 10 GByte große Datei mit Patientendaten. Im Oktober 2020 gestand das Unternehmen ein, das es einen Datenschutzvorfall mit Erpressungen von Patienten gebe. Ich hatte im Blog-Beitrag DDoS-Angriff auf das RKI, und Hacker erbeuten finnische Psychotherapie-Patientendaten darüber berichtet. Es gab Berichte, dass Patienten mit E-Mails erpresst wurden. Die Opfer sollten 200 Euro in Bitcoins zahlen, andernfalls würden ihre sehr persönlichen Patientendaten veröffentlicht, was wohl bei mindestens 300 Patienten passierte, "Was kann da schon schief gehen?".

Gendaten von Esten gestohlen

Der Vorfall ist mir bereits eine Woche vor Weihnachten über nachfolgenden Tweet und diesen Schweizer Artikel unter die Augen gekommen. Der Originalbericht (Englisch) eines Medium aus Estland findet sich hier.

Asper Biogene, ein auf die Diagnostik von Erbkrankheiten spezialisiertes Unternehmen aus Estland, hatte am 11. November 2023 die Polizei, die staatliche Agentur für Informationssysteme (Riigi Infosüsteemi Amet) und die Datenschutzaufsichtsbehörde bezüglich eines Datenschutzvorfalls alarmiert. Laut Unternehmen gab es Informationen, dass ein Dritter sich illegal Zugang zur Datenbank mit den gespeicherten (Gen-) Personendaten seiner Kunden verschafft und verschiedene Dateien heruntergeladen habe.

Die Datenbank enthält die Daten von ca. 10.000 Personen, wobei ungefähr 100.000 Dateien durch den Ungekannten kopiert und abgezogen wurden. Details, welche Daten genau erbeutet wurden, sei noch unbekannt, hieß es. Fest steht aber, dass einige der Dateien Gentestergebnisse enthielten, die von Gesundheitsdienstleistern und Personen des Unternehmens bestellt worden waren.

Pille Lehis, die Generaldirektorin der estnischen Datenschutzbehörde, sagte, dass sich unter den 10.000 Gesundheitsdaten, die illegal aus der Datenbank von Asper Biogene heruntergeladen wurden, auch Vaterschaftstests und genetische Tests befinden, von denen einige leicht verständlich und direkt mit einer bestimmten Person verbunden sind. Das Unternehmen führt Gentests für mehr als 2.000 Erbkrankheiten durch und bestimmt die Veranlagung für Krankheiten mit einer signifikanten genetischen Komponente (z. B. Veranlagung für erblichen Krebs oder Thrombose). Es führt auch Tests direkt für Endverbraucher durch.

Lehis fügte hinzu, dass sich unter den 100.000 Daten analytische Ergebnisse mit dem Namen, der ID und so weiter einer Person befinden. Es wurden auch PDF-Dokumente, von denen einige ebenfalls sehr leicht zu verstehen sind, in der Datenbank gespeichert. "Eine Person kann manchmal nur mit ihren Gesundheitsdaten 'zusammengefasst' werden", sagte sie.

Das Kriminalamt der südlichen Präfektur hat eine strafrechtliche Untersuchung eingeleitet und ist dabei, Beweise zu sammeln. Die Datenschutzaufsichtsbehörde (Andmekaitse Inspektsioon) hat ebenfalls ein Aufsichtsverfahren gegen das Unternehmen eingeleitet. Das Ganze blieb aber unter der Decks, bis die Staatsanwaltschaft des betreffenden Bezirks eine Mitteilung herausgab. Die Betroffenen werden jetzt von ihren Gesundheitsdienstleistern persönlich benachrichtigt.

Wie es oft läuft

Der Fall zeigt, wie das häufig so läuft. Es gibt einen Datenschutzvorfall oder die Kenntnis darüber (weil Daten im Darknet gehandelt werden). Die Firmen informieren höchstens die Behörden – und irgendwann erfährt die Öffentlichkeit davon. In obigem Fall scheint es noch unklar, welche Personen und Daten genau betroffen sind. Der Generaldirektor der estnischen Datenschutzbehörde, Pille Lehis, gibt an, dass von dem Vorfall mehr als vierzig Gesundheitsunternehmen betroffen seien. Darunter befinden sich aus Unternehmen, die Fruchtbarkeitstests anbieten.

Die Meldung hier stammt von Mitte Dezember 2023. Von Pille Lehis gab es Kritik, dass der Datenschutzvorfall im November 2023 bemerkt, die Öffentlichkeit aber erst Mitte Dezember 2023 informiert wurde. "Leider zeigt der Vorfall, dass Bedrohungen im Cyberraum immer noch nicht ernst genommen werden", wird Pille Lehis zitiert. Denn die Daten wurden unternehmensintern nicht verschlüsselt oder pseudonymisiert gespeichert. Die Behörden warnen, dass die Daten missbraucht werden könnten.

Ein Erpressungsversuch bekannt

Inzwischen ist laut dem estnischen Medium bereits ein Erpressungsversuch bekannt. Die Polizei bestätigte dem Medium ERR, dass sie eine Meldung über einen Erpressungsversuch mit den Daten von Asper Biogene erhalten hat. "Die Polizei ermittelt in einem Fall, in dem eine Person angerufen wurde und ihr mitgeteilt wurde, dass ihre Daten weitergegeben worden seien. In diesem Zusammenhang haben wir letzte Woche auch eine öffentliche Bekanntmachung herausgegeben, in der wir die Menschen auffordern, auf den Inhalt von E-Mails zu achten, die sie erhalten. Sie sollten unter keinen Umständen auf einen Link klicken oder irgendetwas unternehmen, wenn sie nicht absolut sicher sind, dass der Absender ein echter Gesundheitsdienstleister ist", wird Jaanus Juhanson, Leiter der Abteilung für Cyber- und Wirtschaftskriminalität der südlichen Präfektur, zitiert.

Hardi Tamm, CEO von Asper Biogene, erklärte gegenüber ERR, dass Asper Biogene nicht von den Tätern kontaktiert wurde und keine neuen Lösegeldforderungen oder andere Drohungen erhalten hat.

Ähnliche Artikel:
Gesundheitsgesetze I: EU-Parlament macht Weg für EU Health Data Space (EHDS) frei
Gesundheitsgesetze II: Bundestag beschließt Digitalisierung im Gesundheitswesen (GDNG, DigiG)
(Deine) Patientendaten im Darknet …
655.000 Patientendaten im Darknet angeboten
3,1 Millionen Patientendaten von Medizinanbieter geleaked
Digitalisierung Deutschland: Patientendaten in Praxissoftware einsehbar
Patientendaten millionenfach ungeschützt im Internet
DICOM-Protokoll: Millionen Patientendaten ungeschützt per Internet zugreifbar
MVZ-Pleiten: Patientendaten in der Cloud sorgen für Probleme
Verimi-Fiasko? Dem ID-Dienst droht wohl Ärger …
Datenbank mit allen Passdaten aller Argentinier gehackt
Lauterbach "will" die elektronische Patientenakte (ePA) mit Opt-out – ein Desaster mit Ansage oder Wolkenkuckucksheim?