{"id":289649,"date":"2023-12-27T09:37:09","date_gmt":"2023-12-27T08:37:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=289649"},"modified":"2023-12-27T11:32:24","modified_gmt":"2023-12-27T10:32:24","slug":"asper-biogene-gen-daten-von-10-000-esten-gestohlen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/12\/27\/asper-biogene-gen-daten-von-10-000-esten-gestohlen\/","title":{"rendered":"Asper Biogene: Gen-Daten von 10.000 Esten gestohlen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheits- und Datenschutzvorfall in Finnland, der Gesundheitsdaten von Patienten betrifft. Das Gentestunternehmen Asper Biogene teilte mit, dass Unbekannte auf ihre Datenbank zugriffen und die Gen-Daten von um die 10.000 Personen aus Estland, die dort eine genetische Untersuchung beantragt hatte, durch unbefugte Dritte gestohlen wurden. Der Vorfall fand bereits im November 2023 statt, bekannt wurde es aber erst Mitte Dezember 2023, durch den Bericht einer Zeitung. Das Ganze wirft nat\u00fcrlich ein Schlaglicht auf die deutschen Pl\u00e4ne f\u00fcr die elektronische Gesundheitsakte.<\/p>\n

<\/p>\n

Digitalisierung: Andere k\u00f6nnen das doch auch<\/h2>\n

\"\"Ich nehme mal diesen Cybervorfall, der mir bereits vor Weihnachten bekannt wurde, hier in den Blog auf. Denn Deutschland steht ja am \"Vorabend der Digitalisierung im Medizinbereich\" – was kann da schon schief gehen. Wenn ich schon mal warne, dass da gerade was vor dem Wand gefahren wird, hei\u00dft es \"wieso k\u00f6nnen andere L\u00e4ndern das denn, da h\u00f6rst Du nix\". Gerade die skandinavischen L\u00e4nder und das Baltikum werden uns ja immer als \"leuchtendes Beispiel zur Digitalisierung\" dargestellt.<\/p>\n

Estland hat sich nach einem verheerenden Hackerangriff im Jahr 2007 g\u00e4nzlich neu in Sachen Cybersicherheit aufgestellt, wie man hier lesen<\/a> kann. In jeder Beh\u00f6rde gibt es verpflichtend einen Verantwortlichen f\u00fcr Informationssicherheit. Seit 2007 finden \u00dcbungen in Sachen Cybersicherheit statt und mindestens zehn Mal im Jahr proben die Beh\u00f6rden den Ernstfall. In Deutschland undenkbar – und trotzdem gibt es auch in Skandinavien sowie im Baltikum Datenschutz- und Cybersicherheitsvorf\u00e4lle.<\/p>\n

Da gab es 2022 den Hack der unter litauischer Lizenz segelnden Smartphone-Bank Revolt (siehe<\/a>). Gut, ist ein privates Unternehmen, was wohl in Gro\u00dfbritannien das Datenleck bekannt gab. Aber mir ist auch noch ein Datenskandal aus Estland aus dem Jahr 2017 in Erinnerung, wo Sicherheitsexperten gravierende Schwachstellen im elektronischen Personalausweis des Landes nachwiesen. Hacker h\u00e4tten die digitale Identit\u00e4t der meisten Esten stehlen k\u00f6nnen. dieser DW-Beitrag<\/a> aus 2019 greift das auf. Nachfolgend noch zwei weitere Beispiele f\u00fcr Sicherheitsvorf\u00e4lle im skandinavischen Gesundheitswesen.<\/p>\n

Schweden: Gesundheitsdaten versehentlich \u00f6ffentlich<\/h3>\n

Im Februar 2019 berichtete ich im Beitrag Sicherheit: Die schnellsten Hacker, neue Datenleaks und mehr<\/a>, dass die schwedische Firma Medhelp einen Datenskandal zu vermelden hatte. Die Firma betreibt die landesweite schwedische Gesundheitshotline 1177. Und dieser Dienst zeichnet die Anrufe jahrelang auf, 2,7 Millionen Anrufdaten und 170.000 Gespr\u00e4chsstunden sind so seit 2013 angefallen.<\/p>\n

Um Kosten zu sparen, wurde au\u00dferhalb der normalen Gesch\u00e4ftszeiten die in Thailand beheimatete Firma Medicall als Subunternehmen beauftragt. Es kam, wie es kommen musste: Diese Daten lagerten unverschl\u00fcsselt auf einem Server. Und dieser Server war direkt und ohne weiteren Passwortschutz aus dem Internet erreichbar. So konnte quasi jedermann auf diese Daten zugreifen. Kommt mir irgendwie bekannt vor, so geht Digitalisierung.<\/p>\n

Finnische Psychotherapie-Patientendaten erbeutet<\/h3>\n

Und es gab den Fall, aus dem Jahr 2020 wo die Patientendaten des privaten finnischen Psychotherapie-Anbieters Vastaam gestohlen und dann im Darknet gehandelt wurden. Das Unternehmen betreibt 25 Therapiezentren in Finnland und hat mehr als 40.000 Psychotherapie-Patienten. Im Darknet kursiert wohl eine ca. 10 GByte gro\u00dfe Datei mit Patientendaten. Im Oktober 2020 gestand das Unternehmen ein, das es einen Datenschutzvorfall mit Erpressungen von Patienten gebe. Ich hatte im Blog-Beitrag DDoS-Angriff auf das RKI, und Hacker erbeuten finnische Psychotherapie-Patientendaten<\/a> dar\u00fcber berichtet. Es gab Berichte, dass Patienten mit E-Mails erpresst wurden. Die Opfer sollten 200 Euro in Bitcoins zahlen, andernfalls w\u00fcrden ihre sehr pers\u00f6nlichen Patientendaten ver\u00f6ffentlicht, was wohl bei mindestens 300 Patienten passierte, \"Was kann da schon schief gehen?\".<\/p>\n

Gendaten von Esten gestohlen<\/h2>\n

Der Vorfall ist mir bereits eine Woche vor Weihnachten \u00fcber nachfolgenden Tweet<\/a> und diesen Schweizer Artikel<\/a> unter die Augen gekommen. Der Originalbericht (Englisch) eines Medium aus Estland findet sich hier<\/a>.<\/p>\n

\"Gendaten-Hack<\/a><\/p>\n

Asper Biogene<\/a>, ein auf die Diagnostik von Erbkrankheiten spezialisiertes Unternehmen aus Estland, hatte am 11. November 2023 die Polizei, die staatliche Agentur f\u00fcr Informationssysteme (Riigi Infos\u00fcsteemi Amet) und die Datenschutzaufsichtsbeh\u00f6rde bez\u00fcglich eines Datenschutzvorfalls alarmiert. Laut Unternehmen gab es Informationen, dass ein Dritter sich illegal Zugang zur Datenbank mit den gespeicherten (Gen-) Personendaten seiner Kunden verschafft und verschiedene Dateien heruntergeladen habe.<\/p>\n

Die Datenbank enth\u00e4lt die Daten von ca. 10.000 Personen, wobei ungef\u00e4hr 100.000 Dateien durch den Ungekannten kopiert und abgezogen wurden. Details, welche Daten genau erbeutet wurden, sei noch unbekannt, hie\u00df es. Fest steht aber, dass einige der Dateien Gentestergebnisse enthielten, die von Gesundheitsdienstleistern und Personen des Unternehmens bestellt worden waren.<\/p>\n

Pille Lehis, die Generaldirektorin der estnischen Datenschutzbeh\u00f6rde, sagte, dass sich unter den 10.000 Gesundheitsdaten, die illegal aus der Datenbank von Asper Biogene heruntergeladen wurden, auch Vaterschaftstests und genetische Tests befinden, von denen einige leicht verst\u00e4ndlich und direkt mit einer bestimmten Person verbunden sind. Das Unternehmen f\u00fchrt Gentests f\u00fcr mehr als 2.000 Erbkrankheiten durch und bestimmt die Veranlagung f\u00fcr Krankheiten mit einer signifikanten genetischen Komponente (z. B. Veranlagung f\u00fcr erblichen Krebs oder Thrombose). Es f\u00fchrt auch Tests direkt f\u00fcr Endverbraucher durch.<\/p>\n

Lehis f\u00fcgte hinzu, dass sich unter den 100.000 Daten analytische Ergebnisse mit dem Namen, der ID und so weiter einer Person befinden. Es wurden auch PDF-Dokumente, von denen einige ebenfalls sehr leicht zu verstehen sind, in der Datenbank gespeichert. \"Eine Person kann manchmal nur mit ihren Gesundheitsdaten 'zusammengefasst' werden\", sagte sie.<\/p>\n

Das Kriminalamt der s\u00fcdlichen Pr\u00e4fektur hat eine strafrechtliche Untersuchung eingeleitet und ist dabei, Beweise zu sammeln. Die Datenschutzaufsichtsbeh\u00f6rde (Andmekaitse Inspektsioon) hat ebenfalls ein Aufsichtsverfahren gegen das Unternehmen eingeleitet. Das Ganze blieb aber unter der Decks, bis die Staatsanwaltschaft des betreffenden Bezirks eine Mitteilung herausgab. Die Betroffenen werden jetzt von ihren Gesundheitsdienstleistern pers\u00f6nlich benachrichtigt.<\/p>\n

Wie es oft l\u00e4uft<\/h3>\n

Der Fall zeigt, wie das h\u00e4ufig so l\u00e4uft. Es gibt einen Datenschutzvorfall oder die Kenntnis dar\u00fcber (weil Daten im Darknet gehandelt werden). Die Firmen informieren h\u00f6chstens die Beh\u00f6rden – und irgendwann erf\u00e4hrt die \u00d6ffentlichkeit davon. In obigem Fall scheint es noch unklar, welche Personen und Daten genau betroffen sind. Der Generaldirektor der estnischen Datenschutzbeh\u00f6rde, Pille Lehis, gibt an, dass von dem Vorfall mehr als vierzig Gesundheitsunternehmen betroffen seien. Darunter befinden sich aus Unternehmen, die Fruchtbarkeitstests anbieten.<\/p>\n

Die Meldung hier<\/a> stammt von Mitte Dezember 2023. Von Pille Lehis gab es Kritik, dass der Datenschutzvorfall im November 2023 bemerkt, die \u00d6ffentlichkeit aber erst Mitte Dezember 2023 informiert wurde. \"Leider zeigt der Vorfall, dass Bedrohungen im Cyberraum immer noch nicht ernst genommen werden\", wird Pille Lehis zitiert. Denn die Daten wurden unternehmensintern nicht verschl\u00fcsselt oder pseudonymisiert gespeichert. Die Beh\u00f6rden warnen, dass die Daten missbraucht werden k\u00f6nnten.<\/p>\n

Ein Erpressungsversuch bekannt<\/h3>\n

Inzwischen ist laut dem estnischen Medium<\/a> bereits ein Erpressungsversuch bekannt. Die Polizei best\u00e4tigte dem Medium ERR, dass sie eine Meldung \u00fcber einen Erpressungsversuch mit den Daten von Asper Biogene erhalten hat. \"Die Polizei ermittelt in einem Fall, in dem eine Person angerufen wurde und ihr mitgeteilt wurde, dass ihre Daten weitergegeben worden seien. In diesem Zusammenhang haben wir letzte Woche auch eine \u00f6ffentliche Bekanntmachung herausgegeben, in der wir die Menschen auffordern, auf den Inhalt von E-Mails zu achten, die sie erhalten. Sie sollten unter keinen Umst\u00e4nden auf einen Link klicken oder irgendetwas unternehmen, wenn sie nicht absolut sicher sind, dass der Absender ein echter Gesundheitsdienstleister ist\", wird Jaanus Juhanson, Leiter der Abteilung f\u00fcr Cyber- und Wirtschaftskriminalit\u00e4t der s\u00fcdlichen Pr\u00e4fektur, zitiert.<\/p>\n

Hardi Tamm, CEO von Asper Biogene, erkl\u00e4rte gegen\u00fcber ERR, dass Asper Biogene nicht von den T\u00e4tern kontaktiert wurde und keine neuen L\u00f6segeldforderungen oder andere Drohungen erhalten hat.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nGesundheitsgesetze I: EU-Parlament macht Weg f\u00fcr EU Health Data Space (EHDS) frei<\/a>
\nGesundheitsgesetze II: Bundestag beschlie\u00dft Digitalisierung im Gesundheitswesen (GDNG, DigiG)<\/a>
\n(Deine) Patientendaten im Darknet \u2026<\/a>
\n655.000 Patientendaten im Darknet angeboten<\/a>
\n3,1 Millionen Patientendaten von Medizinanbieter geleaked<\/a>
\nDigitalisierung Deutschland: Patientendaten in Praxissoftware einsehbar<\/a>
\nPatientendaten millionenfach ungesch\u00fctzt im Internet<\/a>
\nDICOM-Protokoll: Millionen Patientendaten ungesch\u00fctzt per Internet zugreifbar<\/a>
\nMVZ-Pleiten: Patientendaten in der Cloud sorgen f\u00fcr Probleme<\/a>
\nVerimi-Fiasko? Dem ID-Dienst droht wohl \u00c4rger \u2026<\/a>
\nDatenbank mit allen Passdaten aller Argentinier gehackt<\/a>
\nLauterbach \"will\" die elektronische Patientenakte (ePA) mit Opt-out \u2013 ein Desaster mit Ansage oder Wolkenkuckucksheim?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheits- und Datenschutzvorfall in Finnland, der Gesundheitsdaten von Patienten betrifft. Das Gentestunternehmen Asper Biogene teilte mit, dass Unbekannte auf ihre Datenbank zugriffen und die Gen-Daten von um die 10.000 Personen aus Estland, die dort eine genetische Untersuchung beantragt hatte, durch … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-289649","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/289649","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=289649"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/289649\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=289649"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=289649"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=289649"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}