Im Darknet erzielen gestohlene Patientendaten Höchstpreise
Aids-Tests, Röntgenbilder, Diagnosen: Mit der Einführung des elektronischen Patientendossiers werden Millionen sensibler Daten im Netz exponiert. Die neuen Regeln zur Meldepflicht von Hackerangriffen sind lasch.
Immer wieder landen intimste Befunde im Netz: Diagnosen, Röntgenbilder oder das Ergebnis des letzten Aids-Tests.
Schweizer Spitäler führen im April 2020 das elektronische Patientendossier ein: eine digitale Ablage für medizinische Informationen. Patienten haben die Wahl, ob sie ärztliche Berichte, Diagnosen und Behandlungen speichern lassen wollen.
Haben sie mehrere Ärzte, können sie ihnen Daten freigeben. Der Austausch soll die Behandlung effizienter machen, birgt aber auch Risiken. Immer wieder landen intimste Befunde im Netz: Diagnosen, Röntgenbilder, das Ergebnis des letzten Aids-Tests. Oft trifft ein Datenleck Tausende Menschen.
Die Vorarbeiten für das Dossier dauerten mehrere Jahre, und niemand konnte wissen, dass die Einführung in eine Hochphase von Hacking-Angriffen fallen würde. In den USA wurden allein im Monat September 29 Angriffe auf Arztpraxen oder Kliniken ruchbar. Hacker verschafften sich Zugang zu 1,5 Millionen Patientendossiers, wie das Department of Health and Human Services mitteilt. Nicht nur ist die Dunkelziffer nicht erkannter Attacken laut dem deutschen Verfassungsschutz hoch, die Täter werden auch kaum je ermittelt.
Im Darknet blüht das Geschäft mit gestohlenen Röntgenberichten, Laborbefunden, Diagnosen; sie werden dort zu deutlich höheren Preisen gehandelt als Bankdaten, Passwörter oder Kreditkarteninformationen. Vor diesem Hintergrund hat die bundeseigene Melde- und Analysestelle Informationssicherung Melani vergangenes Jahr 22 Meldungen an Spitäler und Unternehmen aus dem Gesundheitssektor abgesetzt, sagt der stellvertretende Leiter Max Klaus.
Der Bund warnte bereits 2015 davor, dass «nicht jede unberechtigte Einsicht» in medizinische Daten aus dem E-Patientendossier werde verhindert werden können. Gleichzeitig betonte er stets die Sicherheit des Systems. Als Vorbild galt E-Banking-Software; mindestens ebenso starke Mauern sollten um das Patientendossier errichtet werden. Allerdings kamen jüngst auch Banken Kundendaten abhanden. Dabei geht es aber um Finanzen, nicht um die eigene Krankengeschichte.
Lebenslang ausgesperrt
Ein Verlust medizinischer Daten wiegt deutlich schwerer als jener von Geld oder Bankdaten. Das beginnt schon beim Fingerabdruck. Werden diese Informationen gestohlen, können sie lebenslang nicht mehr für Identifikationen genutzt werden. «Sind biometrische Daten einmal verloren, können sie nicht wie ein Passwort gewechselt werden», sagt Adrian Lobsiger, der Datenschutzbeauftragte des Bundes. Darum sei ein höherer technischer Sicherheitsstandard für medizinische Informationen wichtig.
Spitäler haben bereits heute eine Meldepflicht für Hackerangriffe. Fortan müssen sie diese nicht nur einer, sondern zwei oder drei Amtsstellen melden. Dabei gelten Abstufungen. Bisher waren Kliniken verpflichtet, über «schwerwiegende Vorkommnisse» die Aufsichtsbehörde Swissmedic zu informieren.
Neu kommt das Bundesamt für Gesundheit (BAG) hinzu. Kann ein Cyberangriff abgewehrt werden oder werden Patientendaten nur zerstört, sind Swissmedic und BAG zu informieren. Wenn medizinische Informationen gestohlen worden sind, ist der eidgenössische Datenschutzbeauftragte zuzuziehen.
In der Schweiz gilt damit eine im internationalen Vergleich lasche Meldepflicht. Kliniken in der EU müssen die unabhängige Datenschutzbehörde über jeglichen Zugriff auf Patientendaten ins Bild setzen. Die USA verlangen, dass Abflüsse in drei Kategorien unterteilt gemeldet werden: demografische Informationen, Finanzdaten und medizinische Unterlagen.
Zudem klappte das mit den Meldungen in der Schweiz schon in der Vergangenheit nur mässig. Ein Grund dafür ist Verheimlichung: Aus Angst um ihren Ruf schweigen die Kliniken. «Die Entscheidung, ob ein Angriff publik gemacht wird, liegt immer beim betroffenen Unternehmen», sagt Max Klaus von Melani. Das Gesundheitswesen sei aber nicht mehr oder weniger stark von Cyber-Vorfällen betroffen als andere Branchen. Dass die Dunkelziffer auch hier enorm ist, macht die Aussage schwer einzuordnen.
Publik wurde bisher nur eine Cyberattacke auf ein Spital in der Schweiz. Melani half 2017 dem Kantonsspital Luzern bei der Abwehr. Viel mehr, als dass der Angriff stattfand, ist jedoch nicht bekannt. Eine Reihe von Kliniken hat sich Melani angeschlossen und tauscht im Schutz der Geheimhaltung Informationen aus. Swissmedic liegen dagegen laut einer Sprecherin keine Berichte über Cyberattacken vor. Das erstaunt - und hat vermutlich mit der Sorge vor öffentlichen Reaktionen zu tun. Denn Swissmedic schaltet Gefahrenmeldungen frei zugänglich auf der Website auf.
Privatfirmen hinter dem Dossier
Was als schwerwiegendes Vorkommnis zu werten ist, scheint Ansichtssache zu sein. Diese Befürchtung hegt der Datenschutzbeauftragte auch mit Blick auf das E-Patientendossier. Das Parlament behandelt gerade eine Revision des Datenschutzrechts, Adrian Lobsiger befürwortet eine Angleichung an die strengeren EU-Regeln.
Aufbau und Zertifizierung des Datenschutz- und Datensicherheitssystems für das E-Patientendossier oblägen dem BAG, sagt Lobsiger. Seine Behörde sei für die unabhängige Datenschutzaufsicht über das BAG und den Zertifizierungsprozess zuständig. Der Bundesrat habe dafür aber weder Mittel gesprochen noch Stellen bewilligt, kritisiert er.
Eine diskrete Rolle bei der Entwicklung des Dossiers spielen gewinnorientierte Unternehmen. Die Identifikation, um sich einzuloggen, haben private Firmen im Auftrag des Bundes entwickelt - darunter die Swisscom. Anstoss nahm daran niemand, da es wenig bekannt ist und die politischen Entscheide schon vor Jahren getroffen wurden.
Das erstaunt mit Blick auf die hitzige Debatte um den elektronischen Ausweis (E-ID). Dabei geht es um die Frage, ob der Staat Daten von Bürgern an private Unternehmen herausgeben darf. Die Linke hat signalisiert, ein Referendum gegen das neue Gesetz für einen elektronischen Identitätsnachweis zu unterstützen.
Dabei sind die Daten für den digitalen Ausweis weit weniger sensibel als jene des Patientendossiers. Lobsiger findet die Diskussion um die Frage seltsam, ob der Bund im Gesetz über die E-ID die Ausgabe anerkannter Identitäten an private Firmen delegieren soll, wo doch der Gesetzgeber genau das für die besonders sensiblen Patientendaten längst beschlossen habe.
Für einen griffigeren Schutz von Patientendaten kämpft auch Joachim Eder. Der Ständerat (fdp., Zug) kritisiert Mängel beim Patientendossier und zweifelt die Leistungsfähigkeit an. «Die Politik muss sich der Meldepflicht in den Spitälern nochmals eingehend annehmen», fordert er.
Der Bund baut gerade eine Sammlung individueller Gesundheitsdaten aller Krankenversicherten auf. Eder verlangt, dass diese nur in Gruppen abrufbar sein sollen, um Rückschlüsse auf Individuen zu verunmöglichen. Die Zeit drängt. «Da Angreifer die Schadprogramme permanent weiterentwickeln, steigt die Effektivität derartiger Angriffe», schreibt der deutsche Verfassungsschutz.
USA: 169 Millionen Patienten betroffen
US-Behörden erheben Datenlecks im Gesundheitswesen seit langem. Sofern mehr als 500 Patienten betroffen sind, müssen Kliniken dies melden. In den letzten zehn Jahren waren knapp 169 Mio. Patienten und knapp 1400 Kliniken und Arztpraxen von Lecks betroffen, zeigt eine Studie der Michigan State University.
In 63 Einrichtungen kamen gar mehrfach Daten weg. Dabei wurden Diagnosen, Labordaten oder Rezepte von 48 Mio. Kranken entwendet, bei gut 2 Mio. Kranken gar besonders heikle Befunde über HIV-Infektionen, Geschlechts–krankheiten oder psychische Erkrankungen.
Im Gros der gemeldeten Fällen ging es dagegen um weniger heikle demografische Informationen wie Sozialversicherungs–nummern, Geburtsdaten oder ähnliches. In einem Drittel aller Fälle kamen Finanzdaten wie Konto- oder Kreditkarten–nummern abhanden.
Die Statistik zeigt, dass die Zahl der Hackerangriffe in den USA von Jahr zu Jahr zunimmt. Regelmässig sind dabei mehr als 100 000 Patienten betroffen, 2018 in drei Vorfällen gar mehr als eine Million.
Auf Geheiss der Behörden müssen Kliniken Datendiebstähle auch öffentlich machen. So informierte eine Geburtsklinik in Florida im Juli ihre Patientinnen über einen Angriff auf ihr Computersystem. Hacker hatten einen Virus eingeschleust, wodurch die Mediziner nicht mehr auf Patientendossiers zugreifen konnten. «Es ist ungewiss, ob Unbefugte tatsächlich medizinische Informationen abgezogen haben», schreibt die North Florida Ob-Gyn. Betroffen sei potenziell eine halbe Million Frauen.
Die detaillierten Meldungen ermöglichen der Gesundheitsbehörde, fahrlässigen Umgang mit Datensicherheit zu ahnden. 2018 verhängte sie Strafzahlungen in Höhe von insgesamt 29 Mio. $ gegen Spitalbetreiber. Der grösste Fall betraf die Spitalgruppe Anthem, welche 16 Mio. $ zahlen musste.
