Nach einem massiven Cyberangriff auf einen Dienstleister von Unikliniken in Baden-Württemberg werden die Ausmaße des Datenklaus langsam klar. Was bedeutet das jetzt für Patientinnen und Patienten konkret?
- Welche Patienten sind betroffen?
- Wann fand die Attacke statt?
- Welche Daten wurden geklaut?
- Was könnte mit den Daten passieren?
- Was hatten die Hacker vor?
- Was kann gegen solche Datenklaus getan werden?
Welche Patienten sind betroffen?
Der betroffene externe Dienstleister Unimed mit Sitz im Saarland rechnet für viele Kliniken in Deutschland wahlärztliche Leistungen und die Versorgung von Privatpatientinnen und -patienten ab. Gesetzlich Versicherte betrifft es dann, so die für die Unikliniken zuständige Wissenschaftsministerin von Baden-Württemberg, Petra Olschowski (Grüne), wenn sie für bestimmte Leistungen eine Zusatzversicherung abgeschlossen haben. Ansonsten sind gesetzlich versicherte Patientinnen und Patienten nicht betroffen.
Wann fand die Attacke statt?
Über die Cyberattacke hatten die betroffenen Unikliniken Freiburg, Ulm, Heidelberg und Tübingen am Donnerstag informiert, stattgefunden hatte die Attacke aber bereits Mitte April. Laut einer Mitteilung des Universitätsklinikums Ulm können jedoch Menschen betroffen sein, die in den vergangenen zehn Jahren dort behandelt wurden. Am Freitagabend teilte das Klinikum Mittelbaden mit, dass es auch betroffen sei.
Der Cybersecurity-Experte Mirko Ross kritisiert die Verzögerung von vier bis sechs Wochen, nach der Betroffene von dem Angriff auf ihre Daten erfahren: "In der realen Welt der Cyberangriffe sind das viel zu lange Zeiträume. Denn in der Zwischenzeit können die Angreifer mich als Patient als Ziel auswählen und sie können beispielsweise ihre Betrugsangriffe mittels E-Mail oder Messenger schon längst vorplanen und ausführen."
Künstliche Intelligenz macht das Ganze noch schneller. Ich glaube, vier bis sechs Wochen Zeit zur Information der möglichen Betroffenen ist viel zu lang. Da müssen wir schneller werden.
Welche Daten wurden geklaut?
Bei dem Cyberangriff sind Daten Zehntausender Patientinnen und Patienten in Deutschland gestohlen worden. Allein in Baden-Württemberg wurden mehr als 72.000 Patientendaten entwendet. Am stärksten war die Uniklinik Freiburg betroffen: Stammdaten von rund 54.000 ihrer Patienten mit Name, Geburtsdatum und Adresse wurden gestohlen und in rund 900 Fällen auch Rechnungsdaten. Daraus können Informationen zu Diagnose und Behandlungsart hervorgehen. Außerdem wurden Daten von 11.000 an der Uniklinik Heidelberg behandelten Patienten gestohlen. Ulm und Tübingen kamen glimpflicher davon. Die Unikliniken wollen die Betroffenen des Cyberangriffs persönlich anschreiben.
Nicht in allen Fällen wurden auch sensible Gesundheitsdaten entwendet, bei den meisten Betroffenen handelt es sich um Namens- und Adressdaten. In Teilen wurden aber auch Kontendaten gehackt und teilweise auch medizinische Daten erbeutet, weil über die Abrechnung deutlich wird, welcher Eingriff durchgeführt wurde.
Auch das Klinikum Mittelbaden ist nach eigenen Angaben von dem Cyberangriff betroffen. Laut einer Mitteilung vom Freitagabend geht es um Daten von 1.260 Patientinnen und Patienten. In rund 900 Fällen seien "Stammdaten wie Name, Geburtsdatum und Adresse entwendet" worden. In 360 Fällen seien darüber hinaus abrechungsrelevante Daten gestohlen worden.
Was könnte mit den Daten passieren?
Der attackierte externe Dienstleister Unimed rechnet nicht damit, dass die gestohlenen Patientendaten veröffentlicht werden. Dies sei nicht wahrscheinlich, sagte ein Sprecher. Sollte es aber doch dazu kommen, habe man ein engmaschiges Monitoring unter anderem im Internet, inklusive Darknet vorbereitet, sagte er weiter.
Unabhängig von dem aktuellen Fall seien Datendiebstähle immer heikel, so ein Sprecher des Cybercrime-Zentrums Baden-Württemberg. Solche Daten würden oftmals eben im Darknet gehandelt und könnten etwa für betrügerische E-Mails oder Identitätsdiebstahl genutzt werden. Sensible Krankheitsdaten könnten theoretisch ebenfalls Anlass für eine Erpressung einzelner sein. Ein solcher Fall sei ihm jedoch bisher noch nicht bekannt.
Cyberischerheitsexperte Mirko Ross beschreibt einen potentiellen erpresserischen Cyberangriff folgendermaßen: Oftmals würden Opfer per E-Mail oder über Messenger kontaktiert. Patienten mit chronischen, schweren oder etwa sexuell übertragbaren Krankheiten seien besonders angreifbar. Das biete natürlich Erpressungspotenzial und mit diesen Informationen könnten die Angreifer versuchen, ihre Opfer zu manipulieren und dann zum Beispiel Geld erpressen, so der Experte.
Was hatten die Hacker vor?
Der Anbieter Unimed geht davon aus, dass die Angreifer eigentlich die komplette Verschlüsselung des Systems vorhatten. Das habe nicht verwirklicht werden können. Bevor die Angreifer abgewehrt werden konnten, seien die Daten jedoch abgeflossen.
Dieses Vorgehen sei typisch, so der Cybersicherheitsexperte: "Das ist nicht der einzige Fall, den wir jetzt hier in Baden-Württemberg und in Deutschland haben, sondern dieses Angriffsschema ist leider weltweit schon öfters vorgekommen."
Was kann gegen solche Datenklaus getan werden?
Cyberischerheitsexperte Mirko Ross fordert, die digitale Infrastruktur sehr genau zu kontrollieren: "Wer hat wie seine Cyber-Sicherheit wirklich aktiv am Laufen?" In Deutschland werde zu viel nur auf dem Papier geprüft. "Wir brauchen hier reale Prüfungen, die wirklich sehr genau sagen, wie jetzt der aktuelle Sicherheitsstand bei solchen Dienstleistern ist. Insbesondere, wenn es um kritische Infrastrukturen wie im Gesundheitsbereich geht und um kritische Daten wie Patientendaten."
Im Falle eines Datenlecks müsse die Warnung dann sehr schnell erfolgen, so der Fachmann weiter: "Ich wünsche mir eigentlich, dass sehr schnell informiert wird. Bin ich möglicherweise betroffen?" Gewarnte könnten dann aufmerksamer auf beispielsweise eine E-Mail oder eine Nachricht vom eigenen Arzt reagieren und prüfen, ob das wirklich der Arzt ist und nicht ein krimineller Angreifer.
Laut der baden-württembergischen Wissenschaftsministerin Olschowski kostet das mehr Geld: Man müsse in den Bereich investieren und die neuesten Systeme haben.
