Was ist die heisseste Ware im «Dark Web»? Elektronische Patientendossiers

Dass die Gesundheitsbranche besonders heftig von Hackern bedroht wird, wurde erst jüngst wieder klar: Im April stellte ein Datensicherheits-Report von IBM fest, dass die Cyberangriffe auf das Gesundheitswesen eine neue Intensitäts-Stufe erreicht haben. Im Jahr 2015 registrierten die IBM-Security-Experten 64 Prozent mehr schwere Vorfälle als im Jahr davor. 

«2014 befand sich der Gesundheitssektor auf unserer Rangliste der am häufigsten angegriffenen Branchen nicht einmal in den Top 5», sagte IBM-Sicherheits-Manager Gerd Rademann damals im Fachorgan «IT Business»: «Das hat sich im Laufe des Jahres 2015 rasant geändert – heute ist die Gesundheitsbranche aus handfesten Gründen das beliebteste Angriffsziel von Cyberkriminellen, noch vor der Fertigungsindustrie und der Finanzwirtschaft.»

In Washington gaben Spezialisten des Sicherheitsinstituts ICIT etwa zeitgleich bekannt, dass bereits 47 Prozent der US-Bürger mit elektronischen Patientendossiers Opfer eines Cyber-Einbruchs wurden.  

Was das heisst, zeigt nun der eindrückliche Bericht eines anderen Fachmediums: Eine Reporterin von «Fast Company» machte sich unter Anleitung von IBM-Spezialisten auf ins «Dark Web» – also in jene Internet-Welt, die durch diverse Verschlüsselungstechniken abgesondert ist, wo in der Anonymität mit Währungen wie Bitcoins bezahlt wird und die intensiv für kriminelle Geschäfte genutzt wird. 

Und sie stellte fest, was dort besonders intensiv gesucht und gehandelt wird: Patientendossiers. Damit lassen sich massiv höhere Preise erzielen als beispielsweise mit Kreditkarten oder Sozialversicherungs-Nummern. 

In Zahlen: Wer solche medical records anbieten kann, erhält derzeit Bitcoins im Wert von rund 60 Dollar pro Stück; der Schwarzmarktpreis einer funktionierenden Kreditkarte samt Daten liegt irgendwo zwischen 1 und 3 Dollar. 

Warum? Wer ans Patientendossier einer Person gelangt, hat viel intensivere Möglichkeiten des Identitätsdiebstahls – zumindest in den USA. Denn während eine Kreditkarte rasch gesperrt ist, erhält man mit dem EPD eine ganze Auswahl von Daten auf einmal: Sozialversicherungsnummer (bei uns wäre es auch die AHV-Nummer), Name, Geburtsdatum, Adress- und Kontaktangaben – und obendrein Informationen über den Gesundheitszustand beziehungsweise über chronische Krankheiten und Medikamenten-Verwendung.

Ausgenützt wird dies nicht nur für verschiedenste Formen des Identitäts-Diebstahls. Sondern zum Beispiel auch, indem man einer frisch operierten Person eine Rechnung zuschickt – einfach mit falschen Einzahlungs-Angaben. Avi Rubin, ein Sicherheitsexperte der Johns Hopkins University, äusserte zudem unlängst den Verdacht, dass die Patientendossiers mehr und mehr zur Erpressung benutzt werden.

Und auf der anderen Seite besteht offenbar auch ein reges Angebot. Denn dass das Sicherheitsbewusstsein bei Krankenversicherern und Spitälern womöglich noch nicht gleich ausgebildet ist wie in anderen Branchen, ist unter Experten bekannt. Der Gesundheitssektor liege technisch «teils etwa fünf bis zehn Jahre zurück, verglichen beispielsweise mit den Banken»: Dies sagte Urs Achermann, der oberste Sicherheitsmanager der HINT AG, unlängst im Medinside-Interview.

Und weiter: «Ich arbeite seit über 15 Jahren in den verschiedensten Branchen im Sicherheitsbereich, und da stellt man das schon fest. Natürlich investieren die Spitäler sehr viel Geld in die Technik – denken Sie nur an die MRI-Geräte –, aber beim Basissystem und beim Schutz wird es eher knapp. Das liegt auch daran, dass es oft am Bewusstsein fehlt für die Problematik.»

Und so häufen sich auch die Meldungen über spektakuläre Cyber-Einbrüche in Spitäler weltweit. Einen Niederschlag verspürte denn prompt die Reporterin, die für «Fast Company» im «Dark Web» stöberte: Mit den IBM-Experten stiess sie auf einen Hacker, der – laut eigenen Angaben – ein Paket von knapp 1 Million vollständiger E-Patientendossiers anbot.