„Cyberkriminelle erpressen eine finnische Psychotherapie-Firma mit gestohlenen Patientendaten. Als diese nicht zahlt, erpressen die Angreifer einfach die Patienten selbst.“ Diese Meldung der Süddeutschen Zeitung vom 29.10.2020 machte drastisch aufmerksam auf ein Problem, das für die Betroffenen existenzbedrohend werden kann: Der Diebstahl von Gesundheits- und Behandlungsdaten.

Was war passiert? Die Frankfurter Allgemeine Zeitung fasst in einem Beitrag vom 28.10.2020 zusammen: „Am 21. Oktober interließ ein anonymer Hacker auf einem finnischen Internetforum eine englischsprachige Nachricht, wonach die Krankenakten von etwa vierzigtausend Patienten des großen Psychotherapiezentrums Vastaamo in seinem Besitz seien. Dieses Material enthalte sowohl die Adressdateien als auch die Personenkennzeichen – in Finnland ein wichtiges Dokument, das die Nutzer zu gravierenden finanziellen und behördlichen Transaktionen berechtigt – sowie die gesamten Protokolle der Therapiesitzungen, die von den Therapeuten über mehrere Jahre hinweg geführt worden waren…“

Die finnische Datenschutzaufsichtsbehörde Tietosuojavaltuutetun toimisto untersuchte die aufgetretenen Probleme und Unregelmäßigkeiten bei der Verarbeitung von Gesundheits- und Behandlungsdaten und verhängte in der Folge am 07.12.2021 ein Bußgeld i. H. v. 608.000 €.

In einer Pressemitteilung vom 16.12.2021 macht die finnische Datenschutzaufsichtsbehörde auf gravierende Mängel bei der Verarbeitung personenbezogener Daten durch das Psychotherapiezentrum Vastaamo aufmerksam:

„Vastaamo ist seinen Verpflichtungen hinsichtlich der sicheren Verarbeitung personenbezogener Daten und der Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten nicht nachgekommen… Im September 2020 meldete das Psychotherapiezentrum Vastaamo dem EDSB einen Angriff auf seine Patientendatenbank… Die Datenschutzverletzung hätte sofort nach ihrer Entdeckung gemeldet werden müssen. Laut einer im Oktober 2020 abgeschlossenen technischen Untersuchung… hat sich ein unbefugter Dritter bei mindestens zwei Gelegenheiten, im Dezember 2018 und im März 2019, Zugang zur medizinischen Datenbank von Vastaamo verschafft. Die Untersuchung konnte jedoch das genaue Datum des Datenbanklecks nicht mit Sicherheit bestimmen, da für die Zeit der Verstöße keine ausreichenden Protokolle geführt wurden. Die fehlende Dokumentation bedeutete auch, dass es nicht möglich war, die vom Angreifer verwendeten Netzwerkadressen oder Techniken zu identifizieren. Die Patientendatenbank wurde wahrscheinlich innerhalb eines Tages im März 2019 zerstört und wiederhergestellt. Die technische Untersuchung ergab, dass zu diesem Zeitpunkt eine Lösegeldforderung auf dem Server des Patienteninformationssystems hinterlassen wurde, was darauf hindeutet, dass der Angreifer die Datenbank für sich selbst heruntergeladen hatte. Es ist sehr wahrscheinlich, dass die Benutzerkennung des Befragten an diesem Tag zur Bearbeitung der Erpressungsnachricht verwendet wurde… dass die zuständige Behörde bereits im März 2019 gewusst haben muss, dass die Daten im Patienteninformationssystem verloren gegangen waren und durch einen externen Angreifer kompromittiert worden sein könnten. Vastaamo hätte die Sicherheitsverletzung… unverzüglich melden müssen, da die Verletzung ein hohes Risiko für die betroffenen Personen darstellt…. Die wahrscheinlichste Ursache für das Leck in der medizinischen Datenbank war ein ungeschützter MySQL-Port der Datenbank, bei dem das Root-Benutzerkonto der Datenbank nicht durch ein Passwort geschützt war. Die Benutzerkennung durfte sich auch von jeder IP-Adresse aus bei der Datenbank anmelden. Der Server der Patientendatenbank war mindestens im Zeitraum zwischen dem 26. November 2017 und dem 13. März 2019 ohne Firewall-Schutz für das Internet geöffnet…“ Aus dem Finnischen übersetzt mit www.DeepL.com/Translator