Finnland: Hunderte von Patientenakten in einem Psychotherapiezentrum von Hackern erbeutet – Lösegeld von betroffenen Patient*innen gefordert
Die finnische Innenministerin Maria Ohisalo twitterte, dass die Behörden ‚den Opfern‘ des Sicherheitsbruchs im Psychotherapiezentrum Vastaamo ‚rasche Krisenhilfe leisten‘ würden, ein Vorfall, den sie als ‚schockierend und sehr ernst‘ bezeichnete. Vastaamo, das… als Subunternehmer für das öffentliche Gesundheitssystem Finnlands tätig ist, sagte, dass sein Kundenregister mit intimen Patienteninformationen wahrscheinlich während zweier Angriffe, die vor fast zwei Jahren begannen, gestohlen wurde. Der erste Übergriff fand wahrscheinlich im November 2018 statt, und ‚es ist wahrscheinlich, dass auch zwischen Ende November 2018 und März 2019 in unsere (Daten-)Systeme eingedrungen wurde‘, sagte Vastaamo in einer Erklärung am späten Samstag. Das Zentrum sagte, dass der oder die unbekannten Täter mindestens 300 Patientenakten mit Namen und Kontaktinformationen unter Verwendung der anonymen Tor-Kommunikationssoftware veröffentlicht hätten. ‚Der Erpresser hat begonnen, sich mit Erpresserbriefen direkt an die Opfer der Sicherheitsverletzung zu wenden‘, hieß es. Das National Bureau of Investigation sagte am Sonntag, dass bis zu ‚Zehntausenden‘ von Vastaamo-Kunden ihre persönlichen Daten kompromittiert worden sein könnten. Die Polizei suchte sowohl in Finnland als auch im Ausland nach den möglichen Tätern. Es war nicht sofort klar, ob die gestohlenen Informationen Diagnosen, Notizen aus Therapiesitzungen oder andere potenziell schädliche Informationen enthielten. Es war auch nicht klar, warum die Informationen erst jetzt auftauchten.
‚Was diesen Fall außergewöhnlich macht, ist der Inhalt des gestohlenen Materials‘, sagte Marko Leponen, der mit dem Fall betraute Chefermittler des Nationalen Untersuchungsbüros, gegenüber Reportern. Vastaamo drängte Kunden, die als Gegenleistung für die Geheimhaltung ihrer Informationen Geldforderungen erhalten – angeblich bereits Dutzende -, sich unverzüglich mit der finnischen Polizei in Verbindung zu setzen. Finnische Medien berichteten, dass Cyber-Kriminelle Lösegeld in Höhe von 200 Euro (240 Dollar) verlangt haben, das in Bitcoin bezahlt wurde, wobei der Betrag auf 500 Euro erhöht wurde, wenn er nicht innerhalb von 24 Stunden bezahlt wird. Das Psychotherapiezentrum erhielt Berichten zufolge auch eine Lösegeldforderung in Höhe von 450.000 Euro (534.000 Dollar) in Bitcoin.
Die Bürger reagierten auf die Nachricht mit Unglauben…“
Übersetzt mit www.DeepL.com/Translator
Die FAZ hat am 28.10.2020 weitere Einzelheiten zu diesem Datenschutz-Skandal veröffentlicht. Ein Auszug, von dem einem übel werden kann:
——————————————————
Am 21. Oktober interließ ein anonymer Hacker auf einem finnischen Internetforum eine englischsprachige Nachricht, wonach die Krankenakten von etwa vierzigtausend Patienten des großen Psychotherapiezentrums Vastaamo in seinem Besitz seien. Dieses Material enthalte sowohl die Adressdateien als auch die Personenkennzeichen – in Finnland ein wichtiges Dokument, das die Nutzer zu gravierenden finanziellen und behördlichen Transaktionen berechtigt – sowie die gesamten Protokolle der Therapiesitzungen, die von den Therapeuten über mehrere Jahre hinweg geführt worden waren…
Es ist schwer zu fassen, was dieses Datenleck für die Finnen bedeutet. Die Menge von vierzigtausend Patienten in Finnland entspricht, gemessen an der Gesamtbevölkerung, etwa jener von sechshunderttausend in Deutschland. Sie stehen nun völlig nackt in der Öffentlichkeit: mit ihren Geheimnissen, Krankheiten, Affären, unehelichen Kindern. Dazu kommt, dass zur finnischen Mentalität große Scheu, gedämpfte Kommunikation und viele innere Geheimnisse gehören. Der finnische Staat war auf diesen Angriff nicht vorbereitet…
Mit dem Personenkennzeichen kann man in Finnland per Internet Versandware bestellen, Umzüge organisieren, Firmen gründen, Sofortkredite beantragen. Um jede einzelne dieser Transaktionsmöglichkeiten zu sperren, muss man mit sieben bis acht Behörden telefonieren, bei einigen für die Sperrung auch Gebühren bezahlen – und das alles, während viele der betroffenen Menschen dazu keine Kraft und erst recht keine ausreichenden digitalen Kenntnisse haben.
Die Krise weitet sich in alle Richtungen aus. Die zwei Hauptfragen lauten: Warum haben alle Aufsichtsbehörden versagt? Sind Gesetzeslage und Gesellschaftsstruktur überhaupt gerüstet für digitale Großunfälle dieser Art? …
Vastaamo hat viel von einem ultramodernen Unternehmen, ähnlich wie Wirecard. Die Geschäftsidee beruht auf einem Konzept stark vereinfachter Prozesse unterschiedlichster Transaktionen. Vastaamo vereinfachte den Prozess des Einstiegs in und des Verlaufs von Psychotherapien: Man muss nur ins Internet gehen, einen passenden Therpeuten aussuchen, und los geht’s. Wie Wirecard gehörte Vastaamo zu den am schnellsten wachsenden Firmen in Finnland, die auf aggressive Weise ihr Evangelium von der digitalen Zukunft der modernen Gesellschaft predigten. Die Firma sah cool aus, genoss große Bewunderung in den Medien. Doch die Firmenleitung hat sich für die eigenen Inhalte und die Selbstkontrolle wenig interessiert…
Valvira, die Aufsichtsbehörde des finnischen Gesundheitssystems, die sich auch um Fragen der Cybersicherheit kümmern müsste, räumte sofort ein, wegen Sparmaßnahmen sei bei ihr derzeit nur eine Person mit solchen Vorfällen beschäftigt, und auch sie werde jeweils nur auf Nachfrage tätig…
—————————————————–
Hier in voller Länge:
https://www.faz.net/aktuell/feuilleton/debatten/finnland-hackerangriff-auf-psychotherapeutische-krankenakten-17022624.html?printPagedArticle=true#pageIndex_2