Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Verkaufte Rezeptdaten: "Keine Verschlüsselung, sondern Verschleierung"

Von

Rezeptübergabe in der Apotheke: Sehr private Daten verkauft Zur Großansicht
DPA

Rezeptübergabe in der Apotheke: Sehr private Daten verkauft

Deutsche Rechenzentren verkaufen sensible Rezeptdaten. Eigentlich sollten die Datensätze zu diesem Zweck anonymisiert werden - doch das geschah in der Vergangenheit manchmal offenbar nicht. Fachleute warnen vor vermeintlicher Verschlüsslung.

Wer in der Apotheke ein Rezept einlöst, muss damit rechnen, dass seine Rezeptdaten hinter seinem Rücken an Marktforschungsfirmen im In- und Ausland weiterverkauft werden. Das geschieht ohne Einwilligung und ohne eine Opt-Out-Möglichkeit. Den meisten Versicherten dürfte der Verkauf ihrer Rezeptdaten-Daten nicht recht sein, legt eine aktuelle Studie nahe.

Die Weitergabe erfolgt teils über Apothekenrechenzentren, die für die Abrechnung mit den Krankenkassen beauftragt sind. Den wenigsten Patienten ist dieser Handel mit ihren Krankheitsdaten bewusst.

Die verkauften Rezeptdetails sind umfassend: Medikament, Geburtsjahr und Geschlecht der Patienten, Ausstellungsdatum, Abgabedatum und vieles mehr.

Rezeptdaten sind brisant. Die Information, dass ein Arbeitnehmer zum Beispiel Medikamente gegen Wahnvorstellungen verschrieben bekommt, könne "Karrieren brechen", warnt ein Gutachten. Begehrt dürften auch Einblicke in das Verschreibungsverhalten von Ärzten sein - um sie gezielt durch Außendienstmitarbeiter von Pharmaherstellern zu beeinflussen.

Der Verkauf von Rezeptdaten ist legal, allerdings unter einer Bedingung: Laut Sozialgesetzbuch (SGBV, § 300, (2)) müssen die Daten vor der Weitergabe an Dritte anonymisiert werden. Zudem werden personenbezogene Daten wie die Versichertennummer oder Arztnummer vor dem Verkauf verschlüsselt, um einen Rückschluss auf Patienten oder Arzt auszuschließen. Das war aber nicht immer so.

Letztes Jahr zum Beispiel hat Thomas Kranig, der Leiter des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) mitgeteilt, dass beim süddeutschen Apothekenrechenzentrum VSA in München "die Verfahrensweise bis zum Jahr 2010 nicht den gesetzlichen Vorgaben entsprach" beim Verkauf der Rezeptdaten: Unverschlüsselte und nicht gesetzeskonform anonymisierte Daten wurden von den beteiligten Firmen übermittelt, abgerufen und gespeichert.

Die verkauften Rezeptdaten wurden laut einem vertraulichen Schreiben eines Anwalts im Namen des Rechenzentrums an das BayLDA offenbar auch zum "Patiententracking" benutzt. Auch die "Zuordnung einzelner Verordnungen zu einem bestimmten Arzt" und "Aussagen zu einzelnen Ärzten" waren demnach möglich. Das aber wäre illegal, sollte es zutreffen.

Untaugliches Anonymisierungsverfahren

Die Weitergabe vertraulicher Patientendaten betrifft nicht nur ein paar lokale Apotheken. Das bayerische Apothekenrechenzentrum VSA verarbeitet die Rezeptdaten von rund einem Drittel aller in Deutschland gesetzlich Versicherten.

Der illegale Umgang mit Rezeptdaten gehöre seit 2010 der Vergangenheit an, so der bayerische Datenschützer: "Im Abschlussbericht vom 9. Januar 2013 hat das BayLDA keine datenschutzrechtlich unzulässigen Datenverarbeitungen durch die VSA festgestellt." Doch Wissenschaftler bezweifeln diese Darstellung. Der umstrittene Umgang mit Rezeptdaten dauert schon über zehn Jahre an. Informatiker warnen nun, dass das Rechenzentrum VSA möglicherweise noch bis 2012 ein untaugliches Anonymisierungsverfahren eingesetzt habe.

Das Apothekenrechenzentrum VSA lässt zu diesem Vorwurf über eine Anwaltskanzlei mitteilen: "Bis Mai 2012 verschlüsselte unsere Mandantin Daten nach dem Verfahren SHA-256. Dieses Verfahren war bei dessen Einführung State of the Art und gilt bis heute als ein sicheres Verfahren."

Viele namhafte Computerexperten sehen das anders: "Ich finde das Verfahren nicht passend, um eine angemessene Anonymisierung durchzuführen. Ich würde es lieber eine Verschleierung nennen", warnt etwa Norbert Pohlmann, Professor für Informatik am Institut für Internet-Sicherheit an der Westfälischen Hochschule in Gelsenkirchen.

Nägel mit einem Stuhl einschlagen?

Etliche Sicherheitsexperten stimmen ihm zu (siehe Kasten unten): SHA-256 sei zwar ein weit verbreitetes Standardverfahren für andere Zwecke, aber zum Schutz von Versichertennummern ungeeignet. Das sei auch schon im Jahr 2012 der Fall gewesen. "Ein Stuhl ist auch ein weit verbreitetes Verfahren zum Sitzen", sagt Peter Leppelt, Gründer der Sicherheitsfirma Praemandatum aus Hannover: "Aber ein Stuhl eignet sich eben nicht dazu, einen Nagel einzuschlagen."

Die Rückrechnung einer Versichertennummer, die mit SHA geschützt ist, dauere mit einem herkömmlichen PC nur wenige Minuten. Mit ein paar einfachen Tricks lasse es sich in Sekunden erledigen. Selbst Datenschützer Kranig teilt mit: "SHA-256 ist kein Verschlüsselungsverfahren." Damit scheint er sich der Professorenmeinung anzuschließen.

Das Rechenzentrum VSA widerspricht: Es sei nicht wahr, dass "das Verfahren SHA-256 bei dessen Einführung bis heute nicht State of the Art gewesen" sei. Es stimme auch nicht, dass "dieses Verfahren von Experten nicht als sicher bezeichnet" werde.

Nicht einmal das genaue Datum der Löschung ist bekannt

Seit 2012 hat das Apothekenrechenzentrum seine Anonymisierungsmethoden dennoch umgestellt auf ein "Trustcenter"-Verfahren mit "Krypto-Box" und dem Verschlüsselungsverfahren AES. Im April 2014 hat es für den Datenverarbeitungsprozess sogar ein Iso-Zertifikat bekommen.

Trotz der fundamentalen Meinungsverschiedenheiten zwischen dem Datenschützer und dem Rechenzentrum taucht das Problem im Datenschutzbericht für die Jahre 2011/2012 aber gar nicht auf. Datenschützer Kranig will sich zu den Vorgängen nicht äußern: Die "Ergebnisse unser Datenschutzprüfungen" würden "ohne Einwilligung der betroffenen Unternehmen nur in Extremfällen der Öffentlichkeit und der Presse" mitgeteilt.

Der Fall sei abgeschlossen, lässt Kranig lediglich wissen. Außerdem seien die umstrittenen Datensätze gelöscht worden. "Das Löschprotokoll liegt dem Bayerischen Landesamt für Datenschutzaufsicht vor", schreibt auch die VSA.

Das genaue Datum der Datenlöschung wollen allerdings weder VSA noch BayLDA verraten. Auf Nachfrage antwortet die VSA, sie habe "bereits versichert, dass die Löschung vorgenommen wurde. Dies müssen wir Ihnen nicht durch Unterlagen beweisen."

Experten warnen: Wenn unverschlüsselte Patientendaten einmal in falsche Hände gelangen, ist es sehr schwierig, diese Daten im Nachhinein wieder zurückzufordern, zumal von ausländischen Firmen. Ein Passwort oder eine Kreditkartennummer lässt sich nach einem Datenleck leicht ändern. Ihre Versichertennummer dagegen behalten Patienten meist ein Leben lang.

Paul Francis vom Max-Planck-Institut für Softwaresysteme in Kaiserslautern warnt: Sensible Daten sollten erst gar nicht in die Hände Dritter gelangen, denn es sei nie klar, welche Formen von Auswertung künftig möglich sein würden.

Es gäbe eine einfache gesetzliche Lösung

Der Datenschutz ist in Deutschland föderal organisiert, in anderen Bundesländern herrscht eine andere Praxis. Das norddeutsche Apothekenrechenzentrum zum Beispiel liefert keine detaillierten Rezeptdaten mehr an Marktforschungsfirmen: Das Datenfeld für die Versichertennummer etwa wird nicht verschlüsselt, sondern einfach leer gelassen. Sogar das Deutsche Arzneiprüfinstitut (DAPI), das die Medikamentensicherheit überwacht, gibt sich mit derartig bereinigten Datensätzen zufrieden.

Das Bundesministerium für Gesundheit (BMG) hielt bislang die Weitergabe und Nutzung von Rezeptdaten durch Apothekenrechenzentren für unproblematisch. Annette Widmann-Mauz (CDU), Staatssekretärin im BMG, antwortete vor einem Jahr auf eine Kleine Anfrage der Grünen: "Aus Sicht der Bundesregierung wäre es zu begrüßen, wenn sich die Datenschutzaufsichtsbehörden der Länder auf eine einheitliche Auffassung verständigten." Man werde die weitere Entwicklung "sorgfältig dahingehend beobachten, ob gesetzlicher Änderungsbedarf besteht".

Eine bundeseinheitliche Regelung wäre einfach zu erreichen. Der Bundestag könnte zum Beispiel beschließen, den einen Halbsatz im Sozialgesetzbuch zu streichen, der den Handel mit den Rezeptdaten erlaubt. Er lautet: "...anonymisierte Daten dürfen auch für andere Zwecke verarbeitet und genutzt werden."

Der wirtschaftliche Schaden, der den Apothekenrechenzentren entstünde, wenn sie die Rezeptdaten nicht mehr an Marktforscher weiterverkaufen dürften, ist überschaubar. Pro Rezept bekommen sie etwa anderthalb Cent.

Expertenmeinungen zur Anonymisierung von Versichertennummern beim Verkauf von Rezeptdaten mit Hilfe des Verfahrens SHA-256 im bayerischen Apothekenrechenzentrum VSA zwischen 2010 und 2012
Hartmut Pohl, Sprecher des Präsidiumsarbeitskreises Datenschutz und IT-Sicherheit der Gesellschaft für Informatik
"Hashalgorithmen (MD5, SHA-1, SHA-256, SHA-512) sind an dieser Stelle überhaupt nicht geeignet."
Norbert Pohlmann, Professor für Informatik am Institut für Internet-Sicherheit, Westfälische Hochschule, Gelsenkirche
"Ich finde das Verfahren nicht passend, um eine angemessene Anonymisierung durchzuführen. Ich würde es lieber eine Verschleierung nennen."
Professor Matthew Smith, Institut für Informatik, Rheinische Friedrich-Wilhelms-Universität Bonn
"SHA256 ist kein Verschlüsselungsverfahren, sondern eine kryptographische Hashfunktion. Damit eignet sich SHA256 nicht zum Verschlüsseln oder Anonymisieren von Daten. Mit SHA246 gehashte Daten können höchstens als pseudonymisiert bezeichnet werden. Allerdings ist bei dem sehr kleinen Ursprungsraum, wie er bei der VSA besteht, selbst dieser Schutz nicht gewährt."
Professor Michael Meier, Institut für Informatik 4, Universität Bonn
"Es handelt sich hier um ein Pseudonym, also um pseudonymisierte Daten."
Arno Wacker, Leiter des Fachgebiets Angewandte Informationssicherheit an der Uni Kassel
"Durch Verknüpfung der 'anonymisierten' Datensätzen mit weiteren Informationsquellen ist eine Umkehrung der Abbildung auch ohne Brechen der Kryptographie denkbar. Bei dem SHA-256 Verfahren ist darüber hinaus eine Vorwärtssuche denkbar."
"Das bedeutet, für Anonymisierung ist dieser Ansatz zu jedem Zeitpunkt ungeeignet. Für Pseudoynmisierung ist der Ansatz durch den obigen Angriff nur bedingt geeignet (aktuell überhaupt nicht)".
Peter Leppelt, Mitgründer der Computersicherheitsfirma Praemandatum, Hannover
"Das Verfahren SHA (Secure Hash Algorithm) ist ein Prüfsummenverfahren und keine Verschlüssenlung."
"Hash-Funktionen auf sehr begrenztem Eingaberaum sind keine Verschlüsselung sondern eine Verschleierung."
"Das Verfahren an sich ist aktuell tatsächlich nicht gebrochen - es ist lediglich vollkommen ungeeignet für diesen Einsatzzweck. Die Gründe dafür haben wir schon dargelegt. Eine Analogie zu diesem Argumentationsfehlschluss wäre: 'Wir setzen Tische ein, um Nägel in die Wand zu hauen. Tische stellen eine bewährte und sichere Technologie dar.' Letzteres ist zwar richtig, reduziert die Thematik aber schlicht auf das falsche Problem."
Professor Bernd Freisleben, Lehrstuhlinhaber im Fachbereich Informatik an der Uni Marburg
"Aufgrund der eindeutigen Bezüge zwischen Arztnummern und Arztanonymen bzw. Apothekennummer und Apothenanonymen handelt sich eher um eine Pseudonymisierung, da die übermittelten Daten zumindest einer Arztnummer bzw. Apothekennummer zugeordnet werden können. Eine Zuordnung der Daten zu Arztnamen bzw. Apothekennamen ist allerdings nicht direkt möglich - unter Ausnutzung weiterer Informationen aber eventuell schon."
Felix "FX" Lindner, Gründer der Sicherheitsfirma Recurity Labs, Berlin
"Solange eine praktikable Moeglichkeit besteht, eine Verbindung von einem "kryptographisch verfremdeten" Datum (z.B. Arztnummer) zu genau einem Klartext-Datum herzustellen, handelt es sich eindeutig um eine Pseudonymisierung."
Peter Schönhofer, Senatsdirektor a.D. und ehemaliger Direktor des Instituts für klinischen Pharmakologie Klinikum Bremen Mitte
"Durch Vergleich von Vertragsdaten aus Praxen und Apotheken lässt sich so bei VSA-Daten der Kode für Ärzte und Versicherte leicht knacken, zumal kontinuierliche Verordnungsdaten auch Auskunft über den individuellen Krankheitsverlauf bei Patienten abbilden. Zusammen mit dem Alter des Patienten wird so die Krankengeschichte des Patienten und seine Behandlung durch den Arzt erkennbar. Das Zusammenführen von Daten aus den Verträgen mit Ärzten und Apotheken macht also eine Identifizierbarkeit von Patienten in den VSA-Daten möglich, wenn diese Daten in der VSA-Datei bereit patientenindividuell zusammengeführt sind."
Paul Francis, Max-Planck-Institut für Softwaresysteme
"Die Technik, einfach eine Versichertennummer zu hashen ist nicht nur Pseudonymisierung, sondern es ist schlechte Pseudonymisierung. Das liegt daran, dass die Original-Versichertennummer sich durch eine Brute-Force-Attacke ermitteln lässt, die auch Wörterbuch-Attacke genannt wird."

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 11 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Es wird nichts passieren.....
robbyy 20.11.2014
Die Bundesregierung wird nichts tun um sowas abzustellen. Sie wird eher noch weiter gezielt verschleiern, denn es ist im Interesse ihres Klientel, dass weiterhin viel Geld mit dem Datenhandel verdient wird.
2.
hans.jo 20.11.2014
"Trotz der fundamentalen Meinungsverschiedenheiten zwischen dem Datenschützer und dem Rechenzentrum [...]" Von einer "Meinungsverschiedenheit" zu sprechen verbietet sich hier. Viel mehr handelt es sich wohl um einen Fall völliger Verkennung der Realität seitens des Rechenzentrums welches zwingend die Frage nach der Kompetenz für einen solchen Betrieb aufwirft. Korrekt ist daß SHA-256 ein prinzipiell auch heute noch mehr als hinreichend sicheres Verfahren ist um aus einer Menge an Daten (z.B. ein Dokument) eine Art "Prüfsumme" zu erzeugen, aus der nicht mehr auf die Ursprungsdaten geschlossen werden kann. Man nennt das auch "Hash-Funktion". Hier aber sind die Ursprungsdaten keineswegs völlig zufällig und unvorhersehbar sondern klaren Regeln unterlegen. Zum einen kann daher den Vorgang der Bildung dieser "Prüfsume" jeder durchführen, der die dazu nötigen Eingabedaten kennt, hier also die Versicherungsdaten des Patienten. Wenn ich also die Daten habe und wissen will, welche Medikamente mein Nachbar so bekommt, dann habe ich sehr leichtes Spiel. Aber nicht mal die eigentlich nicht möglich sein sollende Umkehrung dieses Verfahres ist hier ausgeschlossen. Denn weil die Daten eben in bestimmter Struktur sind, kann ich auch zufällig Datensätze generieren aus Namen und was noch so reinspielt, über ggf. fehlende Daten intelligente Vermutungen treffen und die Suchmenge einschränken und auf diese Weise dann praktisch zufällig Treffer finedn bei denen meine erdachten Daten zu Datensätzen passen. Auf Grund der Funktionsweise einer Hash-Funktion ist hierbei dann praktischerweise auch äußerst wahrscheinlich, daß ich auch die richtigen Eingabedaten (also Versichertendaten) ausgewürfelt habe und es sich nicht um einen Doppeltreffer handelt. So, und wer das nicht kapiert und nur Gefasel über die grundsätzliche Sicherheit des Hash-Verfahrens (was eben wie der Artikel aufzeigt ein Stuhl ist, mit dem man keinen Nagel in die Wand einschlagen kann) abgibt, der sollte weder ein solches Unternehmen betreiben noch mit solch sensiblen Daten umgehen. Alleine schon sich zu einer solchen Aussage zu befleissigen ist extrem peinlich.
3. Na und?
_unwissender 20.11.2014
In einer Umgebung, in der "Datenschutz" nur für die Datenbankbesitzer gilt, auf dass denen keiner in die Karten schaue, ist doch die Freiheit für das Handeln (in jedem Sinne) das wertvolle Gut: *FREIHEIT!* Was tut der Gesetzgeber? Verboten ist nach dem Hackerparagrafen die Computerspionage - und -sabotage, jedoch nicht, wenn sie von der Industrie ausgeübt wird. Oder will jemand behaupten, wenn sich Daten auf meinen Rechner setzt oder von meinem Rechner holt (so wie all die mittlerweile nötigen Skripte der Anbieter, da geht nichts mehr mit html!), dann sei das nicht Computerspionage - und -sabotage? Ja, lieber Spon, wie wäre es mit entsprechender Aufklärung und Intervention bei Minister Maas?
4.
ruediger 20.11.2014
SHA-256 ist zu Schutz von Versichertennummern völlig ungeeignet, da man leicht die möglichen SHAs für alle theoretisch möglichen Versichertennummern ermitteln kann und damit eine Rückwärtsabbildung möglich ist. Ein weiteres Problem bleibt aber auch bei der AES Verschlüsselung bestehen: Durch die Analyse mehrerer Datensätze wrd auch weiterhin eine Personenzuordnung in vielen Fällen möglich sein: Wenn zB der selbe Patient Rezepte mehrerer Ärzte einlöst sind auch auch damit Personenzuordnungen möglich (mann weiss dann dass der Patient im Patentientenstamm beider Ärzte ist).
5. Hash und Verschlüsselung
specialsymbol 20.11.2014
Seit wann gilt die Errechnung eines Hash-Wertes als Verschlüsselung?
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Fotostrecke
Rezeptdatenverkauf: "Mistkäfer" als Datendealer?


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: