Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Spektakulärer Hack: Erpresser verlangt zehn Millionen Dollar für ein Passwort

Der Diebstahl von 35 Millionen Rezeptverschreibungen von mehr als acht Millionen Patienten zeigt die Gefahren von Web-vernetzten Gesundheitsdatenbanken. Die Drohung des Erpressers: Zehn Millionen Dollar Lösegeld - oder er werde die Daten meistbietend verkaufen.

"Aufgepasst Virginia" war am 30. April mit einem Mal auf der Website einer staatlichen Gesundheitsbehörde in den USA zu lesen: "Ich habe Euren Scheiß!"

Wortwahl und fehlendes Seitendesign machten umgehend klar: Hier wurde was gehackt. An sich kein ungewöhnlicher Vorgang, denn sogenannte Defacements, bei denen die Gestalt einer Website verändert wird, sind so etwas wie die Graffiti des Internet: Jugendliche Cyber-Vandalen machen einen Sport daraus, politisch motivierte Aktivisten und Extremisten beschmieren die Websites ihrer Lieblingsfeinde, Kriminelle verunstalten gegen Zahlung die Websites geschäftlicher Konkurrenten oder erpressen "Schutzgeld" gegen eben solche Defacements.

Das Defacement-Achiv Zone-H, bei dem solche Seitenveränderungen gemeldet werden können, verzeichnete allein für den 4. Mai 1783 Defacements, davon 978 Massenattacken, bei denen gleich reihenweise Seiten abgeschossen wurden.

Mit einem Wort: Es ist ziemlich ruhig geworden in Cyberia, denn früher, als Hacks und Cracks noch der Sport randalierender, pubertierender Skript-Kiddies waren, wurde täglich eine bis zu fünfstellige Zahl von Websites "abgeschossen". Heute geht es dagegen beim viel beschworenen Cybercrime tatsächlich meistens um Geld - um Verbrechen.

Zehn Millionen Dollar für ein Passwort

So auch in diesem Fall und auf ganz spektakuläre Weise: Das Defacement des Virginia Prescription Monitoring Program PMP (zurzeit nicht erreichbar) ist nur ein Symptom für eine laufende Erpressung. Ein unbekannter Cracker - so nennt man Hacker, die mit kriminellen Absichten in Systeme einbrechen - hat die Seite nicht nur gekapert und verändert, sondern auch alle Daten gelöscht. Jetzt verlangt er bis zum 6. Mai die Zahlung von zehn Millionen Dollar für ein Passwort, mit dem sich ein verschlüsseltes Backup der Datenbestände freischalten lässt. Ansonsten, so die Drohung, werde er die Daten "auf dem freien Markt" verhökern.

Es ist nicht unwahrscheinlich, dass er einen Käufer findet.

Denn das PMP macht über seine Website einen Fundus brisanter Daten zugänglich. Das Monitoring-System ist eine Art Clearing-Stelle für amerikanische Apotheker und Ärzte: Hier können sie die Daten von Patienten einsehen, die verschreibungspflichtige Medikamente nachfragen. Das PMP ist eine Art Frühwarnsystem gegen Medikamentenmissbrauch. Es enthält Daten zu Personen und deren Verschreibungen.

Der Einbrecher verfügt damit über "Namen, Alter, Adressen, Sozialversicherungsnummern, Führerscheinnummern" der Erfassten. Das sind, wenn man den Angaben des Erpressungsschreibens folgt, 8.257.378 Menschen, von denen 35.548.087 Rezeptverschreibungen archiviert sind. So berichtet es auch das Whistleblower-Netzwerk Wikileaks, das Security-Blog der "Washington Post" folgte dem Bericht - und bisher widersprach niemand.

Schon gar nicht über die Website des PMP, die nach wie vor nicht erreichbar ist. So wie etliche andere Websites der Gesundheitsbehörde, die vorsorglich abgeschaltet wurden. Die Gesundheitsbehörde veröffentlicht zurzeit Listen mit Telefon- und Faxnummern für dringliche Fälle, denn auch E-Mails werde es erst dann wieder geben, wenn alle Systeme einem Sicherheitscheck unterzogen seien.

Kommentieren will die Behörde darüber hinaus nichts und verwies die "Washington Post" an das FBI, wo eine Ermittlung laufe.

Die spektakuläre Erpressung ist der zweite seiner Art binnen sieben Monaten. Im Oktober 2008 versuchte ein Unbekannter, ein auf Rezeptbuchungen spezialisiertes Serviceunternehmen mit der Drohung zu erpressen, die Krankheitsgeschichten von Millionen Amerikanern zu veröffentlichen. Wie ernst das betroffene Unternehmen Express Scripts den Vorgang nimmt, machte es mit einer Geste klar: Es machte den Vorgang öffentlich und setzte eine Belohnung von einer Million Dollar auf den Cracker aus. Bisher ohne Resultat.

Deutschlands Patientenakten: Bald vernetzt

In Deutschland gibt es bisher keine mit dem PMP oder der zentralen Rezeptbuchung durch Express Scripts vergleichbare, über das Internet vernetzte Datenbasis von Personen- und Patientendaten. Das wird sich allerdings ändern: Der allerorten sofort mögliche Zugriff auf alle Patientendaten ist eines der Hauptargumente für die Einführung der Gesundheitskarte.

Die wird ab Juli 2009 zunächst in Teilen von NRW eingeführt, dann sukzessive flächendeckend. Auf ihrem 32 Kilobyte kleinen Chip wird die Karte alle grundlegenden Daten des Patienten vorhalten, so dass diese vor Ort ausgelesen werden können. Was darüber hinaus geht und mit "Elektronische Patientenakte" beschrieben wird, wird zentral gespeichert und über eine Internet-Schnittstelle abrufbar sein.

Erst im Herbst 2008 begann - nachdem der Deutsche Ärztetag aufgrund datenschutzrechtlicher Bedenken zweimal den Stopp der Gesundheitskarte gefordert hatte - das Nachdenken über alternative Konzepte, bei denen die digitalen Patientenakten beim Patienten verbleiben könnten.

Von dieser fortlaufenden Diskussion zwischen Kritikern und Verfechtern, Ärzteschaft und Gesundheitsministerium unberührt läuft der "Roll-out" der Gesundheitskarten: Anfang Mai veröffentlichte die eigens für die an die Karte geknüpften Telematik-Dienstleistungen gegründete Gesellschaft gematik die Liste der zugelassenen Herstellerfirmen sowie ein Weißbuch zum Datenschutz der Gesundheitskarte. Schon Anfang April meldete das Gesundheitsministerium: "Tests bestanden - Einführung der Karte kann beginnen."

Ministerium und gematik gehen davon aus, dass durch die Verschlüsselung der deutschen Patientendaten deren Sicherheit auch im Falle eines Diebstahls gewährleistet wäre. Zumindest ein Erpressungspotential wie in den amerikanischen Fällen ergäbe sich demnach nicht, so lang das eingesetzte Schlüsselsystem nicht geknackt wird.

pat

Diesen Artikel...
Forum - Diskussion über diesen Artikel
insgesamt 32 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Nur eine Frage der Zeit.
Daniel FR, 05.05.2009
Ministerium und gematik gehen davon aus, dass durch die Verschlüsselung der deutschen Patientendaten deren Sicherheit auch im Falle eines Diebstahles gewährleistet wäre. Zumindest ein Erpressungspotential wie in den amerikanischen Fällen ergäbe sich demnach nicht, *so lang das eingesetzte Schlüsselsystem nicht geknackt wird*. Ich lege schon mal die Füße hoch und warte. Die Politik ist noch nicht im 21. Jahrhundert angekommen.
2. ...wir woll'n doch nur spielen...
Nachgedacht, 05.05.2009
Zitat von sysopEin Diebstahl von 35 Millionen Rezeptverschreibungen von mehr als acht Millionen Patienten wirft ein Schlaglicht auf die Gefahren von Web-vernetzten Gesundheitsdatenbanken. Die Drohung des Erpressers: Zehn Millionen Dollar Daten-Lösegeld - oder er werde sie meistbietend verkaufen. http://www.spiegel.de/netzwelt/web/0,1518,622852,00.html
Es ist also nur eine Frage der Zeit, bis die Flachzangen von Ministerium und Gematik verkünden müssen: ..."nach damaligem Stand unserer Erkenntnisse konnten wir von der Sicherheit der Patientendaten ausgehen. Wider Erwarten hat sich die Technik, und damit auch die Möglichkeiten der Hacker, weiterentwickelt. Der bedauerliche Vorfall bedeutet jedoch nicht, dass unsere damalige Entscheidung falsch war. AMEN.
3. Hohn?
Lyric 05.05.2009
Es wurde doch immer wieder offenbar, wie stümperhaft von Behörden teuer eingekaufte Dienstleister gearbeitet haben - zuletzt am Bespiel "BAFA-Abwrack-Antrags-Formular". Dies mag daran liegen, dass die dort beschäftigten Angestellten des ÖD und die Beamten notwendige IT-/Internettechnologie-Schlüsselqualifikationen meist nicht vorweisen können, was eine gewisse Dramatik annehmen kann, wenn es den Umgang mit äußerst sensiblen, persönlichen und personenbezongenen Daten betrifft. Also, lieber die Hände weg von einer "Internetschnittstelle" zum Abrufen meiner Krankenakte!
4. Salamitaktik für die Einführung der Gesamtüberwachung
goombasko 05.05.2009
Seit wann sitzen in Ministerien (vom Inneren mit dem BSI mal abgesehen) Leute die echtes IT Wissen haben? Wie weit das "verbreitet" ist sieht man doch wunderbar an den poplistischen Aktionen aus dem "von die Laien" Minsterium... Ich jedenfalls werde eine entsprechende Überwachungskarte zerschnippelt zurücksenden, wenn so etwas kommt. Ich hoffe das andere das auch tun. Nein, ich habe auch kein Paydreck oder andere gegen MinimalrabattAusschnüffelkarten und zahle wann immer möglich in Bar. Nein ich habe keine Paranoia, ich habe berechtigte Angst. Nein, nicht weil ich was zu verbergen hab, ich hab bloss nix zu offenbaren. Der Datenschutz in diesem Land hat in etwa den Status den der Umweltschutz in 1970'er Jahre hatte: Gar keinen. Datenschutz und Privatsphäre sind Grundrechteschutz. Sämtliche diese Gesetze führen in Ihrer Gesamtwirkung dazu, dass die Unschuldsvermutung ed acta gelegt wird. Man muss jederzeit seine Unschuld beweisen können. Ersten Vorgeschmack gibt uns der Vorfall von dieser Woche mit der SMS aus Frankreich. Man stelle sich mal einen an die Macht gekommene N*z*-Partei im hier und jetzt vor mit den Möglichkeiten die bereits geschaffen wurden, den Bürger auszuleuchten und wegzuschliessen... die müssten fast gar nix ändern. Die Patientenakte hat noch ganz andere Möglichkeiten: Versicherungsvertreter kennt Artzthelferhin. 50 Taler fliessen und die Versicherung weiss, ob Sie einen Vertrag abschliessen soll oder nicht.... Versicherung verlangt Zugang zu Kartendaten. Kein Zugang, kein Vertrag. Was nutzt eine Verschlüsselung wenn jeder mit einem weissen Kittelchen drarauf zugreifen darf? Welche wirkliche Möglichkeit mich zu wehren habe ich, wenn ich krank bin? Das ganze kombinieren wir dann mit der Personenkennziffer. Ja, die wurde vom BVG abgelehnt, aber man nennt das nun Steuernummer und dann wird das schon gehen. Die klebt dann an der Patientenakte, am Kreditvertrag, am Bankkonto, an Versicherungsverträgen, an Kaufverträgen und und und... Dann wenn mal wieder etwas Gras drüber gewachsen ist wird die BGD per Gesetz eingeführt (BundesGesamtDatei). Sie wissen schon wegen der Terr*risten und so. Oder wegen der Rechten oder was sonst von allen Gutmenschen sofort kritiklos als richtig empfunden werden muss. Die Datei führt dann anhand Ihr PK (aka Steuernummer) alle Daten zusammen. Sie verweigern die Angabe solcher oder sonstige Daten auf diesen Unterlagen? Das werden wir sehen. Leider.
5. knackknackknack - beknackt!
Danny Wilde 05.05.2009
Zitat von Daniel FRMinisterium und gematik gehen davon aus, dass durch die Verschlüsselung der deutschen Patientendaten deren Sicherheit auch im Falle eines Diebstahles gewährleistet wäre. Zumindest ein Erpressungspotential wie in den amerikanischen Fällen ergäbe sich demnach nicht, *so lang das eingesetzte Schlüsselsystem nicht geknackt wird*. Ich lege schon mal die Füße hoch und warte. Die Politik ist noch nicht im 21. Jahrhundert angekommen.
Sie haben ja so recht (nettes Stichwort zu Ihrem Résumée auch: von-der-'Ki.-Po.'-Listing-Leyen...). Das, liebe(r) Mitforist(in), reden die Ärzte seit Jahren. Ohne jede Chance. Bei der Ausgestaltung der sog. 'eGK' (= elektronische Gesundheitskarte) hatten sie auch keinerlei Mitspracherecht. Perfide wird es, wenn die Ministerin in der beim BMG herunterladbaren Infobroschüre auf die Unabwendbarkeit und Notwendigkeit LESERLICHER Rezepte hinweist, die dann ja mit der eGK kämen, denn Rezepte müssten fortan nicht mehr geschrieben werden, sondern würden auf der Karte bzw. einem der 5 bundesweiten Server gespeichert. Hallo? In den Arztpraxen ist - zumindest für gesetzlich Versicherte - seit 10 Jahren die elektronische Datenverarbeitung PFLICHT, d.h., Rezepte kommen fein aus dem Drucker und werden beim Apotheker innerhalb einer halben Sekunde gescannt. Mit der eGK müssen aber Arzt, Arzthelferin UND Patient(in) beim Rezept-Ausstellen jeweils ihre eigenen eGK-PINs eingeben, ein Vorgang, der in einer vollbesetzten Praxis NICHT zu handeln ist, und dasselbe Spiel dann wieder beim Apotheker. Die bisherigen Modellversuche der hyperaktiven Freiwilligen (also Ärzte, die das alles ganz toll fanden + sich für die ersten Testläufe gemeldet hatten) scheiterten dann auch an genau dem: der Undurchführbarkeit der eGK in der täglichen Praxis. Vertippt sich ein Patient: eGK für 2 Stunden gesperrt. Vertippt sich ein Doc beim obligatorischen Eingeben seiner PIN: seine eigene "Medizin-Dienstleister-Karte" ist gesperrt, und zwar vollständig, womit er die Praxis schließen kann. Freischaltung nur nach einem aufwendigen schriftlichen Re-Ident-Verfahren. Nachzulesen vor ca. 1 J. in der c't. Aber nur mit den doppelten PINs und IDs ist die Datensicherheit "gewährleistet"... Mit anderen Worten: Der sogenannte "Basis-Rollout" hier im KV-Bezirk Nordrhein soll den Ärzten dadurch versüßt werden, dass die Kosten für die Anschaffung der Lesegeräte übernommen werden (von wem eigtl.? von unserer KV??? Zumindest wird das Geld von deren Konten auf die Konten der Docs überwiesen, aber es kommt von den Beiträgen der Versicherten). Versüßt, na ja: es hieß vor Jahren, es entstünden den Ärzten keine Zusatzkosten. Jetzt sieht es so aus: es gibt nur eine Pauschale, die zertifizierten Geräte sind fast alle teurer. Die Pauschale gibt es aber auch nur dann, wenn die Geräte bis 1.7.09 in der Praxis stehen. Lieferfristen im Moment: Ende 2009. Ach so: wir haben immer noch nicht bestellt. Werden wir auch nicht. Mal sehen, ob es dafür dann Knast gibt (grins). Wir raten den Patienten - wenn sie danach fragen - auch davon ab, ihr Foto an die Kasse zu schicken (erst mit Pic kann eine eGK hergestellt werden). Im übrigen meine ich gehört zu haben, dass die im Hochgeheimen bereits getesteten Server schon geknackt wurden. Und zwar vor 1 1/2 Jahren. War es der ccc? Weiß einer mehr? However, es ist ein Trauerspiel!! So long, DW
Alle Kommentare öffnen
    Seite 1    
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2009
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Fotostrecke
PMP-Hack: Zehn Millionen für ein Passwort


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: