Forum: Netzwelt
Verkaufte Rezeptdaten: "Keine Verschlüsselung, sondern Verschleierung"
DPA

Deutsche Rechenzentren verkaufen sensible Rezeptdaten. Eigentlich sollten die Datensätze zu diesem Zweck anonymisiert werden - doch das geschah in der Vergangenheit manchmal offenbar nicht. Fachleute warnen vor vermeintlicher Verschlüsslung.

Seite 1 von 2
robbyy 20.11.2014, 11:30
1. Es wird nichts passieren.....

Die Bundesregierung wird nichts tun um sowas abzustellen. Sie wird eher noch weiter gezielt verschleiern, denn es ist im Interesse ihres Klientel, dass weiterhin viel Geld mit dem Datenhandel verdient wird.

Beitrag melden Antworten / Zitieren
hans.jo 20.11.2014, 11:33
2.

"Trotz der fundamentalen Meinungsverschiedenheiten zwischen dem Datenschützer und dem Rechenzentrum [...]"

Von einer "Meinungsverschiedenheit" zu sprechen verbietet sich hier. Viel mehr handelt es sich wohl um einen Fall völliger Verkennung der Realität seitens des Rechenzentrums welches zwingend die Frage nach der Kompetenz für einen solchen Betrieb aufwirft.

Korrekt ist daß SHA-256 ein prinzipiell auch heute noch mehr als hinreichend sicheres Verfahren ist um aus einer Menge an Daten (z.B. ein Dokument) eine Art "Prüfsumme" zu erzeugen, aus der nicht mehr auf die Ursprungsdaten geschlossen werden kann. Man nennt das auch "Hash-Funktion".

Hier aber sind die Ursprungsdaten keineswegs völlig zufällig und unvorhersehbar sondern klaren Regeln unterlegen. Zum einen kann daher den Vorgang der Bildung dieser "Prüfsume" jeder durchführen, der die dazu nötigen Eingabedaten kennt, hier also die Versicherungsdaten des Patienten. Wenn ich also die Daten habe und wissen will, welche Medikamente mein Nachbar so bekommt, dann habe ich sehr leichtes Spiel.

Aber nicht mal die eigentlich nicht möglich sein sollende Umkehrung dieses Verfahres ist hier ausgeschlossen. Denn weil die Daten eben in bestimmter Struktur sind, kann ich auch zufällig Datensätze generieren aus Namen und was noch so reinspielt, über ggf. fehlende Daten intelligente Vermutungen treffen und die Suchmenge einschränken und auf diese Weise dann praktisch zufällig Treffer finedn bei denen meine erdachten Daten zu Datensätzen passen. Auf Grund der Funktionsweise einer Hash-Funktion ist hierbei dann praktischerweise auch äußerst wahrscheinlich, daß ich auch die richtigen Eingabedaten (also Versichertendaten) ausgewürfelt habe und es sich nicht um einen Doppeltreffer handelt.

So, und wer das nicht kapiert und nur Gefasel über die grundsätzliche Sicherheit des Hash-Verfahrens (was eben wie der Artikel aufzeigt ein Stuhl ist, mit dem man keinen Nagel in die Wand einschlagen kann) abgibt, der sollte weder ein solches Unternehmen betreiben noch mit solch sensiblen Daten umgehen. Alleine schon sich zu einer solchen Aussage zu befleissigen ist extrem peinlich.

Beitrag melden Antworten / Zitieren
_unwissender 20.11.2014, 11:40
3. Na und?

In einer Umgebung, in der "Datenschutz" nur für die Datenbankbesitzer gilt, auf dass denen keiner in die Karten schaue, ist doch die Freiheit für das Handeln (in jedem Sinne) das wertvolle Gut: FREIHEIT!

Was tut der Gesetzgeber?
Verboten ist nach dem Hackerparagrafen die Computerspionage - und -sabotage, jedoch nicht, wenn sie von der Industrie ausgeübt wird. Oder will jemand behaupten, wenn sich Daten auf meinen Rechner setzt oder von meinem Rechner holt (so wie all die mittlerweile nötigen Skripte der Anbieter, da geht nichts mehr mit html!), dann sei das nicht Computerspionage - und -sabotage?

Ja, lieber Spon, wie wäre es mit entsprechender Aufklärung und Intervention bei Minister Maas?

Beitrag melden Antworten / Zitieren
ruediger 20.11.2014, 11:43
4.

SHA-256 ist zu Schutz von Versichertennummern völlig ungeeignet, da man leicht die möglichen SHAs für alle theoretisch möglichen Versichertennummern ermitteln kann und damit eine Rückwärtsabbildung möglich ist.

Ein weiteres Problem bleibt aber auch bei der AES Verschlüsselung bestehen: Durch die Analyse mehrerer Datensätze wrd auch weiterhin eine Personenzuordnung in vielen Fällen möglich sein: Wenn zB der selbe Patient Rezepte mehrerer Ärzte einlöst sind auch auch damit Personenzuordnungen möglich (mann weiss dann dass der Patient im Patentientenstamm beider Ärzte ist).

Beitrag melden Antworten / Zitieren
specialsymbol 20.11.2014, 12:21
5. Hash und Verschlüsselung

Seit wann gilt die Errechnung eines Hash-Wertes als Verschlüsselung?

Beitrag melden Antworten / Zitieren
P3terP4n 20.11.2014, 13:57
6. Der Schaden ist keineswegs minimal!

"Der wirtschaftliche Schaden, der den Apothekenrechenzentren entstünde, wenn sie die Rezeptdaten nicht mehr an Marktforscher weiterverkaufen dürften, ist überschaubar. Pro Rezept bekommen sie etwa anderthalb Cent."Vielleicht sollten sie noch einmal ermitteln, wie hoch die Zahl der in Deutschland eingereichten Rezepte tatsächlich ist. Dann wird ihre Aussage evtl. relativiert. Getreu nach dem Motto "Kleinvieh macht auch Mist"

Beitrag melden Antworten / Zitieren
st.esser 20.11.2014, 14:13
7. Wirksame Anonymisierung?

Zitat von specialsymbol
Seit wann gilt die Errechnung eines Hash-Wertes als Verschlüsselung?
Es ist keine Verschlüsselung, aber SHA-256 ist ein "kryptografischer" Hash, d.h. man hat das "Zurückrechnen" auf den Ausgangswert so schwierig wie möglich gemacht und es gibt eine Abschätzung für den notwendigen Rechenaufwand. Für eingeschränkte Wertebereiche ist SHA-256 bijektiv, also ein Rückschluss auf die Eingabewerte aus dem Hash möglich.Unter bestimmten Bedingungen könnte man ein HMAC-Verfahren als Verschlüsselungsverfahren für sehr kleine Datenmengen ansehen, und HMAC kann man auf SHA-256 basierend implementieren.Problematisch sind Hash-Werte, wenn man nicht "zufällige" Werte aus einer großen Eingabemenge als Input nimmt, sondern z.B. 10 stellige Patientennummern. Die dazugehörenden Hash-Werte kann man dann nämlich für alle denkbaren Patientennummern im voraus berechnen und speichern, dann braucht man für einen Hash nur den zugehörigen Wert im Speicher zu finden (was heute bei diesen Datenmengen vernachlässigbaren Rechenaufwand erfordert und auf jedem PC möglich wäre).Durch ein HMAC-Verfahren wird es schwieriger, solange das "Geheimnis" nicht mit den anonymisierten Daten weitergegeben wird.Wenn heute AES eingesetzt wird, dann ist das auch nicht unbedingt besser, denn es gilt genau die gleiche Einschränkung wie bei HMAC: Das "Geheimnis" bzw. der Verschlüsselungs-Key muss geheim bleiben.

Beitrag melden Antworten / Zitieren
Gott 20.11.2014, 14:14
8. aes

Zitat von ruediger
Ein weiteres Problem bleibt aber auch bei der AES Verschlüsselung bestehen: Durch die Analyse mehrerer Datensätze wrd auch weiterhin eine Personenzuordnung in vielen Fällen möglich sein: Wenn zB der selbe Patient Rezepte mehrerer Ärzte einlöst sind auch auch damit Personenzuordnungen möglich (mann weiss dann dass der Patient im Patentientenstamm beider Ärzte ist).
Nein das ist nicht möglich, da bei richtiger Anwendung von Blockchiffren wie AES bei wiederholter Verschlüsselung des gleichen Klartextes immer verschiedene Chiffrate/Geheimtexte erstellt werden.Aber bei Idioten die meinen SHA2 wäre ein Verschlüsselungsverfahren, darf man natürlich nicht all zu viel erwarten.

Beitrag melden Antworten / Zitieren
st.esser 20.11.2014, 14:44
9. Sinn von Anonymisierung/Pseudynomisierung

Zitat von Gott
Nein das ist nicht möglich, da bei richtiger Anwendung von Blockchiffren wie AES bei wiederholter Verschlüsselung des gleichen Klartextes immer verschiedene Chiffrate/Geheimtexte erstellt werden.Aber bei Idioten die meinen SHA2 wäre ein Verschlüsselungsverfahren, darf man natürlich nicht all zu viel erwarten.
Wenn die gleiche Patientennummer immer wieder durch andere Werte ersetzt wird, dann kann man das Feld genau so gut leer lassen (oder mit einem vom Format her passenden Zufallswert füllen).Der Sinn von Anonymisierung (richtiger in diesem Fall: Pseudynomisierung) ist, dass kein Rückschluss auf den Patienten möglich ist, wohl aber eine Zuordnung aller Behandlungen und Verordnungen zu einander.Dass aufwändige Analysen und die heute üblichen "Big Data" Verfahren als Nebeneffekt durchaus auch Rückschlüsse auf die Person zulassen können (bis hin zur Identifikation einer Person) ist in der Literatur hinlänglich beschrieben.

Beitrag melden Antworten / Zitieren
Seite 1 von 2