Spektakulärer Hack Erpresser verlangt zehn Millionen Dollar für ein Passwort
"Aufgepasst Virginia" war am 30. April mit einem Mal auf der Website einer staatlichen Gesundheitsbehörde in den USA zu lesen: "Ich habe Euren Scheiß!"
Wortwahl und fehlendes Seitendesign machten umgehend klar: Hier wurde was gehackt. An sich kein ungewöhnlicher Vorgang, denn sogenannte Defacements, bei denen die Gestalt einer Website verändert wird, sind so etwas wie die Graffiti des Internet: Jugendliche Cyber-Vandalen machen einen Sport daraus, politisch motivierte Aktivisten und Extremisten beschmieren die Websites ihrer Lieblingsfeinde, Kriminelle verunstalten gegen Zahlung die Websites geschäftlicher Konkurrenten oder erpressen "Schutzgeld" gegen eben solche Defacements.
Das Defacement-Achiv Zone-H , bei dem solche Seitenveränderungen gemeldet werden können, verzeichnete allein für den 4. Mai 1783 Defacements, davon 978 Massenattacken, bei denen gleich reihenweise Seiten abgeschossen wurden.
Mit einem Wort: Es ist ziemlich ruhig geworden in Cyberia, denn früher, als Hacks und Cracks noch der Sport randalierender, pubertierender Skript-Kiddies waren, wurde täglich eine bis zu fünfstellige Zahl von Websites "abgeschossen". Heute geht es dagegen beim viel beschworenen Cybercrime tatsächlich meistens um Geld - um Verbrechen.
Zehn Millionen Dollar für ein Passwort
So auch in diesem Fall und auf ganz spektakuläre Weise: Das Defacement des Virginia Prescription Monitoring Program PMP (zurzeit nicht erreichbar) ist nur ein Symptom für eine laufende Erpressung. Ein unbekannter Cracker - so nennt man Hacker, die mit kriminellen Absichten in Systeme einbrechen - hat die Seite nicht nur gekapert und verändert, sondern auch alle Daten gelöscht. Jetzt verlangt er bis zum 6. Mai die Zahlung von zehn Millionen Dollar für ein Passwort, mit dem sich ein verschlüsseltes Backup der Datenbestände freischalten lässt. Ansonsten, so die Drohung, werde er die Daten "auf dem freien Markt" verhökern.
Es ist nicht unwahrscheinlich, dass er einen Käufer findet.
Denn das PMP macht über seine Website einen Fundus brisanter Daten zugänglich. Das Monitoring-System ist eine Art Clearing-Stelle für amerikanische Apotheker und Ärzte: Hier können sie die Daten von Patienten einsehen, die verschreibungspflichtige Medikamente nachfragen. Das PMP ist eine Art Frühwarnsystem gegen Medikamentenmissbrauch. Es enthält Daten zu Personen und deren Verschreibungen.
Der Einbrecher verfügt damit über "Namen, Alter, Adressen, Sozialversicherungsnummern, Führerscheinnummern" der Erfassten. Das sind, wenn man den Angaben des Erpressungsschreibens folgt, 8.257.378 Menschen, von denen 35.548.087 Rezeptverschreibungen archiviert sind. So berichtet es auch das Whistleblower-Netzwerk Wikileaks , das Security-Blog der "Washington Post" folgte dem Bericht - und bisher widersprach niemand.
Schon gar nicht über die Website des PMP, die nach wie vor nicht erreichbar ist. So wie etliche andere Websites der Gesundheitsbehörde, die vorsorglich abgeschaltet wurden. Die Gesundheitsbehörde veröffentlicht zurzeit Listen mit Telefon- und Faxnummern für dringliche Fälle, denn auch E-Mails werde es erst dann wieder geben, wenn alle Systeme einem Sicherheitscheck unterzogen seien.
Kommentieren will die Behörde darüber hinaus nichts und verwies die "Washington Post" an das FBI, wo eine Ermittlung laufe.
Die spektakuläre Erpressung ist der zweite seiner Art binnen sieben Monaten. Im Oktober 2008 versuchte ein Unbekannter, ein auf Rezeptbuchungen spezialisiertes Serviceunternehmen mit der Drohung zu erpressen, die Krankheitsgeschichten von Millionen Amerikanern zu veröffentlichen. Wie ernst das betroffene Unternehmen Express Scripts den Vorgang nimmt, machte es mit einer Geste klar: Es machte den Vorgang öffentlich und setzte eine Belohnung von einer Million Dollar auf den Cracker aus. Bisher ohne Resultat.
Deutschlands Patientenakten: Bald vernetzt
In Deutschland gibt es bisher keine mit dem PMP oder der zentralen Rezeptbuchung durch Express Scripts vergleichbare, über das Internet vernetzte Datenbasis von Personen- und Patientendaten. Das wird sich allerdings ändern: Der allerorten sofort mögliche Zugriff auf alle Patientendaten ist eines der Hauptargumente für die Einführung der Gesundheitskarte.
Die wird ab Juli 2009 zunächst in Teilen von NRW eingeführt, dann sukzessive flächendeckend. Auf ihrem 32 Kilobyte kleinen Chip wird die Karte alle grundlegenden Daten des Patienten vorhalten, so dass diese vor Ort ausgelesen werden können. Was darüber hinaus geht und mit "Elektronische Patientenakte" beschrieben wird, wird zentral gespeichert und über eine Internet-Schnittstelle abrufbar sein.
Erst im Herbst 2008 begann - nachdem der Deutsche Ärztetag aufgrund datenschutzrechtlicher Bedenken zweimal den Stopp der Gesundheitskarte gefordert hatte - das Nachdenken über alternative Konzepte, bei denen die digitalen Patientenakten beim Patienten verbleiben könnten.
Von dieser fortlaufenden Diskussion zwischen Kritikern und Verfechtern, Ärzteschaft und Gesundheitsministerium unberührt läuft der "Roll-out" der Gesundheitskarten: Anfang Mai veröffentlichte die eigens für die an die Karte geknüpften Telematik-Dienstleistungen gegründete Gesellschaft gematik die Liste der zugelassenen Herstellerfirmen sowie ein Weißbuch zum Datenschutz der Gesundheitskarte . Schon Anfang April meldete das Gesundheitsministerium: "Tests bestanden - Einführung der Karte kann beginnen."
Ministerium und gematik gehen davon aus, dass durch die Verschlüsselung der deutschen Patientendaten deren Sicherheit auch im Falle eines Diebstahls gewährleistet wäre. Zumindest ein Erpressungspotential wie in den amerikanischen Fällen ergäbe sich demnach nicht, so lang das eingesetzte Schlüsselsystem nicht geknackt wird.
