Angeblicher Datendiebstahl: Unispital gibt Entwarnung

Am 24. Januar tauchte in einem auf Leaks spezialisierten Forum folgende Meldung auf: «Datenpaket von Chuv.ch – Switzerland». Ein anonymer Hacker behauptete, er sei im Besitz von über 2 Millionen Daten des Centre Hospitalier Universitaire Vaudois (CHUV) in Lausanne. Als Beweis lieferte er einen Auszug mit einigen Namen und Adressen von Personen.

Aufmerksam auf das mögliche Datenleck machte Marc Ruef von Infosec in einem Tweet. Der Security-Spezialist merkte dort aber auch gleich an: «Das Datenformat sieht sehr seltsam aus (wie eine schreckliche Kompilation von mehrdimensionalen JSON-Daten).»

Die Zeitung «Le Temps» (Paywall) kontaktierte nach der Meldung die Spitalleitung. In einer ersten Stellungnahme erklärte Pierre-François Regamey, IT-Direktor des CHUV, man sei über die Alarmzentrale des Kantons Waadt auf den möglichen Sicherheitsvorfall hingewiesen worden. «Auf der Grundlage der von uns durchgeführten Überprüfungen scheint die Stichprobe der veröffentlichten Informationen nicht von uns zu stammen», so Regamey. Die vom Hacker publizierten Daten würden aber noch genauer untersucht.

Am 26. Januar folgte dann die Entwarnung. In einer weiteren Stellungnahme betonte Regamey: «Die fraglichen Daten wurden wahrscheinlich in Frankreich gestohlen, bevor sie aus unbekannten Gründen mit dem Namen des CHUV in Verbindung gebracht wurden. Wir haben sie mit unseren Datenbanken abgeglichen, aber sie passen nicht zusammen.»