Was ist die heisseste Ware im «Dark Web»? Elektronische Patientendossiers

Im Cyber-Schwarzmarkt wird für Patientendaten über 20mal mehr bezahlt als für Kreditkarten-Informationen. Höchste Zeit, dass wir uns dessen bewusst werden.

, 8. Juli 2016, 11:33
image
  • trends
  • it
  • e-health
  • elektronisches patientendossier
Dass die Gesundheitsbranche besonders heftig von Hackern bedroht wird, wurde erst jüngst wieder klar: Im April stellte ein Datensicherheits-Report von IBM fest, dass die Cyberangriffe auf das Gesundheitswesen eine neue Intensitäts-Stufe erreicht haben. Im Jahr 2015 registrierten die IBM-Security-Experten 64 Prozent mehr schwere Vorfälle als im Jahr davor. 
«2014 befand sich der Gesundheitssektor auf unserer Rangliste der am häufigsten angegriffenen Branchen nicht einmal in den Top 5», sagte IBM-Sicherheits-Manager Gerd Rademann damals im Fachorgan «IT Business»: «Das hat sich im Laufe des Jahres 2015 rasant geändert – heute ist die Gesundheitsbranche aus handfesten Gründen das beliebteste Angriffsziel von Cyberkriminellen, noch vor der Fertigungsindustrie und der Finanzwirtschaft.»

Fast die Hälfte aller EPDs betroffen

In Washington gaben Spezialisten des Sicherheitsinstituts ICIT etwa zeitgleich bekannt, dass bereits 47 Prozent der US-Bürger mit elektronischen Patientendossiers Opfer eines Cyber-Einbruchs wurden.  
Was das heisst, zeigt nun der eindrückliche Bericht eines anderen Fachmediums: Eine Reporterin von «Fast Company» machte sich unter Anleitung von IBM-Spezialisten auf ins «Dark Web» – also in jene Internet-Welt, die durch diverse Verschlüsselungstechniken abgesondert ist, wo in der Anonymität mit Währungen wie Bitcoins bezahlt wird und die intensiv für kriminelle Geschäfte genutzt wird. 

EPD = das volle Programm

Und sie stellte fest, was dort besonders intensiv gesucht und gehandelt wird: Patientendossiers. Damit lassen sich massiv höhere Preise erzielen als beispielsweise mit Kreditkarten oder Sozialversicherungs-Nummern. 
In Zahlen: Wer solche medical records anbieten kann, erhält derzeit Bitcoins im Wert von rund 60 Dollar pro Stück; der Schwarzmarktpreis einer funktionierenden Kreditkarte samt Daten liegt irgendwo zwischen 1 und 3 Dollar. 
Warum? Wer ans Patientendossier einer Person gelangt, hat viel intensivere Möglichkeiten des Identitätsdiebstahls – zumindest in den USA. Denn während eine Kreditkarte rasch gesperrt ist, erhält man mit dem EPD eine ganze Auswahl von Daten auf einmal: Sozialversicherungsnummer (bei uns wäre es auch die AHV-Nummer), Name, Geburtsdatum, Adress- und Kontaktangaben – und obendrein Informationen über den Gesundheitszustand beziehungsweise über chronische Krankheiten und Medikamenten-Verwendung.

Rechnung an Frischoperierte

Ausgenützt wird dies nicht nur für verschiedenste Formen des Identitäts-Diebstahls. Sondern zum Beispiel auch, indem man einer frisch operierten Person eine Rechnung zuschickt – einfach mit falschen Einzahlungs-Angaben. Avi Rubin, ein Sicherheitsexperte der Johns Hopkins University, äusserte zudem unlängst den Verdacht, dass die Patientendossiers mehr und mehr zur Erpressung benutzt werden.
Und auf der anderen Seite besteht offenbar auch ein reges Angebot. Denn dass das Sicherheitsbewusstsein bei Krankenversicherern und Spitälern womöglich noch nicht gleich ausgebildet ist wie in anderen Branchen, ist unter Experten bekannt. Der Gesundheitssektor liege technisch «teils etwa fünf bis zehn Jahre zurück, verglichen beispielsweise mit den Banken»: Dies sagte Urs Achermann, der oberste Sicherheitsmanager der HINT AG, unlängst im Medinside-Interview.

«Beim Schutz wird es knapp»

Und weiter: «Ich arbeite seit über 15 Jahren in den verschiedensten Branchen im Sicherheitsbereich, und da stellt man das schon fest. Natürlich investieren die Spitäler sehr viel Geld in die Technik – denken Sie nur an die MRI-Geräte –, aber beim Basissystem und beim Schutz wird es eher knapp. Das liegt auch daran, dass es oft am Bewusstsein fehlt für die Problematik.»
Und so häufen sich auch die Meldungen über spektakuläre Cyber-Einbrüche in Spitäler weltweit. Einen Niederschlag verspürte denn prompt die Reporterin, die für «Fast Company» im «Dark Web» stöberte: Mit den IBM-Experten stiess sie auf einen Hacker, der – laut eigenen Angaben – ein Paket von knapp 1 Million vollständiger E-Patientendossiers anbot. 

«On The Dark Web, Medical Records Are A Hot Commodity», in: «Fast Company», Juli 2016



  • Bild: Tommasio il Biondo, «Employee X-Ray» | Flickr CC 

Artikel teilen

Loading

Comment

2 x pro Woche
Abonnieren Sie unseren Newsletter.

oder

Mehr zum Thema

image

«Nur ein Drittel der Spitäler ist schweizweit am EPD angeschlossen»

Das elektronische Patientendossier sei noch gar nicht so wichtig, findet Richard Patt, Geschäftsführer der Stammgemeinschaft eSanita. Warum, und was relevanter ist, erklärt der Bündner im Interview mit «Inside IT».

image

Neuer Anlauf für ein digitales Impfbüechli

Für die Weiterentwicklung ihrer jeweiligen Impflösungen arbeiten eHealth Suisse und HCI Solutions zusammen. Dadurch gewinne der Impfausweis im EPD an Mehrwert.

image

Bundesamt für Gesundheit hat neuen Digitalisierungschef

Die Stelle von Sang-Il Kim konnte wieder besetzt werden. Zudem sucht das BAG im Rahmen einer neuen Strategie weitere Führungskräfte für Cybersecurity und IT-Projekte.

image

«Cyberangriffe auf Spitäler führen zu höherer Sterblichkeit»

Cybersicherheitsvorfälle sind zu einer Geissel für die Gesundheitsbranche geworden. Mitunter enden diese offenbar auch tödlich, wie eine aktuelle Umfrage aus den USA zeigt.

image

Patientendossier: Nun soll die Post es richten

Die Post plant eine Mehrheitsbeteiligung an der Axsana, die in 14 Kantonen unter der Marke Xsana das Elektronische Patientendossier (EPD) anbietet.

image

Winterthur: Kantonsspital beschafft sich externes IT-Personal

Das Kantonsspital Winterthur holt sich externes IT-Fachpersonal ins Haus. In den nächsten drei Jahren will man dafür bis zu zehn Millionen Franken ausgeben.

Vom gleichen Autor

image

Brust-Zentrum Zürich geht an belgische Investment-Holding

Kennen Sie Affidea? Der Healthcare-Konzern expandiert rasant. Jetzt auch in der Deutschschweiz. Mit 320 Zentren in 15 Ländern beschäftigt er über 7000 Ärzte.

image

Wer will bei den Helios-Kliniken einsteigen?

Der deutsche Healthcare-Konzern Fresenius sucht offenbar Interessenten für den Privatspital-Riesen Helios.

image

Deutschland: Investment-Firmen schlucken hunderte Arztpraxen

Medizin wird zur Spielwiese für internationale Fonds-Gesellschaften. Ärzte fürchten, dass sie zu Zulieferern degradiert werden.