Datenweitergabe an Vertragspartner
Die österreichische Sektion der Hackergruppe Anonymous, AnonAustria, hat letzte Woche über Twitter bekanntgegeben, im Besitz von 600.475 Datensätzen der Tiroler Gebietskrankenkasse (TGKK) zu sein. Der Fall weist auf ein systematisches Datenleck im Gesundheitssystem hin, denn Versichertendaten werden parallel zum sicheren E-Card-Netz an Partner weitergegeben.
Dieser Artikel ist älter als ein Jahr.
AnonAustria sei nicht über einen Hack an die Datenbank der TGKK gekommen, sondern „darüber gestolpert“: Die Daten lägen in ZIP-komprimierter Form bei einem Onlinespeicherdienst. Laut AnonAustria enthalten die Datensätze zumindest Namen, Adressen und Geburtsdaten der Versicherten.
TGKK-Obmann Michael Huber sagte der APA, es könnte sich bei der Datenbank um Datensätze handeln, die die Krankenkasse monatlich an Vertragspartner wie zum Beispiel Ärzte und das Rote Kreuz weitergebe. Mit diesen Daten könne überprüft werden, ob jemand tatsächlich versichert sei. Nicht enthalten seien dabei Aufzeichnungen über Erkrankungen der 550.000 TGKK-Versicherten, beteuerte Huber. Die eigenen IT-Systeme seien nicht gehackt worden, die Datenweitergabe erfolge über „gesicherte Leitungen“. Ein Umtausch oder eine Sperrung der E-Card durch die Versicherten sei nicht nötig, da das E-Card-System nicht betroffen sei.
Parallelaktion zur E-Card
Gegenüber ORF.at erläuterte Dieter Holzweber, Sprecher des Hauptverbandes der Sozialversicherungsträger, warum die Krankenkassen die Daten ihrer Versicherten außerhalb des abgesicherten E-Card-Systems zugänglich machten: „Viele Vertragspartner wie etwa das Rote Kreuz oder einige Spitäler sind immer noch nicht an das E-Card-Netz angeschlossen. Diese Vertragspartner erhalten monatlich aktualisierte Datensätze von den Versicherungsträgern, damit sie prüfen können, ob ein Patient versichert ist. Der Datensatz stammt sicher von einem dieser Vertragspartner.“
Das E-Card-System kann also so sicher sein, wie es will - solange die Daten der Versicherten parallel dazu weitergegeben werden, bietet sich potenziellen Angreifern eine ausreichend große Fläche für eine Attacke.
Holzweber wies darauf hin, dass die Daten nicht aus dem E-Card-System stammen, wo der Zugriff auf Patienteninformationen nur dann erfolgen kann, wenn der Arzt gleichzeitig durch seine Ordinationskarte und die E-Card des Patienten dazu autorisiert sei. Auch seien sicher keine Daten zu den Krankheiten oder zum Medikamentenkonsum der Patienten übertragen worden. In der Regel enthielten die Datensätze nur Namen und Versicherungsnummer. Weshalb in den TGKK-Daten auch Telefonnummern und Adressen der Versicherten gespeichert seien, konnte er nicht sagen.
Hacker wollen nicht veröffentlichen
Bis dato stellten die Hacker die Versichertendaten nicht ins Netz und wollen das nach Eigenangaben auch nicht tun. Man überlege, Auszüge aus dem Material als Beweis online zu veröffentlichen. Laut Aussage von AnonAustria befinden sich die Daten offenbar „seit über sechs Monaten“ im Umlauf.
AnonAustria schrieb, dass auch die Daten prominenter Personen wie Tobias Moretti und Hansi Hinterseer in der Datei stünden. Die TGKK hat laut eigenen Angaben auf ihrer Website rund 540.000 Versicherte und Mitversicherte in Tirol. Laut Auskunft der Krankenkasse gegenüber ORF.at ist diese Zahl auch aktuell. Die Diskrepanz zwischen der von AnonAustria kolportierten Zahl der Datensätze und jener der TGKK-Versicherten erklärte Obmann Michael Huber gegenüber ORF Tirol damit, dass die Kasse auch die Daten anderer Versicherungsträger weiterleite - mehr dazu in tirol.ORF.at.
Anzeige gegen unbekannt
Huber kündigte eine „Anzeige gegen unbekannt“ an. Die Polizei und deren Fachleute sollten sich mit der Veröffentlichung der Daten befassen. Es handle sich um eine „kriminelle Geschichte“, auch wenn man angeblich „zufällig“ über die Datensätze gestolpert sei. Nach der Veröffentlichung von rund 25.000 Namen und Adressen österreichischer Polizisten ist es bereits das zweite Datenleck bei einer großen österreichischen Organisation, auf das AnonAustria in dieser Woche aufmerksam gemacht hat.
WGKK prüft Abläufe
Auch bei der Wiener Gebietskrankenkasse (WGKK) werden derzeit die Abläufe überprüft. „Zum derzeitigen Zeitpunkt liegen der WGKK noch keine näheren Informationen über die Tiroler Situation vor“, so der IT-Experte der WGKK, Andreas Obermaier. Grundsätzlich seien die Spitäler der Stadt Wien über das gesicherte E-Card-System angebunden. Man nehme den Vorfall in Tirol aber zum Anlass, um die Abläufe erneut zu überprüfen, wurde versichert - mehr dazu in wien.ORF.at.
Bei der steirischen GKK sieht man keinen Grund zur Sorge, sagte der Obmann Josef Pesserl: Alle Daten, die von Vertragspartnern – zum Beispiel Ärzten - abgerufen werden, seien im Netzwerk der Sozialversicherung gespeichert.. Das heißt, die Hacker müssten zuerst das Netzwerk der Sozialversicherung und dann das der steirischen GKK knacken - mehr dazu in steiermark.ORF.at.
Links:
