Die Arzthelferin bedroht die Sicherheit der deutschen Wirtschaft

Datensicherheitslücken überall - Hilft digitaler Ungehorsam?

Die Sicherheit eines Unternehmens endet nicht am Werkstor und der Datenleitung nach "draußen", sondern setzt auch Diskretion auf Seiten seiner Dienstleister - und deren Personal - voraus. Im Klartext: Auch die Arzthelferin und der Steuerberatungsgehilfe müssen wissen, wie sie mit den Daten von Patienten und Mandanten umgehen. Angesichts von 40 Millionen Deutscher Mitglieder in den "sozialen" Netzen darf daran gezweifelt werden, dass diese Forderung erfüllt wird.

Doch der Reihe nach: In der Informationsgesellschaft sollte jeder ein Minimum an Sensibilität für Sicherheit aufbringen, den der Einfluss auf die personenbezogenen Daten von Bürgern, Kunden, Lieferanten, Mandanten, Mitarbeitern, Patienten und Versicherten hat.

Anspruch und Wirklichkeit

Da sind zunächst die Entscheider - denen in der Politik mangelt es häufig an Basiskenntnissen über die Informationstechnik: Legendär ist die Frage der früheren Justizministerin Brigitte Zypries: "Was ist ein Browser"? - Kann mir mal jemand erklären, wie so ein Politiker über Vorratsdatenspeicherung, Gesundheitskarte, "intelligente" Stromnetze oder sonst ein Telematik-Projekt entscheiden will? Wer aber entscheidet denn dann in diesem Land, wenn die Politik keinen Funken Verständnis von der Informationsgesellschaft hat? Die sie umgebenden Beamten? Oder sind es die "bis zu 5000" Einflüsterer aus Wirtschaft und Verbänden, die LobbyControl in Berlin gezählt hat?

Den Entscheidern in der Wirtschaft hapert es nach Beobachtungen (In der e-Gesellschaft ankommen) von Hewlett Packard häufig an der Bereitschaft, in die Sicherheit der Systeme zu investieren.

Weiter brauchen Diensteanbieter, Softwareentwickler, Serverbetreiber, Admins und Anwender Bildung: Wer sich nicht darüber im Klaren ist, welche Renditen Kriminelle mit Daten erwirtschaften oder auf welchem intellektuellen Niveau die Angreifer unterwegs sind, hat kein Verständnis dafür, dass ein Passwort 8-14 Zeichen lang sein soll, den gesamten alpha-numerischen Zeichensatz und die Sonderzeichen umfassen und in regelmäßigen Abständen gewechselt werden soll. Er wird Möglichkeiten finden, die Vorgaben der Sicherheitsabteilung zu umgehen.

Außerdem sollten die IT-fernen Branchen wissen, was sie tun, z.B. Anwälte, Apotheker, Arbeitsämter, Architekten, Einwohnermeldeämter, Einzelhändler, Finanzämter, Hotels, Kfz-Meldestellen, (Kranken-)versicherungen, Personal- und Unternehmensberater, Ärzte. Deren Handeln aber stinkt bisweilen zum Himmel: Das Landratsamt Bad Hersfeld läßt sich 10 Server mit den personenbezogenen Daten von 120.000 Einwohnern stehlen (Bad Hersfelder Restrisiken, der Daten-Gau und der "Tsunami der Daten").

Im Video von c't TV ist leicht zu erkennen: Das Türchen, mit dem die Server gesichert wurden, könnte womöglich genutzt werden, um die Gartengeräte in einem Wochenendhäuschen wegzusperren - aber doch nicht für personenbezogene Daten von 120.000 Einwohnern! Da ist es wenig überzeugend, wenn der Landrat behauptet, die Daten seien "nach modernen kryptischen Verfahren verschlüsselt und per Passwort gesichert".

Wie modern der Landkreis sicherheitstechnisch eingestellt ist, zeigt sich auch daran, dass bereits im Dezember 2010, also zwei Monate vor dem Server-Klau, im Bürgerbüro eingebrochen wurde.

Das jämmerliche Drama bei der Sicherung öffentlicher Einrichtungen wird durch die Argumentation des hessischen Städte- und Gemeindebunds komplett: "Wenn wir die Vorgaben des BSI berücksichtigen wollten, würde das teuer; dann müssten wir Kindergärten schließen." Genauso gut könnte die Deutsche Bank sagen, sie habe kein Geld mehr für Tresore übrig.

Die Gegenseite: ausgeklügelte Methoden

Die organisierte Kriminalität weiß längst, wie sie mit Daten Geld machen kann. Die Organisationsstrukturen sind mittlerweile so perfekt organisiert, dass auch kleinste Klitschen nicht mehr verschmäht werden - weder 3-Sterne-Hotels, noch pizza.de. Der Lieferdienst gehört zu weiteren 400 Webseiten, die aktuell mit einem "Denial of Service Angriff" erpresst werden - die Drohung: Wenn das Opfer keine 100 Bitcoins (rund 600 Euro) zahlt, wird der Webserver so lang mit sinnlosen Anfragen überhäuft, bis er den Dienst quittiert.

Die Masche ist im Prinzip bekannt; bereits 2004 wurde mybet.com auf diese Weise geschädigt. Bemerkenswert ist vielmehr, dass so viele Seiten gleichzeitig angegriffen wurden. Die Angriffe werden dabei nicht von einem Server aus gesteuert, sondern fanden über ein sogenanntes "peer to peer"-Netz statt. Es genügt also nicht, einen Server abzuschalten, um den Spuk zu beenden, sondern sämtliche der zigtausend am Angriff beteiligten Rechner müssen abgeschaltet werden, um sicher zu sein, dass man auch den "Kopf" erwischt hat. Bislang war es eine Nachricht, wenn ein Opfer zu beklagen war - heute sind es auf einen Sitz 400.

Bis die Angreifer die technischen Fähigkeiten entwickelt haben, ein Großunternehmen anzugreifen, ist es immerhin denkbar, dessen Mitarbeiter mit einem "sozialen Denial of Service" zu blockieren.

IBM hat dieser Tage in einem Sicherheitsbericht die methodischen Grundlagen dazu vorgestellt. Heise Online berichtet:

Mit ausgeklügelten Methoden und Tarnungen versuchen Angreifer, sich Zugang zu kritischen Netzwerken zu verschaffen. [...] Beim sogenannten 'Whaling' setzen die Angreifer ihre Methoden vor allem gegen die 'großen Fische' aus der Führungsetage von Unternehmen ein, die Zugriff auf wichtige Daten haben. Sorgfältige Bespitzelung gefolgt von gezielten Phishing-Aktionen sollen hier zum Erfolg führen.

Mit anderen Worten: Die Zielperson wird strategisch identifiziert und jede on- oder offline verfügbare Information wird genutzt, um maximal Geld aus dem Opfer rauszupressen.

Daten-inkontinente Behörden

Anschließend können die Daten missbraucht werden - etwa durch einen Identitätsdiebstahl: Welche Ausmaße das annehmen kann, hat eine Journalistin von Zeit Online leidvoll erfahren: Sie mußte nach einem Identitätsdiebstahl 800 Arbeitsstunden und "zehntausende" in den Anwalt investieren. Ihr Fehler: Sie hatte in ihrer Bewerbungsphase ihren Namen und ihr Geburtsdatum unvorsichtig auf Ihrer Internetseite veröffentlicht.

Der Landrat in Bad Hersfeld verweigert sich dem Gespräch mit JJ's Datensalat hartnäckig. Er ist ja noch nicht einmal den Bad Hersfelder Bürgern gegenüber auskunftspflichtig. Der Bundesbeauftragte für den Datenschutz verlangt eine Auskunftspflicht für daten-inkontinente Behörden einzuführen. Bislang müssen das nur Unternehmen - im Behördenjargon "nichtöffentliche Stellen" genannt - tun.

Vermutlich weiß der Landrat nix vom Identitätsdiebstahl - und befindet sich in guter Gesellschaft mit anderen Branchen: 3 von 4 Ärzten in Kanada entsorgen Patientendaten ungeschreddert im Papiermüll. Sogar große Krankenhäuser sollen dabei sein, wie ein Sprecher von NAID Europe bestätigte. In Europa sind "Ärzte und Anwälte" seiner Meinung nach "die Schlimmsten". Zu dieser Meinung ist er durch das Auswerten des Papiermülls bei den Entsorgern gelangt.

Papiermüll und Dumpster Diving

Ungeschreddertes Entsorgen von Papiermüll - womöglich käme ein Richter zu dem Schluß, dass das die Bezeichnung "vorsätzlich" verdient. In den USA ist mittlerweile bereits der fahrlässige Umgang mit Daten brenzlig: Ein Arzt wurde zu 40.000 Dollar Strafe verurteilt, weil sein Sohn beim Umzug von einer Praxis in die andere 1600 Patientenakten in eine öffentliche Mülltonne geworfen haben soll.

Einer der Grund für die Härte des Gerichts ist sicher auch in den Konsequenzen für die Betroffenen zu finden: Der medizinische Identitätsdiebstahl allein verursacht pro Patientennase in den USA durchschnittlich 20.000 US-Dollar Schäden.

Die gehaltvollen Mülltonnen haben - vermutlich nicht ganz im Sinn von Alois Schumpeters' Begriff der schöpferischen Zerstörung zu einer neuen Branche geführt: Das Dumpster Diving scheint in eine ergiebige Quelle zu sein, um Identitäten zu stehlen. Dabei sind die Kriminellen zum vollen Körpereinsatz bereit: Madridman.com will gesehen haben, wie zwei Männer sackweise Papier aus Müllcontainern gefischt, im Auto verstaut und davon gefahren sind. Er ist davon überzeugt, dass es sich bei den beiden um Identitätsdiebe gehandelt haben muß.

Soll doch einer sagen, Ungelernte hätten in der Informationsgesellschaft keine Chancen mehr! Angeblich sind 15 Millionen Personen jährlich in den USA von Straftaten dieser Art betroffen.

Profiler der anderen Art

Eine andere Möglichkeit, um an Daten zu bekommen, besteht darin, dem Steuerberater aus Hessen die Mandantendaten online abzuluchsen, um ihn anschließend mit der Veröffentlichung der Daten zu erpressen.

Gleich aus welcher Quelle, bei allen diesen Daten gibt es einen "Stamm" - (Vor-)Name, Geburtstag,-datum,-ort, Anschrift - diese Daten sind fast immer gleich. Und sie lassen sich - der Leistungsfähigkeit der Informationstechnik sei dank! - flugs zu Profilen zusammensetzen.

Ein Beispiel mag die Effiziens des elektronischen Puzzlens illustrieren: Beim Zusammenbruch der DDR hat die 'Stasi' versucht, Akten zu vernichten, "welche die innere Repression belegen, die Zusammenarbeit mit der SED zeigen oder Informanten der Stasi enttarnen könnten", wie auf Wikipedia zu lesen ist. Bis 2012 will das Fraunhofer-Institut für Produktionsanlagen und Konstruktionstechnik mit Hilfe von Hochleistungsscannern ein Monster-Puzzle aus 400 Stasi-Säcken mit Papierschnipseln zusammensetzen. Wie einfach muß es vor diesem Hintergrund für die Software sein, die Daten vom Arzt, dem Anwalt, dem Steuerberater und der Gemeinde einer Person zu einem Profil zusammenzusetzen?

Vermutlich werden die Profile von Menschen mit Geld, Macht und Einfluß die höchsten Preise erzielen. Kein Wunder, dass 57 Prozent der Chefs US-Amerikanischer Unternehmen einen solchen Identitätenklau fürchten.

Mit den Datensätzen vieler Menschen ließe sich nicht nur - wie am Beispiel Tina Groll beschrieben - Warenkreditbetrug im großen Stil verüben. Kriminelle könnten auch bestehende Kontoverbindungen ändern, sich Steuererstattungen oder Sozialhilfe auszahlen lassen oder die im vergangenen Jahr in Berlin geklauten Blanko-Ausweisformulare nutzen, um sich falsche Papiere auszustellen und somit Zutritt zu sicherheitsrelevanten Bereichen zu verschaffen.

Innentäter und Fernsteuerung

Apropos Zutritt zu sicherheitsrelevanten Bereichen: Der Stuxnet-Wurm soll per USB Stift in die Iranischen Atomanlagen eingeschleppt worden sein. Ob die Mitarbeiter der Firmen im Iran nur dumme Esel gewesen sind, denen die Stifte untergeschoben wurden oder ob sie bestochen oder erpresst wurden, ist müßig. Tatsache ist: Sie haben den digitalen Sprengsatz ins Ziel gebracht.

BKA-Präsident Jörg Ziercke gibt ehrlicherweise zu:

Ich sage ganz offen, bei einem Innentäter bekommen wir Probleme.

Das sollte die in Bad Hersfeld ansässige Wirtschaft zur Kenntnis nehmen. Die Stadt ist - so die Selbsteinschätzung - "Deutschlands innovatives Logistikzentrum". Kein Wunder, dass sich dort die Buchversender Amazon und Libri niedergelassen haben. Nehmen wir also mal an, jemand wollte Amazon das Weihnachtsgeschäft versauen. Wieviel Führungskräfte muß man in Bad Hersfeld per Identitätsdiebstahl anderweitig "beschäftigen", bis die Abläufe im Unternehmen ins Stocken kommen? Oder noch schlimmer: Ist eine Führungskraft nach dem Verlust ihrer Identität tatsächlich noch Herrin ihrer eigenen Entscheidungen? Oder wird sie unter Führung eines Dritten empfänglich für Bestechung und/oder Erpressung jedweder Art und damit zur regelrechten Bedrohung für ihren Arbeitgeber?

An dieser Stelle zeigt sich, dass der Begriff der "Fernsteuerung" im Untertitel von "Vom Datum zum Dossier" keineswegs übertrieben ist.

Die Antwort der Pressesprecherin auf entsprechende Fragen wirkt genervt und nervös zugleich:

Der von Ihnen genannte Vorfall hat in keiner Weise mit Amazon zu tun, daher können wir hierzu keine Stellung nehmen. Aus Sicherheitsgründen veröffentlichen wir zudem keine Details bzgl. unserer Sicherheitsvorkehrungen, ich bitte um Ihr Verständnis.

Die Digitalisierungswelle

Nun haben die "e"-lektrisierte Politik und Wirtschaft beschlossen, die Abläufe in Politik, Wirtschaft und Verwaltung künftig weitgehend elektronisch abzuwickeln: Der e-Kommerz, die e-Verwaltung und das e-Wirtschaften wird die Digitalisierung im Gesundheitswesen, der öffentlichen Verwaltung, der Energiewirtschaft, der Verkehrssteuerung bzw. -kontrolle weiter voran treiben. Zu allem Überfluß wird spekuliert, ob Google womöglich selbst ein Bankhaus gründen wird. Die Gründung traue ich dem Internet-Riesen ja vielleicht noch zu. Ich bin mir aber nicht sicher, ob die Kundschaft anschließend genauso an ihr Bares kommt, wie sie das bei der Sparkasse um die Ecke bislang gewohnt war.

Auch die Digitalisierung (halb-) staatlicher Dienste findet weitgehend unter Ausschluß der Öffentlichkeit statt. Beispiel elektronische Gesundheitskarte (eGK): Sämtliche Patientendaten sollen auf lange Sicht aus dem Aktenschrank raus in den PC rein. - Wenn die Ärzte bis dahin nicht den Umgang mit Daten gelernt haben, Gnade den Patienten: Die Arztpraxen ließen sich vermutlich recht einfach per Spearphishing infizieren - und das womöglich nicht peu-a-peu, sondern es würde dann womöglich einen Überraschungsangriff auf alle Arztpraxen gleichzeitig geben.

Hinzu kommen Gefahren für die "zentrale Infrastruktur" - hier sollen einmal Kopien sämtlicher Patientenakten liegen. Die Bundesregierung informiert:

Noch können die neuen Karten nicht mehr als die vorherigen Gesundheitskarten.

Bis weitere Anwendungen wie Notfalldaten, Allergien oder chronische Krankheiten, Arztbriefe, Befunde oder die elektronische Patientenakte verfügbar seien, "dürften noch ein paar Jahre vergehen". Wie tröstlich.

Weiter heißt es in der Meldung:

Wenn es so weit ist, entscheidet der Versicherte, auf welche Daten die Mediziner Zugriff bekommen.

Dieses Versprechen beißt sich mit einer anderen Ankündigung: "Wenn der Arzt alle bereits gesammelten Gesundheitsinformationen einsieht, werden unnötige und belastende Doppeluntersuchungen vermieden."

Zugriffsrechte

Woher weiß denn der Arzt, dass er Zugriff auf alle Patientendaten hat, wenn der Patient "Herr über seine Daten" bleiben soll und selbst entscheiden kann, was gespeichert wird und wer das lesen darf? Vermutlich wird auch der Gesetzgeber früher oder später erkennen, dass das nicht funktioniert und dann ganz hurtig die sogenannten "freiwilligen" Anwendungen für alle Patienten verpflichtend vorschreiben.

Denn dieses Geschäft mit der Digitalisierung der Patientendaten - etwa den e-Rezepten und e-Patientenakten - das interessiert die IT-Industrie und deren Verband, den Bitkom.

Der Arzt und Informatiker Ralph Heydenbluth fürchtet, dass unter Umständen "jedermann unumkehrbar am heimischen PC die gleichen Zugriffsrechte auf die eGK erhält wie beispielsweise ein Arzt." Widersprochen hat ihm bislang niemand.

Zugriffsrechte für Jedermann! - Was würde wohl eine Spitzenpolitikerin oder Vorstandschef dafür geben, wenn ihre/seine Patientenakten nicht von Dritten manipuliert würden?

Digitaler Ungehorsam

Die Rheinland Pfälzische Piratenpartei ist nicht davon überzeugt, dass die zentrale und noch dazu freiwillige Datenspeicherung in der zentralen Infrastruktur erst dann kommt, wenn das System wasserdicht ist. Die Partei empfiehlt den Versicherten, digitalen Ungehorsam zu leisten und kein Foto an die Krankenversicherung zu schicken: 'Ohne Foto keine Karte' - so die Überlegung.

Das Beispiel des geknackten Polizei-Überwachungssystems PATRAS leistet den Piraten unfreiwillig Argumentationshilfe: Da sind jetzt die Daten von überwachten Kriminellen im digitalen Orkus verfügbar. Nicht nur die Überwachten wissen von der Beobachtung im staatlichen Auftrag - auch potentielle "Auftraggeber" aus aller Herren Länder dürften sich für diese Liste interessieren falls sie die Dienste von "Kriminellen und mutmaßlichen Terroristen" hierzulande in Anspruch nehmen wollen.