Psychotherapeuten gehackt: Finnische Patienten und Praxen werden erpresst

In Finnland haben Unbekannte womöglich Zehntausende Datensätze eines Psychotherapie-Zentrums abgegriffen und erpressen nun nicht nur die Firma selbst, sondern auch betroffene Patienten und Patientinnen. Mit diesem neuartigen Vorgehen wollen sie offenbar etwa eine halbe Million Euro erbeuten. So viel jedenfalls soll die Therapiefirma Vastaamo in Bitcoin zahlen, um weitere Veröffentlichungen zu verhindern, berichtet der öffentlich-rechtliche Rundfunk Yleisradio.

Patienten wurden demnach aufgefordert, etwa 200 Euro in Bitcoin zu zahlen, um eine Veröffentlichung ihrer Daten zu verhindern. Später würde die Forderung auf 500 Euro erhöht. Bis Sonntag waren bereits 300 Datensätze ins Darknet gestellt worden.

Besonders intime Informationen

Vastaamo betreibt den Berichten zufolge 22 Praxen in ganz Finnland und beschäftigt etwa 300 Psychotherapeuten. Der oder die Erpresser behaupten demnach, Informationen zu insgesamt 40.000 Patienten an sich gebracht zu haben. Dazu gehören unter anderem Tagebücher, Diagnosen und Kontaktinformationen, auch von Minderjährigen. Die Firma selbst geht inzwischen davon aus, Opfer gleich zweier böswilliger Hacks geworden zu sein, eines im November 2018 und eines im März 2019. Der Geschäftsführer des Unternehmens wurde am Montag entlassen, nachdem nicht einmal intern über die erfolgreichen Einbrüche informiert worden war.

In Finnland ist die Erpressung ein Thema von nationalem Interesse, am Sonntag sagte Staatspräsident Sauli Niinistö: "Das betrifft uns alle." Das Verbrechen zeige, wie wichtig Cybersecurity und Datenschutz sei. Insgesamt hatten Ermittlern zufolge bis zum Wochenende bereits Tausende Patienten, die bei Vastaamo in Behandlung waren, Anzeigen eingereicht. Das finnische Kabinett will sich am Mittwoch mit dem Fall befassen, die Innenministerin Maria Ohisalo bezeichnete es demnach als aktuell vorrangige Aufgabe, den Betroffenen zu helfen. Jeden Versuch, von ihnen Geld zu erpressen, bezeichnete sie als "sehr ernst, schockierend und empörend". Der Erpresser firmiert online unter dem Alias "ransom-man" und stellt Daten nach und nach über eine Tor-Seite online.

Ein ganzes Land auf der Jagd

Gegenwärtig wird demnach aber auch über Details spekuliert, etwa warum zwischen Einbruch und Erpressung fast zwei Jahre vergangen sind. Möglich sei, dass der oder die Angreifer den Wert nicht gleich erkannt haben oder aber, dass sie abgewartet haben, um Spuren zu verwischen. So könnten sie hoffen, dass Logdateien von Vastaamo inzwischen gelöscht wurden. Auch die vergleichsweise niedrigen Lösegeldsummen halten manche für rätselhaft, schreibt Yleisradio. Die Angreifer könnten die Angelegenheit schnell beenden wollen, so eine Theorie. Bislang sind die bereits öffentlich gemachten Daten nur im schwer zu erreichenden Tor-Netz aufgetaucht. Sie könnten aber nun ins Internet gelangen.

Insgesamt handle es sich um einen "sehr ungewöhnlichen Erpressungsfall", meint Mikko Hyppönen, der Forschungschef des finnischen Sicherheitsunternehmens F-Secure. Gegenüber Politico sagte er, dem Täter fehle jegliches Mitgefühl für seine Mitmenschen. Der Angriff sei "besonders beschissen" und jeder Informationssicherheitsexperte in Finnland versuche aktuell, den Täter ausfindig zu machen.

(mho)