Datenleck in Japan 510.000 Patienten betroffen
Die persönlichen und medizinischen Daten von mehr als einer halben Million Patienten wurden offengelegt, nachdem alte Festplatten von Krankenhäusern in der japanischen Region Hokkaido online verkauft wurden.
Was ist passiert
Nachrichten von der nordjapanischen Insel Hokkaido sind eine deutliche Mahnung, wie die grundlegendsten Regeln der Cybersicherheit völlig missachtet werden können. Eine Gruppe von Krankenhäusern in der Region steckt wegen eines massiven Datenlecks, das mehr als eine halbe Million Patienten betreffen könnte, in Schwierigkeiten. Im Zentrum dieses Vorfalls steht kein ausgeklügelter Hackerangriff oder eine Ransomware-Bande. Das Problem ist viel einfacher, viel greifbarer und vielleicht gerade deshalb viel empörender: alte Festplatten, die auf dem Gebrauchtmarkt verkauft wurden.
Ersten Berichten zufolge wollten Gesundheitseinrichtungen, die einer Krankenhausvereinigung in Hokkaido angehören, ihre ausgediente Computerhardware entsorgen. Dies ist ein absolut übliches Verfahren. An einem Punkt des Prozesses kam es jedoch zu einer unglaublichen Kette von Fahrlässigkeiten. Diese Festplatten, gefüllt mit den intimsten Informationen von Hunderttausenden von Patienten, wurden nicht wie vorgeschrieben zerstört. Stattdessen fanden sie irgendwie ihren Weg auf Online-Marktplätze. Der Vorfall kam ans Licht, als eine technisch versierte Person eine der Festplatten kaufte, die darauf befindlichen Daten entdeckte und die Behörden informierte. Aktuelle Schätzungen gehen davon aus, dass die Zahl der vom Leck betroffenen Personen 510.000 erreichen könnte. Dies ist nicht nur eine Zahl; es repräsentiert eine halbe Million Menschen, deren Leben, Privatsphäre und Sicherheit kompromittiert wurden.
Die offengelegten Daten
Der Inhalt der durchgesickerten Daten verdeutlicht die Schwere der Situation. Es handelt sich nicht um eine einfache Liste von Namen und E-Mails. Es ist viel mehr als das. Die kompromittierten Informationen umfassen grundlegende demografische Daten der Patienten:
Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.
Jetzt Prüfen →- Vollständige Vor- und Nachnamen
- Wohn- und Arbeitsadressen
- Telefonnummern und E-Mail-Adressen
- Geburtsdaten
- Nummern der japanischen nationalen Krankenversicherung
Die eigentliche Gefahr liegt jedoch in den medizinischen Unterlagen, die zusammen mit diesen Basisinformationen durchgesickert sind. Diese Unterlagen enthalten die privatesten Geheimnisse einer Person, ihre verletzlichsten Momente. Wir sprechen hier von Daten wie:
- Medizinische Diagnosen (einschließlich sensibler Informationen wie Krebs, psychiatrische Störungen und Infektionskrankheiten)
- Vergangene und aktuelle Behandlungspläne
- Listen von Medikamenten und Rezeptdetails
- Laborergebnisse und radiologische Berichte
- Arztnotizen und Patientengeschichten
Die Kombination dieser Daten ist eine Goldgrube für Cyberkriminelle. Sie kann für unzählige böswillige Aktivitäten genutzt werden, darunter Identitätsdiebstahl, Spear-Phishing-Angriffe, Erpressung und Versicherungsbetrug. Informationen über die sensible Erkrankung eines Patienten könnten genutzt werden, um ihn zu erpressen. Oder seine Versicherungsnummer könnte verwendet werden, um betrügerische medizinische Ansprüche zu stellen. Das Ausmaß der Bedrohung ist wirklich immens.
Wie das Leck geschah
Hinter diesem Leck verbirgt sich kein genialer Hacker, der im Verborgenen agiert. Im Gegenteil, das Ereignis ist ausschließlich auf ein Fiasko der physischen Sicherheit und der Verfahren zurückzuführen. Der Prozess lief wahrscheinlich so ab: Die Krankenhäuser beschlossen, ihre veraltete IT-Infrastruktur zu modernisieren. Die alten Server, Computer und Speichereinheiten wurden zur Vernichtung an ein Recycling- oder IT-Asset-Disposition (ITAD)-Unternehmen übergeben. Das Standardverfahren verlangt von solchen Unternehmen, dass sie die Daten auf den Laufwerken entweder mit spezieller Software unwiederbringlich löschen (Data Wiping) oder die Laufwerke physisch in winzige Stücke schreddern (Shredding).
In diesem Fall hat der Auftragnehmer seine Arbeit jedoch nicht erledigt. Entweder um Kosten zu sparen oder aus reiner Fahrlässigkeit, boten sie diese Festplatten zum Verkauf an, ohne sie zu löschen oder zu zerstören. Es ist auch möglich, dass ein Mitarbeiter die Festplatten heimlich entwendet und verkauft hat. Der genaue Grund wird noch untersucht. Aber das Ergebnis ist dasselbe: Festplatten voller Krankenhausdaten wurden, vielleicht für ein paar Dollar pro Stück, auf beliebten Online-Marktplätzen in Japan verkauft. Diese Situation ist eine schmerzliche Erinnerung daran, dass Cybersicherheit nicht nur darin besteht, digitale Festungen zu bauen; es geht auch darum, das immense Risiko zu verstehen, das selbst ein weggeworfenes Stück Müll bergen kann. Die entscheidende Bedeutung des sogenannten „Data Lifecycle Management“ wurde erneut deutlich. Daten werden erstellt, verwendet, gespeichert und müssen schließlich sicher vernichtet werden. Wenn dieses letzte Glied in der Kette bricht, ist eine Katastrophe unvermeidlich.
Wer ist betroffen
Die direkten Ziele des Lecks sind Patienten, die in einem bestimmten Zeitraum in einer Gruppe von Krankenhäusern in der Region Hokkaido behandelt, getestet oder untersucht wurden. Die Behörden haben noch keine vollständige Liste der betroffenen Krankenhäuser oder die genauen Jahre, die der Vorfall abdeckt, veröffentlicht, aber es wird erwartet, dass diese Informationen im Laufe der Ermittlungen an die Öffentlichkeit weitergegeben werden. Und es sind nicht nur Patienten betroffen. Es ist sehr wahrscheinlich, dass auch die persönlichen Daten von Krankenhauspersonal, Ärzten und anderen Mitarbeitern des Gesundheitswesens auf diesen Festplatten waren. Dies erhöht die Zahl der potenziellen Opfer weiter.
Personen, deren sensible medizinische Informationen offengelegt wurden, sind dem Risiko von sozialer Stigmatisierung, Diskriminierung am Arbeitsplatz und Problemen in ihren persönlichen Beziehungen ausgesetzt. Besonders in kleineren Gemeinschaften kann die Verbreitung solcher Informationen das Leben der Menschen auf den Kopf stellen. Daher ist dieses Leck nicht nur eine Datenpanne; es hat das Potenzial, sich zu einer tiefgreifenden menschlichen Krise zu entwickeln.
Was Sie tun können
Wenn Sie in den letzten Jahren in einem Krankenhaus in Hokkaido behandelt wurden, könnte Sie diese Nachricht beunruhigen. Hier sind einige konkrete Schritte, die Sie unternehmen können. Dies ist keine generische „Ändern Sie Ihr Passwort“-Liste, sondern ein auf diesen speziellen Vorfall zugeschnittener Aktionsplan:
- Warten Sie auf offizielle Ankündigungen: Geraten Sie zunächst nicht in Panik. Verfolgen Sie die offiziellen Mitteilungen der Krankenhausverwaltung oder des japanischen Gesundheitsministeriums. Sobald die Liste der betroffenen Krankenhäuser und der gefährdete Zeitraum bekannt gegeben werden, können Sie Ihre Situation klar einschätzen.
- Seien Sie bei verdächtiger Kommunikation vorsichtig: Seien Sie in den kommenden Wochen und Monaten äußerst vorsichtig mit Anrufen, Textnachrichten und E-Mails, die Sie erhalten. Betrüger könnten Ihre durchgesickerten medizinischen Informationen verwenden, um Sie mit überzeugenden und personalisierten Szenarien zu kontaktieren. Zum Beispiel könnten Sie einen Anruf erhalten, in dem es heißt: „Wir haben ein Problem mit Ihrer Versicherungsprämie für Ihre Krebsbehandlung festgestellt, wir müssen Ihre Kreditkartendaten bestätigen.“ Denken Sie daran, keine offizielle Institution wird Sie am Telefon oder per E-Mail nach solch sensiblen Informationen fragen.
- Überwachen Sie Ihre Finanz- und Medizinkonten: Überprüfen Sie regelmäßig Ihre Kontoauszüge, Kreditkartenabrechnungen und Mitteilungen Ihrer Krankenversicherung. Suchen Sie nach verdächtigen Abbuchungen oder medizinischen Ansprüchen, die ohne Ihr Wissen in Ihrem Namen gestellt wurden.
- Überprüfen Sie Ihre allgemeine Exposition: Vorfälle wie dieser zeigen, wie verstreut unsere Daten sind. Für eine allgemeine Sicherheitsüberprüfung können Sie Dienste wie eine Datenleck Suche nutzen, um herauszufinden, ob Ihre E-Mail-Adresse in anderen Lecks aufgetaucht ist. Dies ist ein guter Anfang für die digitale Hygiene.
- Bleiben Sie informiert: Das Verfolgen zuverlässiger Quellen und Datenleck Nachrichten für die neuesten Informationen und Analysen zu diesem Vorfall wird Ihnen helfen, Ihre nächsten Schritte zu planen.
Was das Unternehmen sagt
Nach Bekanntwerden des Vorfalls wurde im Namen der Hokkaido Hospitals Association eine Presseerklärung abgegeben. In der Erklärung wurde „tiefes Bedauern und Trauer“ über das Ereignis zum Ausdruck gebracht. Die Leitung behauptete, der Fehler liege nicht bei ihnen, sondern bei dem von ihnen beauftragten IT-Asset-Disposal-Unternehmen. In der Erklärung hieß es: „Das Drittunternehmen, mit dem wir einen Vertrag unterzeichnet haben, der alle gesetzlichen Anforderungen für die sichere Vernichtung von Daten enthielt, hat seine Verpflichtungen nicht erfüllt. Wir werden alle unsere rechtlichen Schritte gegen diese inakzeptable Fahrlässigkeit einleiten.“
Die Vereinigung gab bekannt, dass sie eine spezielle Hotline und eine Website eingerichtet hat, damit betroffene Patienten Informationen erhalten und ihre Bedenken äußern können. Es wurde auch erklärt, dass eine unabhängige Firma für Cybersicherheit und digitale Forensik beauftragt wurde, den Vorfall vollständig zu untersuchen. Für die Hunderttausenden von Menschen, deren Privatsphäre verletzt wurde und deren Daten sich nun in unbekannten Händen befinden, sind diese Erklärungen jedoch nur ein schwacher Trost.