Erste heiße Spur

TGKK vermutet Zugriff auf Daten bei Verrechnung

(Bild: Wikipedia, APA/CHRISTINA SCHWAHA, krone.at-Grafik)

Einen Tag nach dem Diebstahl von über 600.000 Datensätzen von Versicherten der Tiroler Gebietskrankenkasse (TGKK) scheint diese die erste heiße Spur bei der Suche nach dem Datenleck zu haben: Die Informationen könnten im Zuge der Verrechnung oder Abrechnung von Patienten abgefangen worden sein. Die Hackergruppe AnonAustria, der Österreichableger von Anonymous, behauptet, darüber ganz ohne Hack "gestolpert" zu sein. Die Ärztekammer äußerte angesichts des Vorfalls einmal mehr Bedenken gegenüber E-Medikation und der gesamten elektronischen Gesundheitsakte.

Über 600.000 Datensätzen von Versicherten - darunter Prominente wie Hansi Hinterseer, Tobias Moretti und Nicole Hosp - wurden von AnonAustria gestohlen. Die Hacker bestehen jedoch darauf, sie lediglich durch Zufall entdeckt zu haben, ein Hack sei nicht nötig gewesen.

Wie sie jedoch genau in den Besitz der Daten kamen, verraten die AnonAustria-Mitglieder nicht. Die TGKK ist daher fieberhaft auf der Suche - und scheint nun eine erste Spur zu haben. Denn gehackt wurde das Datensystem der Kasse nicht, versicherte TGKK-Direktor Arno Melitopulos am Donnerstag. Vielmehr sei mit großer Wahrscheinlichkeit im Zuge der Verrechnung oder Abrechnung von Patienten auf das Datenpaket zugegriffen worden.

Verfassungsschutz ermittelt
Auch die Polizei geht dem massiven Datendiebstahl nach - das Tiroler Landesamt für Verfassungsschutz und Terrorismusbekämpfung sowie das entsprechende Bundesamt haben die Ermittlungen übernommen. Details wollte das Innenministerium dazu zwar nicht verraten, Sprecherin Sonja Jell versicherte aber, die Ermittlungen liefen "auf Hochtouren", es bestehe der Verdacht des widerrechtlichen Zugriffs auf Computersysteme und der unerlaubten Datenübergabe.

"Datensystem der Kasse nicht gehackt"
Sowohl bei der IT der TGKK als auch in Wien bei der ITSV, wo der Knoten der Sozialversicherungsträger liege, sei am Mittwoch ein Krisenstab eingerichtet worden, hieß es. Die ganze Nacht über seien die Firewalls überprüft worden. Deshalb könne der Datenklau eingeschränkt werden. "Das Datensystem der Kasse wurde nicht gehackt und es ist nicht am Transferweg passiert", teilte TGKK-Direktor Arno Melitopulos am Donnerstag eine erste Erkenntnis mit.

50 Vertragspartner unter der Lupe
"Es muss von einem Dritten sein", meinte Melitopulos und fügte hinzu, dass mit großer Wahrscheinlichkeit im Zuge der Verrechnung oder Abrechnung von Patienten auf das Datenpaket zugegriffen wurde. Im Laufe des Tages werde man mit den rund 50 infrage kommenden Vertragspartnern Gespräche führen. Darunter seien keine Ärzte und Krankenanstalten, versicherte der Direktor.

Keine Daten über Erkrankungen erbeutet
Die Datensätze gebe die Krankenkasse monatlich an Vertragspartner wie zum Beispiel Ärzte, das Rote Kreuz oder Krankentransportunternehmen weiter, hatte Obmann Michael Huber am Mittwoch erläutert. Damit könne überprüft werden, ob jemand tatsächlich versichert sei. Bei den betroffenen Daten würden der Name des Versicherten, dessen Sozialversicherungsnummer, die mitversicherten Personen sowie die Adresse bekannt gegeben. Huber schloss aus, dass Krankengeschichten gehackt worden sein könnten. "Sobald wir Genaueres über die Daten wissen, beginnen wir, die Betroffenen zu informieren", versicherte er. Seiner Meinung nach handle es sich um eine "kriminelle Geschichte".

Vorerst vorsichtshalber keine Datenweitergabe mehr
Bei der TGKK waren nach dem Datenklau Anrufe besorgter Versicherter eingegangen, die ihre E-Card sperren lassen wollten. Auf der E-Card seien aber "keinerlei sensible Daten gespeichert", versuchte der stellvertretende Direktor Heinz Hollaus zu beruhigen. Sie diene lediglich dazu, beim Vertragspartner einen Leistungsanspruch nachzuweisen. "Bis restlos geklärt ist, woher das Datenleck kommt, stellt die TGKK ab sofort auch keine Daten mehr den öffentlichen Krankenanstalten, Rettungsdiensten usw. zur Verfügung", hieß es in einer Aussendung.

Ärztekammer äußert Datenschutz-Bedenken
Der Vizepräsident der Österreichischen Ärztekammer, Artur Wechselberger - auch Präsident der Tiroler Ärzte-Standesvertretung bei der Datensicherheit -, hat sich angesichts des Datenklaus sowohl im Hinblick auf die E-Medikation als auch auf das gesamte Projekt elektronische Gesundheitsakte (ELGA) misstrauisch gezeigt. "Das bestätigt Bedenken bezüglich der Datensicherung im Gesundheitsbereich", meinte er am Donnerstag.

"Der Schutz der Daten muss absolute Priorität haben", forderte Wechselberger bezüglich dem vonseiten der Ärztekammer stets heftig kritisierten Projekt E-Medikation, das ein Teil von ELGA ist. Seit nunmehr fünf Jahren diskutiere man über die elektronischen Gesundheitsakte und bisher seien die Informationen "höchst unbefriedigend und unzureichend". Bis jetzt habe man lediglich die technische Umsetzbarkeit im Auge gehabt, kritisierte der Ärztekammer-Vizepräsident.

Das Patientenrecht, die Patientenrechtwahrung, Fragen über die Rollenverteilung, wer beispielsweise Zugriff auf die Daten habe und wie der Patient geschützt werden könne, seien bisher laut Wechselberger zu wenig berücksichtigt worden. Auf das Grundprinzip des Datenschutzes mit der Abwägung zwischen Nutzen und Gefahr müsse seiner Ansicht nach mehr Sorgfalt gelegt werden.

E-Card-Firma beruhigt: "Fühlen uns auf der sicheren Seite"
Beruhigende Worte fand am Donnerstag Josef Mikus, Geschäftsführer von "Peering Point - connecting e-health". Über die GmbH läuft die Kommunikation der Sozialversicherungs-E-Card. Er bezweifelte zunächst die Angaben von Anonymous: "Künstler wie Hansi Hinterseer sind normalerweise über die Sozialversicherungsanstalt der gewerblichen Wirtschaft (SVA, Anm.) versichert." Die Versicherten der Gebietskrankenkassen sind klassischerweise Angestellte.

Zur Sicherheit des E-Card-Systems meinte Mikus: "Das System ist nach außen abgeschottet. Absolute Sicherheit gibt es überhaupt nicht. Aber über unser System werden nur Einzelabfragen abgewickelt. Es geht nicht um Großdatenversand. Wir fühlen uns auf der sicheren Seite."

Apothekerkammer: "Gewaltiger Sicherheitsaufwand"
Auch der Direktor der Pharmazeutischen Gehaltskasse, Wolfgang Nowatschek, bei der Österreichischen Apothekerkammer - dort laufen die elektronische Rezeptverrechnung, aber auch der E-Medikations-Pilotversuch - betonte höchste Sicherheitsstandards: "Offensichtlich waren die Daten (an die Anonymous herangekommen sein dürfte, Anm.) nicht verschlüsselt. Wir betreiben einen gewaltigen Sicherheitsaufwand. Die Daten werden bei der Speicherung und beim Transport verschlüsselt. Natürlich haben wir eine doppelte Firewall, aber selbst wenn jemand da durchkommt, findet er nur 'unleserlichen' Datensalat." Auch die gestohlenen GIS-Daten und andere von Hackern veröffentlichte Daten seien jeweils nicht verschlüsselt gewesen.

Für Nowatschek sei die hauptsächliche Lehre der Affären, dass Daten bei Speicherung und Versand jeweils verschlüsselt sein müssten. Die wichtigste Sicherheitsvorkehrung sei aber die Anonymität abwickelnder Stellen. Die Pilotversuche für die E-Medikation selbst sind in Sachen Datensicherheit in Österreich derzeit wohl ein eher kleines Problem: Bisher gibt es laut Nowatschek nur rund 6.000 Teilnehmer.