Standort: fm4.ORF.at / Meldung: "Datenlecks "symptomatisch für Österreich""

Musik, Film, Heiteres

Erich Möchel

Netzpolitik, Datenschutz - und Spaß am Gerät.

30. 9. 2011 - 14:23

Datenlecks "symptomatisch für Österreich"

Fahrlässiger Umgang mit sensiblen Daten sei leider typisch für Österreichs IT-Landschaft. Hunderttausende Patientendaten aus dem E-Card-System als Datei herumzuschicken, sei nicht "State of the Art", sagt IT-Securityexperte Martin Prager.

Die Staatsanwaltschaft Wien ermittle im Fall der "Anonymous-Hacks" seit mehr als einer Woche nicht mehr gegen Unbekannt, sondern gegen konkrete Personen, sagte Sprecher Thomas Vecsey am Freitag zu ORF.at.

Die Ermittlungen beträfen die Homepage-Hacks von SPÖ, FPÖ und Grünen sowie den Datendiebstahl bei der GIS. Im Falle der Tiroler Gebietskrankenkasse sei noch fraglich, ob überhaupt ein strafbarer Tatbestand vorliege.

Tatsächlich steht bisher nur die Behauptung von "Anonymous" im Raum, im Besitz von knapp 600.000 Patientendatensätzen der TGKK zu sein. Einen Beweis dafür gibt es bisher nicht, laut "Anonymous" sollen die Daten auch nicht veröffentlicht werden.

"Symptomatische Fahrlässigkeit"

"Dieser Fall ist symptomatisch für die österreichische IT-Landschaft und fällt in dieselbe Kategorie wie der Datenverlust bei der GIS. Es handelt sich um fahrlässigen Umgang mit sensiblen Daten von Dritten", so Martin Prager, Vorsitzender der "IT-Security Experts Group" in der Wirtschaftskammer Österreich.

Aktuell dazu

Laut dem Direktor des Bundesamts für Verfassungsschutz, Peter Gridling, wird geprüft, ob die Aktivitäten von Anonymous die Tiroler Gebietskrankenkasse betreffend überhaupt strafbar sind. Derzeit werde bezweifelt, dass überhaupt ein Straftatbestand vorliege. Die Datenschutzschwächen in Österreich haben System, meinen von ORF.at befragte Expertenunisono. Die Zuständigkeiten seien wirr, den entscheidenden Stellen fehle es an Ressourcen und Personal. Im Forum wird darüber gerade heftig debattiert.

"Ich bin zutiefst überzeugt, dass gerade Gesundheitsdaten auf der höchst möglichen Ebene geschützt werden müssen", sagte der auf Medizininformatik spezialisierte Sicherheitsexperte weiter. Massive Datensätze über Hunderttausende Patienten als ZIP-Datei weiterzuverbreiten, "entspricht absolut nicht dem Stand der Technik."

Vielmehr sie "jeder Zugriff auf gesundheitsrelevante Daten zu protokollieren", was bei der Weitergabe des gesamten Datensatzes natürlich nicht möglich sei.

Ungeschützt im Netz

In der Nacht auf Mittwoch hatte die Anonymous-Hackertruppe verkündet, sie sei im Besitz von rund 600.000 Datensätzen der Tiroler Gebietskrankenkasse. Die Patientendaten seien mindestens ein halbes Jahr ungeschützt auf einem Online-Speicherdienst im Netz gelegen.

Die Erklärungen der Tiroler Gebietskrankenkasse und des Hauptverbandes der Sozialversicherungsträger brachten folgenden Sachverhalt ans Licht.

Sicherheit konterkariert

Einerseits wurde da mit erheblichem Aufwand das E-Card-Netz aufgezogen, das durchaus dem Stand der Sicherheitstechnik entspricht.

Andererseits wurde dieses Sicherheitssystem vollständig ausgehebelt, indem Kopien des gesamten Datenbestands aus dem System kopiert und anderweitig in Umlauf gebracht wurden.

Die Mär von "gesicherten Leitungen"

Weil laut Hauptverband zahlreiche Spitäler sowie das Rote Kreuz noch nicht an dieses Netz angeschlossen sind, erhalten sie die kompletten, aktualisierten Datensätze einmal pro Monat zugeschickt.

Am 13. Oktober veranstaltet die IT Security Experts Group der Wirtschaftskammer Österreich eine Tagung zum Thema IT-Security in Graz. Die Auftakt-Keynote hält Oberst Walter Unger vom Militärischen Abwehramt.

Dass die Tiroler GKK betont, dies sei über "gesicherte Leitungen" geschehen, ist ein reines Ablenkungsmanöver. Tatsache ist, dass diese Datensätze das System auf keinen Fall verlassen dürfen, denn damit steht und fällt das gesamte Sicherheitskonzept.

Jagd auf "Sozialbetrüger"

Sieht man sich den Grund genauer an, warum dies überhaupt geschieht, wird es nachgerade absurd. Laut Aussage TGKK wird diese Maßnahme nur gesetzt, um zu überprüfen, ob ein Kranker auch bei der TGKK versichert ist.

Um etwaige "Sozialbetrüger" daran zu hindern, sich eine ärztliche Behandlung "erschleichen", werden alle Grundregeln der Sicherheit übertreten.

Ignoranz der Entscheidungsträger

Hier sind nur zwei Schlussfolgerungen möglich. Entweder haben die Sicherheitstechniker der TGKK keine Ahnung von den Grundlagen ihres Berufs, dass die Kette der Sicherheit nämlich nur so stark ist wie ihr schwächsten Glied. Oder, was viel wahrscheinlicher ist, wurden ihre Einwände von den Entscheidungsträgern ignoriert.

Das entspricht durchaus den Gepflogenheiten der österreichischen IT-Landschaft. Auch grundsätzliche Sicherheitsanforderungen werden mit schnöder Regelmäßigkeit ignoriert, sobald sie den wirtschaftlichen Interessen der Geschäftsführung oder jenen eines Verwaltungsapparats entgegenstehen.

Im Fall der TGKK wurde das Interesse, kranke "Sozialbetrüger" zu entlarven, so priorisiert, dass dafür die Sicherheit der gesamten 600.000 hochsensiblen Gesundheitsdatensätze permanent aufs Spiel gesetzt wurde.

Sicherheitslöcher an der Peripherie

Ebenso typisch (nicht nur) für die österreichische IT-Landschaft ist, dass die Daten nicht durch ein Leck im eigenen, gut abgesicherten IT-Ökosystem verloren gehen, sondern durch ein Loch weit draußen an der Peripherie.

So wurden weder die Systeme der GIS noch der TGKK selbst kompromittiert. In beiden Fällen handelte es sich um Kopien der Datensätze, die eigentlich nicht hätten existieren dürften.

"Sicherungskopien"

Im Fall der GIS wurden die Datensätze von einem Webdienstleister täglich sicher verschlüsselt übertragen und landeten dann in der ebenso sicheren GIS-Datenbank. Was man freilich nicht wusste war: Der Dienstleister hatte jahrelang automatische "Sicherungskopien" sämtlicher, über das Webformular eingegebener An- oder Ummeldungen angelegt.

Die webbasierte Datenbank selbst war nicht dilettantisch, sondern überhaupt nicht abgesichert und nahm in jedem einzelnen Datenfeld bereitwillig Datenbankbefehle entgegen. Mit der Eingabe eines einzigen SQL-Commands im Webformular wurde man erst Administrator und war dann im Besitz der gesamten Datenbank.

Martin Prager wirkt als IT-Sicherheitsexperte mit Schwerpunkt "Gesundheitsdaten" auch im EU-Standardisierungsprojekt Normapme mit, das sich vor allem an kleine und mittlere Unternehmen richtet.

Schlamperei, Schweinerei

Ein einziges Audit dieses Dienstleisters durch eine unabhängige Security-Firma hätte diese unfassbare Schlamperei an der Tag gebracht. Allein, es wurde halt nicht durchgeführt.

Müsste man als Sicherheitsexperte den Anonymous-Hackern also nicht eigentlich dankbar sein, dass diese Zustände aufgedeckt werden, war die abschließende Frage an den Experten.

Kein Dank an Anonymous

Martin Prager weist das weit von sich. "Die Stammdaten von 25.000 Polizisten einfach ins Netz zu stellen, ist nicht nur eine Schweinerei, sondern schlicht kriminell", sagt Prager.

Durch die Anonymous-Aktionen würden die Bestrebungen all jener Fachleute diskreditiert, die seit Jahren versuchten, die IT-Sicherheitsstandards in Österreich anzuheben" und dafür habe er überhaupt kein Verständnis.

Haftungsausschluss

Die ORF.at-Foren sind allgemein zugängliche, offene und demokratische Diskursplattformen. Die Redaktion übernimmt keinerlei Verantwortung für den Inhalt der Beiträge. Wir behalten uns aber vor, Werbung, krass unsachliche, rechtswidrige oder beleidigende Beiträge zu löschen und nötigenfalls User aus der Debatte auszuschließen. Es gelten die Registrierungsbedingungen.

Forum

Zum Eingabeformular Kommentieren

  • linkerpharisäer | vor 1730 Tagen, 7 Stunden, 49 Minuten

    Wer die Sensibilität der Daten anzweifelt,

    befürwortet Datenmissbrauch und Datendiebstahl.

    Gesetzliche Grundlage der Sozialversicherungsnummer ist § 31 Abs 4 Z 1 ASVG, nach dem der Hauptverband der österreichischen Sozialversicherungsträger für die Verwaltung der Sozialversicherungsdaten einen Ordnungsbegriff zu vergeben hat, unter welchem
    Anwartschaften,
    Versicherungszeiten,
    Leistungsdaten und
    alle anderen einschlägigen Angaben der Sozialversicherung aufgefunden werden können.

    Mit der Sozialversicherungsnummer kann schon sehr viel Missbrauch und Betrug angerichtet werden.
    Und die Werbewirtschaft legt für gut aufbereitete zielgruppenorientierte Datenpakete viel Geld auf den Tisch.

    Hoffentlich wird dieser inferiore "Webdienstleister" entsprechend schwer bestraft und verliert seine Konzession.
    .

    Auf dieses Posting antworten
  • wuff80 | vor 1730 Tagen, 9 Stunden, 33 Minuten

    ich möchte nur zwei Überlegungen noch in den Raum Stellen:

    1) Hat die TGKK wirklich sensible Daten "verloren" wie Hr. Prager behauptet? Mir ist in der Berichterstattung bisher noch kein Hinweis darauf untergekommen. Und sensibel sind Daten nicht dann, wenn wir sie dafür halten, sondern wenn sie bestimte Datenarten (Gesundheitsdaten, etc.) sind. Es klingt nur deutlich schlimmer, wenn man die Daten als sensibel bezeichnet, wobei ich damit das Problem der TGKK nicht herunterspielen möchte.

    2) Natürlich sind solche Datenlecks oder ähnliche "Katastrophen" als Grundlage von Marketingaktionen diverser Experten und Anbieter in Sicherheitsdingen ein gefundenes Fressen, das vieleicht sogar Gschäft generiert. Ich halte es durchaus auch für symptomatisch für Österreich, dass der Verlust von Adressdaten (und die Info, dss Personen bei der TGK versichert sind), die größtenteils bei jedem Adresshändler gekauft werden können, ziemlich hochgespielt wird (in wessen Interesse?)

    Auf dieses Posting antworten
    • linkerpharisäer | vor 1730 Tagen, 7 Stunden, 38 Minuten

      Adresshändler

      können Daten mit SOZIALVERSICHERUNGSNUMMERN und zugehörigen Namen und Adressen nur ILLEGAL erworben haben, Kasperl.

      Wir geben unsere Daten doch nicht unfreiwillig irgendwelchen Behörden, damit sie dann im Netz auftauchen und für IMMER dort bleiben. Versicherungsdaten als Gratis-Download für jedermann sind vermeidbar und VERBOTEN. Die Verantwortung tragen diejenigen, denen die Daten abhanden gekommen sind. Sie sind in der gesetzlichen Pflicht, ihre Sicherheitssysteme zu überprüfen und zu verbessern.

  • derstudent | vor 1730 Tagen, 10 Stunden, 56 Minuten

    Ich kann nicht nachvollziehen, wie die Arbeit von AnonAustria die Bestrebungen der Fachleuten diskreditieren! Im Gegenteil, durch solche Aktionen und das mediale Echo, werden die Argumente der Sicherheitsexperten gefestigt. Wenn der Sicherheitsexperte bei der TGKK sagt, wir haben euch gewarnt, wir sollten die Daten nicht verschicken um einen Sozialbetrüger alle 2-3 Monate zu stellen, kann der Vorstand jetzt nichts mehr dagegen sagen...

    Die Aktionen erinnern mich eher an den CCC, und dort wird auch niemand verfolgt. Vielleicht hätte man nur statt den gesamten 26.000 Datensätzen, einfach nur ein paar Ausgewählte online stellen sollen. Vermutlich hätte das aber zu den selben Reaktionen geführt, was eigentlich traurig ist.

    Anstatt die Anon-Leute zu jagen, sollte man die Verantwortlichen an den Pranger stellen!

    Auf dieses Posting antworten
  • rotzpipn | vor 1730 Tagen, 22 Stunden, 42 Minuten

    was anonymous austria macht ist im prinzip nicht schlecht. es gehört schon aufgezeigt wie mit unseren daten umgegangen wird.

    die zustände in (nicht nur) staatsnahen it abteilungen sind teilweise ein wahnsinn was security betrifft. da laufen ungepatchte server jahrelang einfach so; vom programm code sprech ich erst gar nicht. geld und zeit für code audits gibt's sowieso nicht, aber wenn dann der hut brennt ist es natürlich eine katastrophe.

    Auf dieses Posting antworten
  • fenris79 | vor 1731 Tagen, 28 Minuten

    "IT-Security Experts Group"

    was soll man da noch sagen der man hat sicher Anhung wenn er bei einer Experts Group dabei ist...

    ps.: jemand der wirklich Anhung hat weiß das daten die gesamelt werden auch verloren werden, die frage ist nur wann.

    ps.: wie ein protokoll bei unbefugten zugriff helfen soll wissen nur die die behaupten Kameras schützen for Terrorismus

    Auf dieses Posting antworten
  • triebwerk1 | vor 1731 Tagen, 1 Stunde, 4 Minuten

    Der Datenklau...

    ...wird in der TGKK keine Konsequenzen haben, daß wissen auch die Verantwortlichen, vom Direktor abwärts.
    Solange das so bleibt, werden sie auch keine Notwendigkeit sehen, irgendwas zu ändern.
    Eds ist jedenfalls eine gewaltige Sauerei, wenn Krankendaten irgendwelcher Art öffentlich zugängi sind, Personalchefs und Versicherungen werden sich sicher darum reissen.

    Auf dieses Posting antworten
    • tantejutta | vor 1731 Tagen, 52 Minuten

      Noch mehr werden sich die Legionen

      von Kleinbetrügern darum reißen. die Betroffen können nur hoffen, dass der Hackernachwuchs mit ihren Daten sorgsamer umgeht als die an dieser Aktion beteiligten staatsnahen Institutionen.

    • euripides | vor 1730 Tagen, 20 Stunden, 19 Minuten

      Das Problem ist wahrscheinlich ein altbekanntes:

      Direktoren und Chefs erwarten natürlich schon, dass alles sicher ist. Andererseits muß natürlich gespart werden, was nur geht, und fertig sein soll alles immer gestern. Wenn dann doch einmal was schief geht, sind die Scheffitäten fein raus, denn sie wollten doch immer alles sicher haben. Könnte man noch die Kleinen feuern, aber das sind die, die das Werkl am Laufen halten. Konsequenzen also: Null.