In der Endlosschleife ...
Wir hatten im ersten Datenschutz-Märchen jenes pfiffige Plakat der Polizei NRW , das mahnte, seine Urlaube nicht per Social Media zu verkünden. Das ist ratsamer Selbstschutz.
Wir müssen aber auch hoffen, dass die Shareconomy (Uber, Airbnb), Fitness-Apps, Taxis (siehe oben), die Bahn, Fluglinien, Kreuzschiffreedereien und Hotelketten unsere Daten gut unter Verschluss halten.
Da lässt sich leider eine sehr, sehr lange Liste von Gegenbeispielen finden – eines ist hier nachzulesen(öffnet im neuen Fenster) .
Und so wichtig bei der Sicherheit personenbezogener Daten die Vertraulichkeit ist, die DSGVO fordert explizit auch:
Artikel 32 – Sicherheit der Verarbeitung
(1) (...)
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
(...)
Auch Crypto-Ransom ist also zu verhindern und die Wiederherstellbarkeit durch geschützte Backups ist eben kein Nice-to-have. Es geht auch nicht nur um ausfallende Flüge – obwohl die, je nach Reisegrund, ein gravierendes Problem darstellen können. Es geht um Leben oder Tod.
IT-Sicherheitsmängel töten!
Zu Patientenschäden durch IT-Sicherheitsmängel gibt es inzwischen einige Studien, die eine deutliche Übersterblichkeit in Krankenhäusern belegen, die durch IT-Security-Incidents lahmgelegt wurden. Methodisch beeindruckend finde ich eine Studie der School of Public Health, University of Minnesota(öffnet im neuen Fenster) , die durch clevere statistische Auswertungen empirisch nachweist: Durch die Betriebsstörungen während einer Ransomware-Attacke steigt die Sterblichkeit der Patienten insgesamt um 35 bis 41 Prozent, also um zusätzliche 1,2 bis 1,4 Todesfälle je 100 Patienten.
Insgesamt. Also über alle Patienten von der Blinddarm-OP bis zum Intensivpatienten. Letztere haben allerdings ein sehr viel höheres Sterberisko von bis zu 2,4 zusätzlichen Todesfällen je 100 Patienten.
Es wird gerne lamentiert, dass die Sicherheitsanforderungen und vor allem der Datenschutz "die Digitalisierung ausbremsen" . Immer wieder ist zu hören: "Datenschutz tötet" – mit haarsträubenden Notfallszenarien, in denen Datenschutz angeblich die Rettung von Menschen behindert habe. Krassere Unkenntnis der DSGVO kann man kaum demonstrieren. Denn die ist in diesem Punkt kristallklar:
Artikel 6 – Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: (...)
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; (...)
Die DSGVO behindert also bei Notfällen niemals!
Datenlecks töten!
Klar belegbar ist das Gegenteil: Datenschutz schützt. Datenlecks töten!
Und zwar indirekt: Die Opfer von Datenlecks leiden häufig unter Depressionen, Angststörungen, posttraumatischen Belastungsstörungen, suizidalen Gedanken – natürlich umso mehr, je sensibler die geleakten Daten sind.
Wie etwa beim Vastaamo-Datenleck(öffnet im neuen Fenster) , bei dem psychotherapeutische Daten – inklusive Gesprächsprotokolle! – von rund 36.000 Finnen öffentlich wurden. Es lohnt sich zu lesen, was medizinische Datenlecks für die Opfer tatsächlich bedeuten. So beschreibt ein Opfer laut einem Bericht von Wired, dass in den Therapieprotokollen die Reaktionen seiner Frau und Kinder auf seine Krebserkrankung dokumentiert seien(öffnet im neuen Fenster) . Während durch die Erkrankung sein Tod nah ist – unabhängig von seinen Suizid-Gedanken -, werden Frau und Kinder weiter mit der Belastung leben müssen.
Andere Patienten hatten sich ihren Therapeuten mit Seitensprüngen, Missbrauchserlebnissen, Suizidversuchen oder pädophilen Fantasien anvertraut. Ein Opfer war derart verzweifelt, dass es sogar angeboten(öffnet im neuen Fenster) hatte, die gesamten 40 Bitcoin (damals rund eine halbe Million Dollar) zu zahlen, um die Veröffentlichungen zu stoppen. Jugendliche fragen sich, ob sie jemals einen Job bekommen, Erwachsene, ob sie es wagen können, einen neuen Job zu suchen. Dazu kommt die Furcht, in zukünftigen Jahren immer wieder mit diesen Daten konfrontiert zu werden – eine nie endende Hölle, wie ein Opfer formulierte(öffnet im neuen Fenster) .
Das führte leider – aber wenig überraschend – auch zu einigen Suiziden(öffnet im neuen Fenster) , obwohl die finnische Gesellschaft den Opfern ein viel höheres Maß an Unterstützung zukommen ließ, als ich bisher je bei anderen medizinischen Datenlecks beobachten konnte. Typisch sind leider eher Vorgänge wie beim 23andme-Datenleck(öffnet im neuen Fenster) – Abwiegeln und Leugnen, anschließende Insolvenz und Datenverkauf. Eine Strategie, die übrigens auch die Vastaamo-Verantwortlichen wählten.
Neben der – in meinen Augen absolut berechtigten – Empörung über die Cyberkriminellen sollte aber eine ebenso große Empörung für ihre stillen Komplizen treten, die diese Vorfälle durch ihre Vernachlässigung des Stands der Technik bei der IT-Security erst ermöglicht haben und die durch ihr Abwiegeln und Leugnen eine frühere Schadensverlaufskontrolle verhindert haben.
IMHO sind die Verantwortlichen keine Opfer, sondern haben aus Eigennutz fahrlässig bis vorsätzlich ihre Schutzbefohlenen verraten und sind ebenso schuldig und verantwortlich für die Katastrophe.
"Failing to prepare is preparing to fail!"
Um Missverständnisse zu vermeiden: Natürlich machen Menschen Fehler. Und jedes IT-System ist letztlich das Arbeitsprodukt von Abertausenden von Menschen. Es enthält also sicher Fehler. Sicher nicht alle sicherheitsrelevant, aber einige eben schon.
Was Profis von Laien unterscheidet, ist, dass sie um die potenzielle Fehlerhaftigkeit der eigenen und fremden Arbeit wissen und sie ihre Arbeit so anlegen, dass die Fehlerauswirkungen minimal und kontrollierbar bleiben.
Das heißt also, die Angriffsexposition und -oberfläche ebenso zu minimieren wie Einwirktiefe in das System und das System und die abgebildeten Geschäftsprozesse auf Anomalien zu überwachen. Und das heißt auch, den Mumm zu haben, sich unbeliebt zu machen, wenn Architektur oder Geschäftsmodell Fehlerminimierung und -kontrolle unmöglich machen.
Es geht also nicht darum, dass keine Incidents passieren dürfen, sondern um sorgfältige Vorsorge und Vorbereitung. Mir wurde auch schon ein kritisches System unter meiner Aufsicht durch einen Zero-Day-Exploit kompromittiert: Der Angreifer konnte aus dem FTP-Server heraus eine Shell öffnen. Unschön.
Aber ich hatte das System sehr sorgfältig gehärtet. Der User, unter dem der FTP-Server lief, hatte keine weiteren Eingriffs- und Zugriffsmöglichkeiten im System – und übrigens auch keine Login-Shell in der /etc/passwd. Sämtliche weiteren Verarbeitungsschritte liefen unter anderen unprivilegierten Usern.
Die FTP-transportierten Daten waren kryptografisch gesichert – Schaden konnte der Angreifer effektiv nur durch Löschen oder Duplizieren von Daten stiften, oder durch Systemüberlastung. Außerdem war das System sehr gut instrumentiert und wurde engmaschig automatisiert überwacht. Die Alarme schrillten also schnell und wir konnten die vom Angreifer in der Shell abgesetzten Befehle nachvollziehen.
Da wir in diesem Projekt solche Risiken vorher analysiert hatten, ihre Tragweite sowie mögliche Maßnahmen zur Schadensbegrenzung also schon kannten, konnten wir damit umgehen. Insbesondere waren die Alarmierungswege klar und der Handlungsspielraum der Systemadministratoren – ich hatte also die Befugnis, den Internetzugang zum System nach eigenem Ermessen (für eine begrenzte Zeit) zu kappen – also die maximale Angriffsexposition auf ein Minimum zu reduzieren -, und nutzte sie.
Die Zeit bis zum Krisenmeeting reichte für eine erste Analyse und da das Management in der Risikoanalyse involviert war, gab es keine langwierigen und unproduktiven Grundsatz- und Schulddiskussionen. Wir konnten uns auf das Wichtige konzentrieren: Was wissen wir mit welcher Belastbarkeit?
Gibt es Vorschläge für wirksame Workarounds? – Ja, wir können per Watchdog automatisiert jeden Prozess killen, der vom FTP-Server abforkt. – Können wir die Überwachung verschärfen? – Ja, aber es kostet uns Spitzenlast-Kapazität.
Da es beim Schadenspotenzial "nur" um Geld (allerdings viel ;-) ging, war die Management-Entscheidung recht einfach: Härtung und Monitoring hatten sich bewährt, die Dienstnutzer wurden über den Incident, seine Handhabung und die Spitzenlast-Einschränkung informiert und der Betrieb fortgesetzt, wobei sich einige Leute bis zur Patch-Bereitstellung durch den Hersteller über Nacht- und Wochenendzuschläge für die 7/24-Präsenz freuen durften.
Wie gesagt: Es geht nicht um absolute Fehlerfreiheit, sondern um Vorsorge und Vorbereitung. Ernsthafte, professionelle IT-Sicherheit ist keine Gunst, die die Datenverarbeiter dem niederen Datenvolk huldvoll gewähren, sondern ihre gesetzliche Pflicht und Schuldigkeit.
Vergleichen wir das doch mal mit der Halterhaftung, die jeden Pkw-Besitzer wegen der betriebsspezifischen Gefahr trifft, und den wesentlich härteren Regeln im Bereich der Personenbeförderung, sei es auf der Straße, Schiene oder in der Luft. Die Verarbeitung personenbezogener Daten kann für "Passagiere von IT-Systemen" ebenfalls erhebliche Gefahren verursachen, wie wir gesehen haben. IT ist zu ubiquitär und etabliert, um immer noch Welpenschutz zu verlangen. Es ist hohe Zeit, erwachsen zu werden. Ich hoffe, meine harte Haltung ist damit nachvollziehbar geworden, und wir können zur Datenvertraulichkeit und Datenlecks zurückkehren.
Ausnahme oder Regel?
Das Vaastamo-Datenleck samt Erpressung war jedenfalls (entgegen anderer Berichterstattung) kein Novum, kein bedauerlicher Ausreißer, nicht unvorhersehbar, sondern schlicht der traurige Regelfall: Die doppelte Erpressung sowohl der Institution wie der einzelnen Patienten mit der Drohung, Daten zu veröffentlichen, wird seit mindestens 2008 praktiziert: wie bei dem Express-Scripts-Vorfall(öffnet im neuen Fenster) mit E-Rezepten und 50 Millionen Opfern in den USA. Von Anfang an galt bei den ausgewählten Erpressungsopfern: Je sensibler die Daten und je verwundbarer die Patienten sind, desto höher ist die Aussicht auf Zahlung. Auch medizinische Datenlecks sind seit Jahrzehnten häufig.
Bisher sind die Daten jeder mir bekannten zentralisierten medizinischen Datenbank mit breiterem Zugang binnen einiger Jahre in Gänze oder in weiten Teilen abgeflossen oder umgewidmet worden – meist mehrfach. (Ich bitte um Gegenbeispiele!)
Das erste mir bekannte Beispiel ist die Gendatenbank aller Isländer 1998(öffnet im neuen Fenster) . Ähnlich erging es den Gendatenbanken in Estland(öffnet im neuen Fenster) und den Niederlanden(öffnet im neuen Fenster) .
Die Liste medizinischer Datenlecks lässt sich praktisch endlos fortsetzen. In der jüngeren Vergangenheit: Schweden(öffnet im neuen Fenster) , Norwegen(öffnet im neuen Fenster) , Dänemark(öffnet im neuen Fenster) , Estland(öffnet im neuen Fenster) , Irland , Frankreich(öffnet im neuen Fenster) , Spanien(öffnet im neuen Fenster) , Singapur(öffnet im neuen Fenster) , Australien(öffnet im neuen Fenster) .
Es wird nicht gelernt: Schon am 16. August 2005 gab es vor dem Gesundheitsausschuss des US-Kongresses eine Expertenanhörung(öffnet im neuen Fenster) zur Sicherheit und zum Schutzbedarf von Patientendaten – alleine seit Anfang 2005 bis zu diesem Tag waren zwölf Datenlecks mit 1,6 Millionen Opfern bekannt. Im Zeitraum von 2003 bis 2006 wurden 16 Millionen Patientendaten missbraucht – übrigens zu 75 Prozent durch Innentäter. Die Zahlen explodierten in den Folgejahren.
Seit 2009 gibt es deswegen in den USA klare Regeln, von denen wir uns eine Scheibe abschneiden sollten: Medizinische Datenlecks sind der Aufsichtsbehörde, den Medien und den Betroffenen zu melden. Den Betroffenen sind verschiedene Überwachungsdienste zu zahlen und es gibt eine öffentlich einsehbare Datenbank mit allen Datenlecks(öffnet im neuen Fenster) beim Gesundheitsministerium sowie jährliche Berichte wie etwa hier(öffnet im neuen Fenster) – bewusst ziemlich schmerzlich für die Verantwortlichen, die aus US-amerikanischer Sicht eben immer eine Mitschuld tragen.
Trotzdem hat es in den USA seither so viele weitere medizinische Datenlecks gegeben, dass inzwischen rechnerisch jeder US-Bürger mehrfach Opfer war!
Den Luxus einer solchen öffentlichen Datenbank haben wir in Deutschland nicht. Das Blog Patientenrechte und Datenschutz(öffnet im neuen Fenster) versucht tapfer, eine gut gepflegte und dennoch unvollständige Liste deutscher Medizin-Datenlecks zu führen.
Wir hören immer: "Das Internet vergisst nichts." Vergangene Datenlecks werden aber gerne "vergessen" und ihre Spuren recht schnell schwer auffindbar – eine systematisierte retrograde Amnesie.