Erstellt am: 30. 9. 2011 - 14:23 Uhr
Datenlecks "symptomatisch für Österreich"
Die Staatsanwaltschaft Wien ermittle im Fall der "Anonymous-Hacks" seit mehr als einer Woche nicht mehr gegen Unbekannt, sondern gegen konkrete Personen, sagte Sprecher Thomas Vecsey am Freitag zu ORF.at.
Die Ermittlungen beträfen die Homepage-Hacks von SPÖ, FPÖ und Grünen sowie den Datendiebstahl bei der GIS. Im Falle der Tiroler Gebietskrankenkasse sei noch fraglich, ob überhaupt ein strafbarer Tatbestand vorliege.
Tatsächlich steht bisher nur die Behauptung von "Anonymous" im Raum, im Besitz von knapp 600.000 Patientendatensätzen der TGKK zu sein. Einen Beweis dafür gibt es bisher nicht, laut "Anonymous" sollen die Daten auch nicht veröffentlicht werden.
"Symptomatische Fahrlässigkeit"
"Dieser Fall ist symptomatisch für die österreichische IT-Landschaft und fällt in dieselbe Kategorie wie der Datenverlust bei der GIS. Es handelt sich um fahrlässigen Umgang mit sensiblen Daten von Dritten", so Martin Prager, Vorsitzender der "IT-Security Experts Group" in der Wirtschaftskammer Österreich.
Aktuell dazu
Laut dem Direktor des Bundesamts für Verfassungsschutz, Peter Gridling, wird geprüft, ob die Aktivitäten von Anonymous die Tiroler Gebietskrankenkasse betreffend überhaupt strafbar sind. Derzeit werde bezweifelt, dass überhaupt ein Straftatbestand vorliege. Die Datenschutzschwächen in Österreich haben System, meinen von ORF.at befragte Expertenunisono. Die Zuständigkeiten seien wirr, den entscheidenden Stellen fehle es an Ressourcen und Personal. Im Forum wird darüber gerade heftig debattiert.
"Ich bin zutiefst überzeugt, dass gerade Gesundheitsdaten auf der höchst möglichen Ebene geschützt werden müssen", sagte der auf Medizininformatik spezialisierte Sicherheitsexperte weiter. Massive Datensätze über Hunderttausende Patienten als ZIP-Datei weiterzuverbreiten, "entspricht absolut nicht dem Stand der Technik."
Vielmehr sie "jeder Zugriff auf gesundheitsrelevante Daten zu protokollieren", was bei der Weitergabe des gesamten Datensatzes natürlich nicht möglich sei.
Ungeschützt im Netz
In der Nacht auf Mittwoch hatte die Anonymous-Hackertruppe verkündet, sie sei im Besitz von rund 600.000 Datensätzen der Tiroler Gebietskrankenkasse. Die Patientendaten seien mindestens ein halbes Jahr ungeschützt auf einem Online-Speicherdienst im Netz gelegen.
Die Erklärungen der Tiroler Gebietskrankenkasse und des Hauptverbandes der Sozialversicherungsträger brachten folgenden Sachverhalt ans Licht.
Sicherheit konterkariert
Einerseits wurde da mit erheblichem Aufwand das E-Card-Netz aufgezogen, das durchaus dem Stand der Sicherheitstechnik entspricht.
Andererseits wurde dieses Sicherheitssystem vollständig ausgehebelt, indem Kopien des gesamten Datenbestands aus dem System kopiert und anderweitig in Umlauf gebracht wurden.
Die Mär von "gesicherten Leitungen"
Weil laut Hauptverband zahlreiche Spitäler sowie das Rote Kreuz noch nicht an dieses Netz angeschlossen sind, erhalten sie die kompletten, aktualisierten Datensätze einmal pro Monat zugeschickt.
Am 13. Oktober veranstaltet die IT Security Experts Group der Wirtschaftskammer Österreich eine Tagung zum Thema IT-Security in Graz. Die Auftakt-Keynote hält Oberst Walter Unger vom Militärischen Abwehramt.
Dass die Tiroler GKK betont, dies sei über "gesicherte Leitungen" geschehen, ist ein reines Ablenkungsmanöver. Tatsache ist, dass diese Datensätze das System auf keinen Fall verlassen dürfen, denn damit steht und fällt das gesamte Sicherheitskonzept.
Jagd auf "Sozialbetrüger"
Sieht man sich den Grund genauer an, warum dies überhaupt geschieht, wird es nachgerade absurd. Laut Aussage TGKK wird diese Maßnahme nur gesetzt, um zu überprüfen, ob ein Kranker auch bei der TGKK versichert ist.
Um etwaige "Sozialbetrüger" daran zu hindern, sich eine ärztliche Behandlung "erschleichen", werden alle Grundregeln der Sicherheit übertreten.
Ignoranz der Entscheidungsträger
Hier sind nur zwei Schlussfolgerungen möglich. Entweder haben die Sicherheitstechniker der TGKK keine Ahnung von den Grundlagen ihres Berufs, dass die Kette der Sicherheit nämlich nur so stark ist wie ihr schwächsten Glied. Oder, was viel wahrscheinlicher ist, wurden ihre Einwände von den Entscheidungsträgern ignoriert.
Das entspricht durchaus den Gepflogenheiten der österreichischen IT-Landschaft. Auch grundsätzliche Sicherheitsanforderungen werden mit schnöder Regelmäßigkeit ignoriert, sobald sie den wirtschaftlichen Interessen der Geschäftsführung oder jenen eines Verwaltungsapparats entgegenstehen.
Im Fall der TGKK wurde das Interesse, kranke "Sozialbetrüger" zu entlarven, so priorisiert, dass dafür die Sicherheit der gesamten 600.000 hochsensiblen Gesundheitsdatensätze permanent aufs Spiel gesetzt wurde.
Sicherheitslöcher an der Peripherie
Ebenso typisch (nicht nur) für die österreichische IT-Landschaft ist, dass die Daten nicht durch ein Leck im eigenen, gut abgesicherten IT-Ökosystem verloren gehen, sondern durch ein Loch weit draußen an der Peripherie.
So wurden weder die Systeme der GIS noch der TGKK selbst kompromittiert. In beiden Fällen handelte es sich um Kopien der Datensätze, die eigentlich nicht hätten existieren dürften.
"Sicherungskopien"
Im Fall der GIS wurden die Datensätze von einem Webdienstleister täglich sicher verschlüsselt übertragen und landeten dann in der ebenso sicheren GIS-Datenbank. Was man freilich nicht wusste war: Der Dienstleister hatte jahrelang automatische "Sicherungskopien" sämtlicher, über das Webformular eingegebener An- oder Ummeldungen angelegt.
Die webbasierte Datenbank selbst war nicht dilettantisch, sondern überhaupt nicht abgesichert und nahm in jedem einzelnen Datenfeld bereitwillig Datenbankbefehle entgegen. Mit der Eingabe eines einzigen SQL-Commands im Webformular wurde man erst Administrator und war dann im Besitz der gesamten Datenbank.
Martin Prager wirkt als IT-Sicherheitsexperte mit Schwerpunkt "Gesundheitsdaten" auch im EU-Standardisierungsprojekt Normapme mit, das sich vor allem an kleine und mittlere Unternehmen richtet.
Schlamperei, Schweinerei
Ein einziges Audit dieses Dienstleisters durch eine unabhängige Security-Firma hätte diese unfassbare Schlamperei an der Tag gebracht. Allein, es wurde halt nicht durchgeführt.
Müsste man als Sicherheitsexperte den Anonymous-Hackern also nicht eigentlich dankbar sein, dass diese Zustände aufgedeckt werden, war die abschließende Frage an den Experten.
Kein Dank an Anonymous
Martin Prager weist das weit von sich. "Die Stammdaten von 25.000 Polizisten einfach ins Netz zu stellen, ist nicht nur eine Schweinerei, sondern schlicht kriminell", sagt Prager.
Durch die Anonymous-Aktionen würden die Bestrebungen all jener Fachleute diskreditiert, die seit Jahren versuchten, die IT-Sicherheitsstandards in Österreich anzuheben" und dafür habe er überhaupt kein Verständnis.