Datendiebstahl:
Cybergangster wollen »Lösegeld« für gestohlene Patientendaten

von Bernd Reder (bernd.reder@networkcomputing.de)

Share
11.05.2009

Ein interessantes »Geschäftsmodell« haben Cyberkriminelle in den USA entwickelt: Sie hackten sich in eine medizinische Datenbank ein. Dort entwendeten sie nach eigenen Angaben acht Millionen Datensätze, die Informationen über Medikamente enthalten, die Bürger des Bundesstaats Virginia zu sich nehmen. Nun verlangen die Angreifer für die Herausgabe der Daten 10 Millionen Dollar Lösegeld.

Löchriger Datentresor: Angeblich kamen der Behörde in Viriginia 8 Millionen Patien- tendaten abhanden. (Bild: Pixelio/Jutta Anger)

Damit nicht genug: Die Hacker machten zudem die Backup-Files unbrauchbar, welche die Systemverwalter der PMP-Datenbank angelegt hatten.

Nun fordern die »Entführer« der Daten 10 Millionen Dollar Lösegeld vom Staat Virginia für eine verschlüsselte Kopie der Datei und das dazu gehörige Passwort

In einem Schreiben [1], das auf diversen Web-Seiten veröffentlicht wurde, droht der Erpresser damit, er werde die Daten zum Kauf anbieten, sollte er die Summe nicht erhalten. Die Frist von sieben Tagen, die der Cybergangster setzte, ist mittlerweile abgelaufen (am 7. Mai).

Gouverneur will nicht zahlen

Timothy Kaine, der Gouverneur von Virginia, zeigte sich unnachgiebig: Er werde nicht auf die Forderungen des Erpressers eingehen, so der Politiker. Das FBI und die Staatspolizei von Virginia haben sich mittlerweile auf die Suche nach den Hackern gemacht.

Das Schreiben des Erpressers: Entweder 10 Millionen Dollar, oder die Daten werden an dubiose Interessenten verhökert.

Aus »Sicherheitsgründen« wurde zudem der Zugang zur Web-Seite der PMP gesperrt. Die Datenbank wurde auf 2003 angelegt, um den Missbrauch von Rezepten zu unterbinden. Speziell Drogenabhängige versuchten immer wieder, mithilfe von gefälschten Rezepten an Ersatzdrogen wie Oxycontin und Vicodin heranzukommen.

Die Behörden, die den Vorfall untersuchen, halten sich mit Informationen zu dem Vorfall zurück. Man arbeite eng zusammen, um den Erpresser zu finden, so der Tenor der Erklärungen. Dies deutet darauf hin, dass es sich tatsächlich um ein massives Datenleck handelt.

Gesundheitsdaten online verwalten

Experten von IT-Sicherheitsfirmen kritisierten mittlerweile den laxen Umgang mit hoch sensiblen Daten durch das für die PMP zuständige Department of Health Professions (DHP). »Den Behörden muss bewusst sein, dass es genügend skrupellose und clevere Leute gibt, die Wege finden, an solche Informationen heranzukommen«, sagt beispielsweise Paul Ferguson von Trend Micro [2]. Entsprechend ausgefeilt müssten die Schutzmaßnahmen sein.

Auf Web-Seiten wie Google Health können Anwender ihre Gesundheitsdaten online speichern.

Bedenklich ist, dass auch andere US-Bundesstaaten ähnliche Web-Seiten wie Virginia betreiben. Auch diese könnten nach dem Vorfall im Süden des Landes Nachahmer auf den Plan rufen. Hinzu kommt, dass der US-Kongress und Firmen wie Microsoft und Google darauf drängen, Patientendaten online verfügbar zu machen.

Microsoft beispielsweise startete vor zwei Jahren das Programm Health Vault [3], und auch Google bietet mit Google Health [4] die Möglichkeit, die eigenen Gesundheitsdaten online zu speichern. Der Vorfall in Virginia zeigt, dass dies mit einem Risiko verbunden ist.

[1] http://riga.ax.lt/leak/virginia-ransom-2009.html
[2] http://www.trendmicro.de/
[3] http://www.healthvault.com/
[4] https://www.google.com/health/p/

Verwandte Artikel