© Bildagentur PantherMedia  / damedeeso

PISA TOP – DATENSCHUTZ FLOP

Die Finnen kennen ein eigenes Wort für das Phänomen, sich daheim allein in Unterhosen zu betrinken: Kalsarikännit. Es existiert sogar ein eigenes Emoticon dafür – das männliche Emoji trägt eine graue Unterhose mit Eingriff und betrinkt sich mit Bier, das weibliche hat einen rosa Badeanzug mit weißen Punkten an und nippt an einem Gläschen Wein. Die finnische Seele ist komplex und bedarf der sorgsamen Pflege – immerhin ist es im gesamten Land Monate lang kalt und dunkel draußen. 49% der Anträge auf Frühberentung werden wegen Depressionen gestellt. Einer Studie der OECD zufolge leidet jeder fünfte Finne unter einer psychischen Krankheit – Psychotherapie ist also ein wichtiges Thema im Land. Und weil die Finnen große Digitalisierungsfans sind, sprang der 2008 gegründete private Anbieter für Psychotherapie Vastaamo in die Bresche. Mittlerweile gibt es im Land 25 Vastaamo-Therapiezentren, in denen von etwa 300 Psychotherapeuten über 40.000 Patienten versorgt werden. Einstieg und Verlauf der Psychotherapie können einfach und unkompliziert im Netz geplant werden – die Therapeutensuche und -auswahl erfolgt online. Vastaamo steckte eine Menge Geld in die Vereinfachung komplexer Prozesse und leider kaum etwas in die Sicherheit. Das hippe Unternehmen hat in puncto Datenschutz und Datensicherheit so ziemlich alles falsch gemacht, was man falsch machen kann: Die sensiblen Gesundheitsdaten waren nicht verschlüsselt, die Datenbank ungesichert, das Root-Passwort schwach. Aber darüber machten sich die Verantwortlichen keine Gedanken. Wer sollte schon Interesse am Seelenleben von 40.000 Finnen haben? Um die Zahl mal ins rechte Licht zu rücken: Im Verhältnis zur Gesamtbevölkerung des Landes wären das 600.000 Menschen in Deutschland. Das muss man erstmal sacken lassen.
Ende Oktober meldete sich ein Hacker bei Vastaamo. Er gab an, die Datenbank mit sämtlichen Patientenakten bereits im November 2018 gehackt zu haben und forderte 40 Bitcoins, 450.000 Euro. Sollte sich das Unternehmen nicht auf diesen Deal einlassen, wurde mit einer Veröffentlichung der Daten im anonymen Tor-Netzwerk gedroht. Vastaamo zahlte nicht und der Erpresser fing tatsächlich damit an, zunächst täglich 100 Patientenakten zu veröffentlichen – nicht etwa pseudonymisiert, sondern mit allen relevanten Angaben. Bei den Betroffenen handelte es sich unter anderem um hochrangige Vertreter aus der Politik und aus den Reihen der Polizei. Eine 10 Gigabyte große Datei wurde ebenfalls einige Stunden lang veröffentlicht und mehrfach heruntergeladen. Sie enthielt Tagebücher, Diagnosen, minutiöse Notizen aus zahllosen Therapiesitzungen und Kontaktinformationen. Die Betroffenen wurden ebenfalls erpresst. 200 Euro sollten sie jeweils in Bitcoins zahlen, um eine Veröffentlichung der Daten zu verhindern. Neben den sensiblen Gesundheitsdaten geht es auch um die henkilötunnus oder sosiaaliturvatunnus (personbeteckning), eine Identifikationsnummer, die jeder Finne hat und die für Arztbesuche, das Finanzamt, Kontoeröffnungen und den Abschluss von Versicherungen benötigt wird. Wer also wirklich viel Pech hat, muss nicht nur um seine Integrität, sondern auch noch um seine Finanzen fürchten. Wer sich vor einem Missbrauch seiner Personennummer schützen möchte, muss mit acht verschiedenen Behörden telefonieren und für die Sperrung Gebühren bezahlen. Ob jemand, dessen Angaben aus Psychotherapiesitzungen möglicherweise im Netz veröffentlicht werden, dazu noch den Kopf hat, ist freilich fraglich.

KALSARIKÄNNIT BEIM CEO VON VASTAAMO

Vastaamo hat mittlerweile Konsequenzen aus dem digitalen Super-GAU gezogen und den CEO Ville Tapio entlassen, der offenbar bereits 2019 von dem Datenleck wusste. Doch den betroffenen Patienten hilft das im Moment auch nicht mehr. In einem Land, dessen Kultur eher von Zurückhaltung und Scheu geprägt ist, müssen nun tausende Menschen befürchten, öffentlich bloßgestellt zu werden. Auch für die Therapeuten ist es ein Schock, denn ihre Arbeit kann nur dann funktionieren, wenn in der therapeutischen Beziehung Vertrauen herrscht.
Was bedeutet das nun für Deutschland und die elektronische Patientenakte (ePA), die 2021 kommen soll? Ist es wirklich eine gute Idee, Gesundheitsdaten zentral zu speichern? Gehören derart sensible Daten nicht ausschließlich in die Praxis des Psychotherapeuten? Auf alle Fälle muss gerade in solch sensiblen Zusammenhängen auf höchste Sicherheit geachtet werden. In Zeiten der Digitalisierung ist Effizienz nun mal lange nicht alles. Das hat die Causa Vastaamo gezeigt. Ohne vernünftige Datenschutz- und Datensicherheitsmaßnahmen können ganz konkret Menschenleben gefährdet werden – das klingt im Zusammenhang mit dem digitalen Desaster, das sich in Finnland ereignet hat, kein bisschen übertrieben.
Ein ganzes Land ist in einen Zustand der Verunsicherung gestürzt worden. Es wird sogar vermutet, dass der Hacker aus Geheimdienstkreisen kommt. Möglicherweise soll der russische Geheimdienst ein Interesse daran haben, das Vertrauen in die Datensicherheit zu zerrütten. Im Moment ist aber vieles noch unklar. Und das ist genau das, was zu einer derart starken Verunsicherung führt.
Wir sollten daraus die Lehre ziehen, endlich die Bedeutung von Datenschutz und Datensicherheit anzuerkennen.