rating service  security service privacy service
 
2011/10/10 Datenleck bei Tiroler Gebietskrankenkasse
Hans G. Zeger
Versichertendaten im Internet ungeschützt abrufbar - Abgesehen von möglichen Tätern trifft den Auftraggeber (Tiroler Gebietskrankenkasse, TGKK) die Hauptverantwortung - Datenverarbeiter muss Sicherheit seiner IT-Systeme gewährleisten - es bestehen berechtigte Zweifel an der Rechtmäßigkeit der Datenverarbeitung der TGKK

DER VORFALL

Nach Darstellung der Gruppe "Anonymous Austria" war der Zugang zu etwa 600.000 Versichertendaten der Tiroler Gebietskrankenkasse möglich, diese waren über das Internet öffentlich.

Es kann nicht festgestellt werden, ob sich der Vorfall tatsächlich genau so zutrug, plausibel ist es jedenfalls.

Gerechtfertigt wurde der "frei verfügbare" Datenbestand mit der Notwendigkeit bei vergessenen E-Cards durch Rettungseinrichtungen prüfen zu können, ob jemand versichert ist. Dazu wurde regelmäßig der komplette Versicherungsbestand übermittelt.


VERANTWORTUNG DER TGKK

Datenschutzkonform dürfen nur Daten im absolut notwendigen Mindestmaß verwendet werden. Im konkreten Fall hätte das Problem der Versichertenprüfung durch eine Direktabfrage im E-Card-System erfolgen können, wie der E-Card-Betreiber SVC bestätigte.

Damit ist zweifelhaft, ob die langjährige Praxis der TGKK rechtlich zulässig ist. Es müsste geprüft werden, ob eine Übertretung des § 52 DSG 2000 (Übermittlung unter Verletzung des Datengeheimnisses) vorliegt.

Selbst bei Annahme einer rechtmäßigen Übermittlung, müssten Sicherheitsmaßnahmen gemäß § 14 DSG 2000 ergriffen werden, etwa Verschlüsselung der Daten und des Übertragungsweges.

Diese Maßnahmen wurden offenbar vernachlässigt. Damit könnte eine gröbliche Vernachlässigung von Sicherheitsmaßnahmen vorliegen, ebenfalls eine nach § 52 zu ahndende Straftat.

Weiters hat die TGKK alle Betroffenen von diesem Datenmissbrauch zu verständigen und haftet für mögliche Folgeschäden.


MIT WELCHEN SCHÄDEN MUSS GERECHNET WERDEN?

Der wahrscheinlichste Schaden derartiger Datenlecks ist Identitätsdiebstahl. Viele Internetabläufe und Transaktionen gehen vom Wissen bestimmter Merkmale aus. Wer die Sozialversicherungsnummer kennt, eine Vertragsnummer oder eine Kontonummer wird in der Regel als berechtigter Inhaber akzeptiert und kann Bestellungen durchführen, Auskünfte einholen oder Zahlungen tätigen. Einem Geschädigten kann es schwer fallen, zu beweisen, dass nicht er aktiv war, sondern jemand anderer, der in seine Identität schlüpfte.


KONSEQUENZEN

Der Vorfall lässt das Vertrauen in eine Gesundheitsdatenverwaltung, wie sie mit ELGA geplant ist, noch weiter schwinden. Je größer und umfangreicher die Datenbestände sind, desto attraktiver ist es, nach ihnen zu "suchen" oder sonstwie zu beschaffen.

So unangenehm der Vorfall für alle Versicherten ist, kann eine zentrale Lehre gezogen werden. Als besondere Schwachstelle erweisen sich nicht die zentralen Einrichtungen selbst, sondern daraus abgeleitete Datendienste. Aus Bequemlichkeits- oder Kostengründen werden ganze Datenbestände exportiert. Sie werden ohne besondere Sicherungsmaßnahmen per E-Mail verschickt, auf Web-Servern, Notebooks oder USB-Sticks unverschlüsselt kopiert und in Officeprogrammen ungesichert weiter verarbeitet.

Längst hat sich neben der offiziellen, halbwegs gesicherten Informationsverarbeitung eine Art Schatten-EDV etabliert, in der inoffizielle Kopien sensibler oder vertraulicher Daten von einer Dienststelle zur nächsten, von einem Referenten zum nächsten wanderen und dabei irgendwann in falsche Hände geraten.

Die TGKK-Praxis wurde publik, viele tausend vergleichbar brisante Dateien dürften jedoch weiterhin unerkannt und ungesichert in Österreich hin und her geschoben werden.


- DSR - DSK - datenschutz-seminar.at - privacy-day.at - privacyday.at - Vorratsdatenspeicherung - datenschutz tag - RFID - Web2.0 - DSG 2000 - e-government - data protection - data security - Inhouse - Vienna - internet
Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2024 Information gemäß DSGVOwebmaster