Anonymous im Besitz von Daten der Tiroler Gebietskrankenkasse

Markus Sulzbacher
28. September 2011, 07:36

TGKK: Keine Krankengeschichten, Firewalls "nicht geknackt" - AnonAustria: "Veröffentlichung ausgeschlossen"

Der Österreich-Ableger der Internet-Aktivisten-Gruppe Anonymous, AnonAustria, sorgt erneut für Schlagzeilen. Die Aktivisten haben am Montag die Daten von rund 25.000 Polizisten ins Netz gestellt, nun teilten sie über ihren offiziellen Twitter-Account mit, dass man über die Datenbank der Tiroler Gebietskrankenkasse (TGKK) "gestolpert" sei.

Mehr als 600.000 Datensätze

Die Daten "lagen bzw. liegen noch immer in einer gezippten Textdatei bei einem Filehoster". Es sollen mehr als 600.000 Datensätze sein. Darunter jene von von Schlagerstar Hansi Hinterseer, Schauspieler Tobias Moretti, Ex-Landeshauptmann Herwig van Staa oder der Skifahrerin Nicole Hosp. Um welche Daten es sich genau handelt, haben die Aktivisten allerdings nicht verraten. Die Daten soll aber schon länger "im Umlauf" sein.

Veröffentlichung "ausgeschlossen"

AnonAustria betont, dass "eine Veröffentlichung der gesamten Datenbank ausgeschlossen" sei.  Am Mittwoch machten die Aktivisten auf frei zugängliche Daten, darunter welches des Innenministeriums,  im Netz aufmerksam.

Die doppelte Firewall

Die Tiroler Gebietskrankenkasse (TGKK) versuchte am Mittwochvormittag die Herkunft der Datensätze zu klären. Obmann Michael Huber schloss aus, dass Krankengeschichten gehackt worden sein könnten. Die doppelte Firewall der TGKK sei "nicht geknackt" worden.

Keine Aufzeichnungen über Erkrankungen

Es könnte sich um Datensätze handeln, die die Krankenkasse monatlich an Vertragspartner wie zum Beispiel Ärzte oder das Rote Kreuz weitergebe. Mit diesen Daten könne überprüft werden, ob jemand tatsächlich versichert sei. Nicht enthalten seien dabei Aufzeichnungen über Erkrankungen der 550.000 TGKK-Versicherten, beteuerte Huber.

"Kriminelle Geschichte"

Huber kündigte eine "Anzeige gegen unbekannt" an. Die Polizei und deren Fachleute sollten sich mit der Veröffentlichung der Daten befassen. Es handle sich um eine "kriminelle Geschichte", auch wenn man angeblich "zufällig" über die Datensätze gestolpert sei.

E-Card

Der Direktor der TGKK, Heinz Hollaus, berichtete am Vormittag von Anrufen Versicherter, die ihre E-Card sperren lassen wollten. Auf der E-Card seien aber "keinerlei sensible Daten gespeichert". Sie diene lediglich dazu, beim Vertragspartner einen Leistungsanspruch nachzuweisen, betonte der Direktor.

Die Daten der Versicherten seien "nach dem neuesten Stand der EDV-Technik gesichert". Daten über Diagnosen, Medikamentenkonsum und Einkommensverhältnisse seien "bestmöglich geschützt". Die TGKK sei gesetzlich oder vertraglich verpflichtet, gewisse Daten an Körperschaften öffentlichen Rechts und Vertragspartner etwa zu Abrechnungszwecken weiterzugeben. Diese Weitergabe erfolge auf gesicherten Leitungen, alle Empfänger würden ebenfalls den strengen Datenschutzbestimmungen unterliegen, beteuerte der TGKK-Direktor.

"Oft fehlt sogar ein minimaler Schutz"

Der Datenschutzexperte Hans Zeger spricht sich gegenüber dem WebStandard gegen die Veröffentlichung von privaten Daten aus. Dies ist "vehement abzulehnen".

Allerdings warnt der Obmann der Arge Daten "seit Jahren" vor Computer-Schwachstellen im Gesundheitswesen. "Oft fehlt sogar ein minimaler Schutz" und Angreifer haben nur wenig Mühe an Daten zu gelangen. Der Grund: Sicherheit kostet Geld, das von Verantwortlichen allerdings nicht in die Hand genommen wird.

Überbringer der Botschaft

Der Fachmann bemerkte aber, dass es in der aktuellen Diskussion weniger darum gehe, das Problem zu beheben, als den Überbringer der "schlechten Nachricht" (Anonymous; Anm.) zu bestrafen. Tatsache sei, dass viele Datenverwalter die Sicherheit nicht im Griff hätten. "Als Bürger musst Du ihnen aber vertrauen."

Im Justizministerium wären fast zehn Jahre lang alle Exekutionsdaten gestohlen worden - ohne dass es jemand gemerkt hätte.

Medienwirksam zugeschlagen

Anonymus hat in Österreich bereits mehrmals medienwirksam zugeschlagen. Die SPÖ wurde ebenso gehackt wie die Grünen, die FPÖ und die GIS. Anonymous versteht sich nicht als Gruppe mit entsprechenden hierarchischen Strukturen, sondern als loses Netzwerk bei dem jeder mitmachen kann, der über entsprechendes Wissen verfügt. (sum)

Share if you care
Posting 1 bis 25 von 1079
noch einmal für alle: die TGKK sind die Bösen!!

E card systen teuer, geschlossen, stabil. und dann einfache Weitergabe an irgendwen der sozusagen auch wissen darf, wer versichert ist. Das ist nie lebensrettend, das zu wissen, - diese Behauptung ist als Unsinn zu klassifizieren. Was sonst, als erste Hilfe? Liegen lassen? Das Niveau beachten bitte vielmals..

Leistungsdaten per Brief

Was scheint denn so Geheimes in der Datei zu stehen? Telefonbuchwissen und die Versicherungsnummer und ein Versichertenstatus (Versichert Ja/Nein). Ist eigentlich schon einmal aufgefallen, daß die Krankenkassen Jahr für Jahr wirklich hochsensible Daten mit fast allen Krankenbehandlungsdaten per Normalbrief an die Versicherten schicken? Ich hab immer wieder einmal fehlgeleitete Post in meinem Briefkasten, die Nachbarn natürlich auch. Geht die meine Leistungsdatei was an? Aber da regt sich niemand auf.

Und...

diesen Brief hat den Krankenkassen der (damals schwarz-blaue) Gesetzgeber verpflichtend aufs Aug gedrückt.

aber es gibt ein Briefgeheimnis. immer noch.

"im Internet praktisch öffentlich zugänglich"

Bevor hier manche Poster wieder mal unreflektiert gegen Zeger polemisieren, sollten sich diese mal das zu Gemüte führen: http://www.argedaten.at/php/cms_m... s=29246aai

"Verantwortlich für die Geheimhaltung persönlicher Daten ist immer der Auftraggeber, in diesem Fall die TGKK."

Wie kann ich mich schützen?

LIEBE ELGA!
"Die e-card ersetzt den Krankenschein!"
Unterschreibt sie nicht, lasst das sein!
Sonst geht es Dir liebe ELGA, mit Deiner "e-card" in @at bei Dir,
So wie mir mit meiner "JobCard" ganz "ELENA.DIG bei uns in @de hier!
Stell Dir vor, mich schafft man nun hier in @de total ab, mich ELENA ganz,
Wegen Datenschutz beim Verfassungsgericht des EU-Bürgers durch Herrn Karls.ruhe@in.frieden& mit dem A@de.Franz!
Die Ruhe weg in seinem Speck,
Hat der "Herr Karl" aus Österreich@at immer
Dabei ist er ohne seine e-card , der Herr Karl ganz getreten weg!
Er sagt der Anonymus.LausBube: "Du mach mir kann Dreck!
Doch der hackte jetzt bei Dir liebe ELGA, in Dein www.ORF@GIS.
Mit 1,2,3 wird nach seinem SAP.System.Am-arsch.Phishing@.Reinschiss,
Da

Ich lege wert darauf, dass...

Ich lege wert darauf, dass KEIN einziger Arzt Daten von der TGKK bekommt, noch dazu monatlich, ob jemand versichert ist oder nicht! Herr Huber zeigt seine Inkomnpetenz und sein Unwissen, wenn er das behauptet. Nur mithilfe der e-card eines Patienten kann beim Server des Hauptverbands abgefragt werden, ob der oder die Parient-in versicert ist oder nicht!
Herr Huber soll sich erst informieren bevor er solchen Unsinn redet!
Ich bin schon neugierig, ob ELGA auch so abgesichert sein wird!

Stimmt

Ärzte haben GINA / e-Card. Vertragsärzte.

Aber die Rettung hats nicht. Der Helikopter hats nicht. Die Spitäler habens nicht. Die Ambulanzen habens nicht (da bin ich allerdings nicht sicher). Die Therapeuten habens nicht.

Und auch dort kann es wichtig sein schnell zu wissen ob jemand versichert ist.

Na super und da schicken die Krankenkassen dann munter irgendwelche Files mit den Daten aller Versicherten durch die Gegend?

Ist das wirklich deren Ernst?

Wieso gibt's nicht eine Abfragemöglichkeit mit Registrierungspflicht und Protokollierung, wer da wann welche Daten abgefragt hat?

Ich glaube

...da würd sich der Herr Zeger ganz furchtbar aufregen, wenn es solche Abfragen gäbe - weil Datenschutz und so.

Oder wahlweise der Herr Dorner, wegen irgendeines anderen Grundes.

Was alles unter dem - an sich ja wertvollen - Arguments des Datenschutzes belämpft wird, erscheint manchmal geradezu skurril.

Und unendlich naiv, wenn man sich einmal genau vor Augen hält wie "sicher" Papier war und ist.

Oder wie ist das mit den Kopien strengst geheimer UNterlagen, mit denen Pilz, Profil und Standard immer wieder glänzen?

Man könnte das so regeln, wie bei der Polizei und dem zentralen Melderegister.

Aber keinesfalls sollten Daten so wie in diesem Fall einfach so im Netz verfügbar sein.

Anonymous vs. Alle

Das Hackerkollektiv hat mittlerweile jeden im Visier: http://2010sdafrika.wordpress.com/2011/06/1... -sturzen/.

Ein wenig genauer

Die Daten dürften vom Urheber TGKK stammen. Wurden aber offenbar woanders (bei einem Partner der TGKK) gefunden worden sein. Die Sorgfaltsverletzung dürfte also dort passiert sein (sind ja fast alles Gesundheitseinrichtungen).

Warum jetzt alle die TGKK prügeln verstehe ich nicht.

Der (oft berechtigte!) Datenschutz treibt aber in Österreich schon merkwürdige Blüten, häufig im Kontext mit Herrn Zeger.

So versenden die Krankenkassen lt Artikel anscheinend Tabellen ihrer Versicherten (also nur simple Personendaten + Versicherungsstatus) an die Gesundheitseinrichtungen genau WEIL die sicheren + geschlossenen Gesundheitsdatensysteme (zb el. Gesundheitsakte) blockiert werden.

Zeger ist der Einzige der seit Jahren dafür kämpft und alle belächeln ihn. Jetzt zeigt die Inkompetenz ihr wahres Gesicht.

Da muß ich Ihnen widersprechen:

Die TGKK kann daten Ihrer Zwangsversicherten nicht einfach so weitergeben.
Ich kann auch nicht mein Jadggewehr an meinen Weinhändler weitergeben, oim Vertrauen, er wird schon darauf aufpassen.
Ich weiß, der Vergleich hinkt etwas, aber-
-personenbezogene Daten si9nd einfach etwas Sensibles. VOR der weitergabe muß der Besitzer, der Horter dieser Daten sich versichern, daß ALLE Empfänger genau so sicher umgehen wie er selbst.
Ein Vorführauto bekomm ich ja auch nur, wenn ich mittels Führerschein nachgewiesen habe, wer ich bin und daß ich die nötige Qualifikation habe.
Rundumschläge, wie von Huber jetzt, Rettung, Therapeuten oder Bandagisten Ärzte als schwachstelle zu verdächtigen, sind lächerlich und dumm.

Wetten dass,...

,,, die einen Prozess wegen "Bildung einer kriminellen Organisation" a la "Tierschützerprozess" kriegen, sobald auch nur einer von den kleinsten Fischen von denen im Netz zappelt?

Na und?

Hoffentlich!

schließlich gehören ja die bestraft, die den sorglosen umgang mit unseren daten AUFDECKEN, statt jene, die sorglos mit diesen umgehen!

link 2 und 3 sind jetzt gesperrt und link 1 - find ich alles im telefonbuch auch. find ich zwar besorgniserregend, dass das einfach so in umlauf kommt, aber ich hoffe, je sensibler die daten umso besser der datenschutz... meine telefonnummer lass ich auch selber eintragen (also keine große besorgnis), meine bankdaten verrate ich nicht so gerne (schütze ich besser...) - ich hoffe, dass das in der regel von datenschützern ebenso gehandhabt wird... aber man kann ja nie wissen

das erste link ist lustig. schaut euch mal die spaltenbezeichner an. so stelle ich mir ein relationales datenmodell made by staatsdienst vor. berufort1, berufort2,.... und sowas wird von unserem steuergeld bezahlt. das kann doch nicht wahr sein....

jo, das würde sich um einiges behübschen lassen.:D
habe allerdings auch schon schlimmeres gesehen

ha ha ha

was mich am meisten irritiert bei dieser meldung:

wieso sind hansi hinterseer ("künstler") und tobias moretti (künstler und nebenerwerbsbauer) bei der GEBIETSKRANKENKASSE versichert? die doch eigentlich nur die angestellten tiroler unternehmern versichern sollte...

und GENAU das ist der Grund für absoluten Datenschutz... das hat genau gar niemanden anzugehen, wo wer wie was versichert ist.

Abgesehen davon: die Aussagekraft dieses Artikels hängt von ein paar unbestätigten Twittermeldungen der Anons ab.

Und, man kann sich auch freiwillig selbst versichern bei der GKK.

Posting 1 bis 25 von 1079

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.