Das Deutsche Ärzteblatt berichtet in dieser Woche von einer Studie des Ponemon Institutes in Michigan, der zufolge im Jahr 2014 erstmals gezielte Angriffe der häufigste Grund für Datenverluste im Gesundheitswesen waren (und nicht, wie die Jahre zuvor, Nachlässigkeit von Mitarbeitern oder Geräteverlust).
Nun unterscheiden sich ja die Verhältnisse im US-amerikanischen Gesundheitswesen von denen im deutschen beträchtlich, und tatsächlich zeigt eine Liste des Projekts Datenschutz: in Deutschland entstehen die meisten Datenlecks im Gesundheitssystem durch menschliches Versagen oder Versagen von Organisationsstrukturen ohne (darf man annehmen) böse Absicht.
Der Anreiz, gestohlene Patientendaten zu kaufen, um damit in den Genuss von Leistungen der Krankenversicherung zu kommen, ist in Deutschland wohl bei weitem nicht so hoch wie in den USA. Dort waren allein 42 Millionen Menschen für das gesamte Jahr 2013 nicht krankenversichert (oder 10% der weißen, 16% der schwarzen und 24% der hispanischen Bevölkerung, aber das nur am Rande). Der Preis für eine Krankenakte soll auf dem Schwarzmarkt durchschnittlich 60 US-Dollar betragen.
Der Kurs würde vermutlich auch in Deutschland steigen, wenn
- die Anzahl an Menschen steigt, die nicht krankenversichert sind und/oder
- der Leistungsumfang der (gesetzlichen) Krankenkassen schrumpft.
So weit also zum „Identitätsdiebstahl“, um die Krankenversicherung einer anderen Person zu nutzen. Unabhängig davon – wie könnten Diebe noch von gestohlenen Patientendaten profitieren?
- Je individualisierter die Medizin wird und je mehr der Einzelne die Verantwortung für seine Gesundheit trägt, desto interessanter wird die Auswertung von Gesundheitsdaten zu Werbezwecken.
- Durch das Drohen mit Veröffentlichung gestohlener Patientendaten kann Lösegeld erpresst werden – von einzelnen Patienten, aber vor allem von Krankenhäusern und anderen Institutionen.
- Wertvoll sind Patientenakten auch für die klinische Forschung. Wenn neue Interventionen (diagnostische oder therapeutische Verfahren) gestestet werden sollen, ist der Nutzen solcher Daten zwar begrenzt – anders sieht es aber aus, wenn beispielsweise auch genetische Daten in der Akte gespeichert werden und somit der Zusammenhang zwischen genetischen Markern und Erkrankungen (oder auch nur Körpergewicht oder Blutfettwerten) untersucht werden kann.
- Versicherungen und Arbeitgeber dürften sich für Informationen, beispielsweise über chronische Erkrankungen, interessieren, die der Besitzer der Krankenakte verschwiegen hat.
- Und schließlich noch der Spezialfall von Personen des öffentlichen Interesses: Michael Schumachers Krankenakte war bereits ein Angriffsziel (wenn auch nicht digital). Man kann sich leicht vorstellen, dass die Veröffentlichung der Krankenakte eines Politikers, dessen Land sich in Konflikt mit einem anderen befindet, oder eines Managers eines kriselnden Unternehmens noch weitreichendere Folgen haben und deswegen zum Ziel von Angriffen werden kann.
Findigen Datenhändlern wird zweifellos noch mehr dazu einfallen.
