26.05.2012 16:33 | Meine Presse Merkliste 0

Anonymous: 'Haben 600.475 Tiroler Krankenkassendaten'

28.09.2011 | 13:17 |  von Daniel Breuss (DiePresse.com)

Die Gruppe AnonAustria will ein gewaltiges Datenleck der Tiroler Gebietskrankenkasse entdeckt haben. Die Daten kursieren seit 6 Monaten. Veröffentlicht werden sollen sie aber nicht.

Artikel drucken Drucken Artikel versenden Senden Merken AAA Textgröße Artikel kommentieren Kommentieren

Mehr zum Thema:

Aus dem Archiv:

"Will jemand Miss Tirol besuchen? Adresse hätten wir..." Anonymous Austria will eine umfassende Datenbank der Tiroler Gebietskrankenkasse besitzen. 600.475 dort registrierte Adressen sollen darin vorhanden sein, unter anderem auch von bekannten Persönlichkeiten wie Tobias Moretti, Hansi Hinterseer oder Herwig Van Staa. Wie schon bei der Veröffentlichung der Polizistendaten in der Nacht auf Montag will die Gruppe die Daten nicht durch einen Hackerangriff erlangt haben. Man sei "zufällig drüber gestolpert", wird auf @AnonAustria, dem Twitter-Konto des Ablegers des weltweit aktiven Anonymous-Kollektivs behauptet.

Daten seit sechs Monaten im Umlauf

Glaubt man den Tweets der Gruppe, wurde die Datenbank "in einer gezippten Textdatei bei einem Filehoster" entdeckt. Angeblich ist die Datenbank seit sechs Monaten im Umlauf. Eine Veröffentlichung der beängstigenden Datenmenge kommt für die Hacker nicht in Frage. Sie würden aber beispielhafte Auszüge sondieren. Wer auch immer das Datenleck verursacht hat, muss maximal mit einer Verwaltungsstrafe von 10.000 Euro rechnen.
Mehr: Verursacher droht nur milde Strafe >>>

TGKK: "wurden nicht geknackt"

Die Daten dürften von einem Vertragspartner der TGKK stammen. Zumindest äußerte Obmann Michael Huber im Gespräch mit DiePresse.com diese Vermutung. Man stehe in Kontakt mit Anonymous, die "freundlicherweise" Teile der Datensätze übermittelt hätten. Die Daten würden Sozialversicherungsnummer, Namen und Adressen von Versicherten enthalten. Krankengeschichten oder ähnliches würden darin nicht vorkommen, versichert Huber. Auch sei die TGKK selbst nicht "geknackt" worden, es habe auch keine Versuch gegeben. Ob er denn wirklich glaube, dass Anonymous rein zufällig auf die Datenbank gestoßen sei? "Auch solche Zufälligkeiten haben ein System", meint Huber. Man müsse die Angaben der Gruppe vorerst aber so hinnehmen.

Monatliche Updates an Vertragspartner

Die Daten, auf die AnonAustria Zugriff hat, würden monatlich an Vertragspartner, wie Rettungsdienste oder Krankenhäuser weitergeleitet, erklärt Huber. Dadurch können diese prüfen, ob jemand tatsächlich versichert ist oder nicht. Die TGKK selbst verwaltet 550.000 Personen auf ihren Servern. Wie Huber sich also die Diskrepanz mit den 600.475 Einträgen erklärt? Zu den eigenen Daten würden noch Informationen anderer Versicherungsträger, etwa der Bauern oder der Gewerblichen Wirtschaft, hinzukommen, sagt Huber. Die TGKK fungiere gewissermaßen als Drehscheibe für die Verteilung der Daten.

Tiroler wollten E-Card sperren lassen

Diese Weitergabe erfolge auf gesicherten Leitungen, alle Empfänger würden ebenfalls den strengen Datenschutzbestimmungen unterliegen, versicherte TGKK-Direktor Heinz Hollaus. Er berichtete auch von Anrufen Versicherter, die ihre E-Card sperren lassen wollten. Auf der E-Card seien aber "keinerlei sensible Daten gespeichert". Sie diene lediglich dazu, beim Vertragspartner einen Leistungsanspruch nachzuweisen, betonte der Direktor. Die Daten der Versicherten seien "nach dem neuesten Stand der EDV-Technik gesichert". Daten über Diagnosen, Medikamentenkonsum und Einkommensverhältnisse seien "bestmöglich geschützt".

Knapp 25.000 Polizistendaten veröffentlicht

Die Vorgangsweise, die Daten nicht unredigiert ins Netz zu stellen, konterkariert die Aktion vom Montag. AnonAustria hatte eine ihnen zugespielte Datenbank mit Namen, Geburtsdatum und Adressen von 24.938 Polizisten komplett einseh- und durchsuchbar online verfügbar gemacht. Hämisch wurde gefragt: "Es hat doch niemand was zu verbergen, oder?" Nach aktuellen Informationen kamen die Daten vom polizeihnahen Verein IPA. Derzeit wird ermittelt, wer die Informationen weitergegeben haben könnte.

Partei-Websites gehackt

Die Truppe um AnonAustria hat sich schon im Sommer einen Namen gemacht. Über einen schlecht gesicherten Server der ORF-Gebührenstelle GIS konnten sie an fast 100.000 Daten inklusive Bankkonten der GIS-Kunden herankommen. Zuvor hatte die Gruppe bereits die Homepages von SPÖ, FPÖ und den Grünen gehackt. Das Bundesamt für Verfassungsschutz und Terrorismus ermittelt in diesen Fällen. Inzwischen wollen die Ermittler konkrete Personen im Verdacht haben.

(db)

Testen Sie "Die Presse" 3 Wochen lang gratis: diepresse.com/testabo

Mehr zum Thema:

Aus dem Archiv:

Als Gast kommentieren

...oder einloggen um als registrierter Benutzer zu kommentieren (Vorteile dieser Variante)


Mit dem Absenden Ihres Kommentares erklären Sie sich mit den Forenregeln einverstanden.

*... Pflichtfelder

Sicherheitscode
(Was bringt das?)*



Schwer lesbar?
Neuen Code generieren

Verbleibende Zeichen

108 Kommentare
 
1 2 3
Gast: dowüunswerhäkeln
28.09.2011 22:16
» melden » antworten
0 0

Seltsam.....

....die ÖVP wurde bis dato NICHT gehackt - WARUM???
Antworten jo.strasser
01.10.2011 09:36
» melden » antworten
0 0

Re: Seltsam.....

das mit der ÖVP stimmt leider nicht ganz. das passierte schon, wurde aber vertuscht.
Antworten fefe
29.09.2011 10:44
» melden » antworten
0 0

Re: Seltsam.....

Probieren Sie es halt. Möglicherweise haben die die heikleren Daten nicht auf einem Rechner der am Internet hängt.
Gast: Jawohl, Genosse Mao!
28.09.2011 21:25
» melden » antworten
2 1

Nur weiter so.

Serientäter kriegt man meistens dann dran, wenn sie sich entweder zu sicher fühlen oder schon vom narzistischen Drang, erwischt zu werden und damit sich selbst ein Denkmal zu setzen geplagt sind.
Antworten fefe
29.09.2011 10:46
» melden » antworten
0 1

Re: Nur weiter so.

Mit dem Einbruch in die Polizisten-Datenbank haben sie schon recht optimale Voraussetzungen getroffen, dass die Motivation, die zu finden maximal ist.
kata_morgana
28.09.2011 21:11
» melden » antworten
1 0

Datenverlust - Meldepflicht?

Soweit ich weiss, muss der Verlust öffentlicher Daten in manchen Ländern gemeldet werden (zB. England). In Österreich ist das nicht der Fall.

Die Meldepflicht hat den Vorteil, dass die Bürger informiert werden, wenn "deren" Daten verloren gehen und den Nachteil, dass potentielle Käufer womöglich Schlange stehen.

Möchten Sie davon erfahren, wenn öffentliche Daten verschlampt oder veruntreut werden?
Antworten fefe
29.09.2011 11:00
» melden » antworten
0 0

Re: Datenverlust - Meldepflicht?

Wenn es eine Meldepflicht gibt für Daten, die den Besitzer wechseln müsste das ja nicht nur bei Diebstahl sondern auch bei jedem "regulären" Verkauf oder Weitergabe passieren.

Für den Betroffenen ist es interessant, wer die Daten jetzt auch hat. Über welchen Weg die Interessenten die Daten bekommen haben, ist nur eine Frage, wer das Geld für diese Handelsware bekommt.

Also ob Diebstahl oder verkauft oder verschenkt ist für den Betroffenen, dessen perönliche Daten neue Besitzer gefunden haben eigentlich egal.

Im Grunde müsste man daher über jegliche weitere Verbreitung der Daten informiert werden.
kritikus.at
28.09.2011 18:16
» melden » antworten
2 0

Es stellt sich die Frage,

warum die "Vertragspartner" überhaupt das ganze Datenpaket brauchen. Jemand der mit Daten anderer sorgsam umgeht, würde diese nicht aus der Hand geben und stattdessen eine Aplikation schaffen, wo die "Vertragspartner" ausschließlich einzelne Datensätze abfragen können. Da wäre der Zweck wohl genauso erfüllt und die Daten bräuchten nicht kreuz und quer durchs Land gesendet werden...
Antworten Gast: AlGaKo
28.09.2011 18:26
» melden » antworten
0 0

Re: Es stellt sich die Frage,

".. ausschließlich einzelne Datensätze abfragen können"

es kommt nicht darauf an, wie viele datensätze man abfrägt, sondern wie viele potentiell gemeinsam gespeichert sind (und somit geklaut, gehackt, ...) werden können.

meiner ansicht nach gehören gesundheitsdaten nicht ins internet.

die einzige lösung für das problem kann eine lokale datenspeicherung sein. kein hacker würde sich die mühe machen, hunderttausende verschlüsselte usb-sticks bei den einzelnen personen zu klauen und danach die daten zu entschlüsseln.

zudem ist es sinnvoll, die eigenen daten bei sich zu haben (notfalldatensatz, organspendeausweis, rö-bilder, befunde, untersuchungsergebisse, allergien, impfungen, ...).

damit können ärzte sehen, ob relevante daten vorhanden sind (z.b. allergie auf einen wirkstoff - und somit bestimmte medikamente nicht verschreiben), sowie notfalldienste die notfalldaten des patienten schnell einsehen.

den usb stick kann man als schlüsselanhänger, im auto, ... ständig dabei haben.
Antworten Antworten kritikus.at
28.09.2011 20:54
» melden » antworten
0 0

Re: Re: Es stellt sich die Frage,

Na ja, wenn pro Sekunde nur 1 Datensatz pro Anfrager freigegeben worden wäre, dann hätte der Diebsthal wohl ca 7 Tage gedauert. Setzte man die Zeit auf 10 Sekunden (was für den Zweck sicherlich auch reichen würde), dann dauerte es 70 Tage. Also Zeit genug, etwas zu merken und gegenzusteuern.

Und das mit den "hunderttausende verschlüsselte usb-sticks" ist eine Utopie, die niemals funktionieren kann. Was wäre zB, wenn jemand seinen Stick verliert? Dann wären ohne Zentralspeicher seine Gesundheitsdaten unwiederbringlich weg - mit allen Konsequenzen für wirklich Kranke. Die einzige Möglichkeit, die in diesem Sinne überhaupt funktionieren könnte, wäre es, die Menschen zu chipen...

Und nochmal, der Zentralspeicher war ja nicht das Problem bei der TGKK. Das Problem war, dass sie dort mit den Daten nur so herumgeschleudert haben und wahrscheinlich immer noch nicht wissen, wen alles sie die Datenpakete geschickt haben... ;-)
Antworten Antworten Antworten Gast: AlGaKo
29.09.2011 09:59
» melden » antworten
0 0

Re: Re: Re: Es stellt sich die Frage,

kleine ergänzung zu der anmerkung: nach der fehleingabe des passwortes verdoppelt sich die zeit für den patienten (user).

der registrierte gesundheitsanbieter hat seine eigenen zugriffsrechte, so dass er auch ohne dieses passwort an die ihm durch zugriffsrechte erlaubten daten zugreifen kann. diese rechte kann der patient erweitern / einschränken.

zudem werden keine kartenlesegeräte benötigt - direkter anschluss an einen usb-port.

am besten, du schaust dir die beschreibung an, bevor du weiter argumente angibst, die in der realität nicht vorhanden sind.

siehe dazu den link im vorigen beitrag darunter.

und zuletzt: der preis dieses systems würde millionen an versichertenbeiträgen einsparen, welche man danach für sinnvolle dinge verwenden könnte (krebs-, alzheimerforschung, ...).
Antworten Antworten Antworten Gast: AlGaKo
29.09.2011 09:51
» melden » antworten
0 0

Re: Re: Re: Es stellt sich die Frage,

kritikus - du soltest nicht deine vorstellung zum massstab machen, sondern die realität.

wenn man schon eine abfrage in 1, 10 ... sekunden machen kann, so gehst du davon aus, dass sich die hacker / diebe an diese regel halten, was eine relativ naive annahme ist (auch das kann man umgehen)

bei dem verlorenen usb-stick entsteht kein problem, denn es sind nur die kopien der originaldaten des gesundheitsanbieters (arzt / zahnarzt, sanatorium, kkh, ...) darauf gespeichert.
d.h. verliert man den stick, so sind diese daten weiterhin bei diesem arzt, ... vorhanden und können erneut auf einen stick kopiert werden

der usb-stick (PRAXISstick) hat nur die funktion, sämtliche med. relevante daten des patienten von allen gesundheitsanbietern auf diesem PRAXISstick zusammen zu fassen.

dadurch können andere gesundheitsanbieter auf dem stick z.b. die vorerkrankungen sehen, sowie daten an andere ärzte senden (befunde, zuweisungen, untersuchungsergebnisse, ...)

und zu deiner info:
auf dem PRAXISstick muss der patient auch ein passwort eingeben, damit die daten zu sehen sind. nach jeder fehlangabe verdoppelt sich die zeit (1, 2, 4, 8, 16, ... sekunden), bis man das passwort erneut eingeben kann. spätestens nach dem 10 versuch gibts du auf

dies ist etwas ganz anderes, als dein vorschlag der zeit für abfrage eines datensatzes. hier macht es sinn (obwohl es auch "geknackt" werden könnte) - aber wieso sollte sich der hacker für einen stick solche mühe machen?
Gast: AlGaKo
28.09.2011 17:17
» melden » antworten
0 0

lokale speicherung ist gesünder

für die e-card, elga (geplante el. gesundheitsakte - bei der viele patientendaten ungefragt auf zentralservern gespeichert werden, ...) gibt es ohnehin schon lokale alternativen, wo med. daten des patienten auf einem usb-stick gespeichert werden. damit ist so ein massen-datenklau ausgeschlossen.

jedenfalls ich habe bereits meine daten auf einem PRAXISstick gespeichert, der in einigen ordis installiert ist - und bin zufrieden (da man ihn auch in anderen ländern - z.b. DE, CH, SK, ..., einsetzen kann).

infos dazu gibt es im internet:

http://www.iglware.com/moro/html/PRAXISstick/d/konzept/

(es gibt auch andere lösungen - maxiDOX, Med-O-Card, ...), die auch med. daten lokal speichern, aber die kenne ich nicht so genau (b.b. im internet aussuchen).

würde jeder seine daten lokal speichern, so gäbe es erst gar keine möglichkeit, hunderttausende datensätze auf einmal zu klauen. das sollten die politiker überdenken, ob das zwangsystem e-card mit den ganzen zentralservern nicht nur eine teure fehlentwicklung ist, bei der jährlich millionen von versichertengeldern in den sand gesetzt werden.
Antworten fefe
29.09.2011 11:06
» melden » antworten
1 0

Re: lokale speicherung ist gesünder

Das ist freilich genial, aber wenn der Stick verloren oder irgendwie kaputt geht, dann sind alle Daten weg. Wenn das in der Praxis verlässlich sein soll, dann müsste irgenwo zentral das alles gespeichert sein. Und damit hat man wieder das selbe Problem.
Gast: Klaus Nomi
28.09.2011 17:13
» melden » antworten
4 0

Phantastisch

Wie schön wird es erst sein wenn die ELGA (elektronische Gesundheitsakte) für alle Versicherten geben wird!
Dr.Gandolfini
28.09.2011 16:27
» melden » antworten
1 0

GIS

Als ich mich in meiner neuen Wohnung gemeldet habe, dauerte es keine zwei Wochen bis ein Brief der GIS (privates Unternehmen!) in meinem Postkasten lag!

Das Melderegister muß für diese Raubritter also zugänglich sein.
Gast: Giftspritzer
28.09.2011 16:25
» melden » antworten
1 1

diePresse.com will anscheinend nicht das INet-User ihre Cookies löschen!?

Oder warum sonst ist mein Posting nicht durch gekommen? Also nochmal. Es ist ganz einfach seine Cookies zu löschen:

Firefox:
Einstellungen->
Datenschutz->
gesamte bisherige Chronik löschen

IExplorer:
Extras->
Internet Optionen->
Allgemein->
Browserverauf löschen

und fertig!
Antworten fefe
29.09.2011 11:11
» melden » antworten
0 0

Re: diePresse.com will anscheinend nicht das INet-User ihre Cookies löschen!?

Es ist vielleicht intelligenter, Cookies erst dann zu löschen, wenn sie nicht mehr gebraucht werden. Also erst nach Verlassen der betreffenden Website und nicht mittendrin während man sich dort bewegt.

Am einfachsten ist es, wenn man den Browser so einstellt, dass der Verlauf und Cookies nach jedem Beenden des Browsers automatisch komplett gelöscht werden.
Antworten Antworten Gast: colorfulfoxes
03.10.2011 07:54
» melden » antworten
0 0

Re: Re: diePresse.com will anscheinend nicht das INet-User ihre Cookies löschen!?

Und die Flash-Cookies nicht vergessen, die um ein Eck penetranter sind. Für den FF gibts dafür Erweiterungen um Diese ebenso beim Schließen des Browsers zu löschen.
Gast: Na sowas aber auch!
28.09.2011 16:09
» melden » antworten
0 0

Was jeder leicht nachforschen kann:

Ehrenamtlich tätige Menschen sind dank Google SOFORT als solche zu erkennen, auch Sportler, die an Turnieren teilnehmen. Teilweise fordern Vereine von Mitgliedern nicht nur die postalische Adresse, nein auch Emailadresse und Hdy-Nr.

Das steht dann absolut frei zugänglich im Internet.

Auch geben Gebietskörperschaften immer wieder offen zu, Daten verschlüsselt weiterzuverkaufen.

Wer gar eine Kundenkarte hat, dessen Einkäufe sind bis auf den Cent und jahrelang nachzuverfolgen.

Noch nie war es so leicht, die Leute systematisch zu erfassen.

Ist oft nicht schlecht, oft schon. Es muß sich halt jeder selbst überlegen, was man so von sich preisgibt...
Antworten Gast: wiener12345
28.09.2011 17:28
» melden » antworten
0 0

Re: Was jeder leicht nachforschen kann:

soll ich ihnen mal einen geilen Trick zum herausfinden vieler Telefonnummern und Adressen zeigen?

http://www.herold.at/telefonbuch/
Antworten Antworten Gast: Na sowas aber auch!
29.09.2011 08:57
» melden » antworten
0 0

Kontra:

...und wenn ich eine Geheimnummer habe, bin ich nicht ersichtlich!
Gast: Ganzneutral
28.09.2011 15:56
» melden » antworten
1 0

Ach, es geht doch nicht um Datensicherheit

hier geht es den meisten wohl nur darum den Datenschutz auf die Spitze zu treiben und je nachdem wer der Geschaedigte ist haut dann eine der politischen Parteien in die gleiche Kerbe um die Schwarzen, Roten, Blauen oder Gruene irgendwie schlecht aussehen zu lassen. Dabei sammelt keiner soviel Daten und geht so locker damit um wie gerade staatliche Stellen. Wir aber denken, der Staat oder eine der Parteien waere auf unserer Seite und lassen uns dann dazu verleiten Anonymous Beifall zu zollen. Dabei gehoeren diese Leute genauso hinter Schloss und Riegel wie jemand der eine Bank ausraubt und dann behauptet, die Tuer waere doch offen gewesen. Pluendern nennt man so etwas. Also Daten-Pluenderei. Was soll daran so gut sein und warum verteidigen wir auch noch diese Kriminellen ? Es kann doch nicht sein, dass wir auf der einen Seite die Murdoch Presse in England wegen Datenhacking am liebsten enteignen wollen, aber Wikileaks und Anonymous - die eigentlich das Gleiche tun - in den Himmel loben. Messen wir mit zweierlei Mass ? Oder haben wir ganz einfach keine ethisch - moralische Richtschnur mehr in diesem Land? Sind also auch nur noch ein pragmatisches Abziehbild der von uns als "beliebig" kritisierten Politikerriege. Man sagt ja immer: jedes Land hat die Politiker die es verdient.....
Gast: irgendwas
28.09.2011 14:43
» melden » antworten
0 0

Ein Spiel

Spielen wir das Spiel doch mal etwas weiter: Was wäre wenn die Angaben über den vermeintlich sicheren Transport der Daten eine absolute Lüge ist und diese Daten schlichtweg und vorallen aus Kostengründen nur irgendwo hochgeladen werden?
Antworten fefe
28.09.2011 15:27
» melden » antworten
1 0

Re: Ein Spiel

Also ich habe inzwischen von mehreren Firmen, die u.a. die Internet-Nutzung propagieren, davon leben und dazu auch Dienste und Technologien anbieten durchwegs gehört, dass diese ihre eigenen geheimen Daten mit einem absolut vertrauensvollen Boten auf Datenträger transportieren. Auch gerne um die halbe Welt und daher nicht gerade kostengünstig. Also jene, die uns VPNs etc. als sicher verkaufen.

Wenn ein Rechner irgendwie über das Internet erreichbar ist, dann kann man mit mehr oder weniger Aufwand die Daten davon herunterholen.

Im Gegensatz zu einem Einbruch in ein Haus hat man dazu alle Zeit dieser Welt. Wenn man eine Woche Zeit hat, dann kann man auch jeden noch so starken Tresor knacken. Es gibt keine absolute Sicherheit.

Die Sicherheit bei den körperlichen Dingen liegt nur darin, dass einem Dieb nur eine bestimmte Zeitspanne zur Verfügung steht. Es sind also nur Barrieren, die hoch genug sind, bei Daten aber nie hoch genug sein können.

Deswegen ist Daten-Diebstahl immer möglich, so lange es irgendeine Verbindung zum Internet gibt resp. Daten übers Internet bewegt werden.

Um sichere Daten haben zu können muss man auf den Komfort, den das Internet bietet verzichten. Da das heute in vielen Bereichen nicht mehr praktikabel ist, müssen die Strafen für Einbrechen in Datensysteme erheblich verschärft werden.

Genauso wie man ja leicht jemanden umbringen kann. Deswegen kann man als Protest dagegen, dass das möglich ist auch keine Massenerschießungen veranstalten.
Antworten Antworten der-schlingel
28.09.2011 16:59
» melden » antworten
0 0

Re: Re: Ein Spiel

Mit dem Unterschied dass in Ihrem Beispiel der Staat uns keine Wohlhauberl aufsetzt und meint wir wären jetzt sicher gegen das Erschießen ...
 
1 2 3

Sommer-Gadgets

Top-Themen

Meistgelesen Tech

Quiz

Technik im Bild