Der Vastaamo-Skandal immer noch nicht geklärt

Am 29. September musste das Psychotherapiezentrum Vastaamo ein Datenleck einräumen und einige Tage später wurden die ersten Anzeigen bei der Polizei erstattet: Patienten von Vastaamo haben Erpressungsmails erhalten, in denen von ihnen 200€ in Bitcoins verlangt wurden, wenn sie nicht wollen, dass ihre Therapietagebücher und andere vertrauliche Dokumente nicht im Internet veröffentlicht werden. Die Daten von mindestens 300 Personen wurden für einige Stunden ins Netzwerk Tor gestellt und von mehreren Personen heruntergeladen. Deswegen ist unklar, ob die Erpressermails vom Hacker selbst kommen oder von einer anderen Person.

Zunächst hat das Privatunternehmen die Anzahl der Opfer auf ca. Tausend geschätzt, was sich als eine enorme Unterschätzung erwiesen hat. Ende November waren es schon ca. 25.000, die den Datendiebstahl gemeldet hatten und durch den Hackerangriff waren ungefähr 40.000 Personen betroffen. Die gestohlenen Daten reichen bis ins Jahr 2018 zurück.

Anfang November wurde dem Geschäftsführer von Vastaamo Ville Tapio gekündigt, als aufgedeckt wurde, dass er einen früheren Hackerangriff vor eineinhalb Jahren vertuscht hatte.

Außerdem wurde Vastaamo schon 2015 und 2017 von der Gesundheitsbehörde THL (Terveyden ja hyvinvoinnin laitos, Institut für Gesundheit und Wohlbefinden) dazu aufgefordert, dem System zur Bewahrung der gesundheitlichen Daten Kanta beizutreten. Vastaamo ist dieser Aufforderung aber nicht nachgekommen, obwohl alle Unternehmer der Gesundheitsbranche gesetzlich dazu verpflichtet sind, Kanta zu benutzen, wenn Patientendaten langfristig digital gespeichert werden. Allerdings hat Vastaamos Verweigerung keine Konsequenzen mit sich gezogen.

Die andere Lösung wäre gewesen, alle Daten auf Papier aufzubewahren. Jedoch ist nicht klar festgelegt, ab wann die Speicherung der Daten als „langfristig“ gelten soll. Darüber hinaus hat Vastaamos ehemaliger Vorsitzender Tuomas Kahri behauptet, Psychotherapiedaten gehören nicht unbedingt in Kanta. Die eigene Verantwortung von Vastaamo in der Affäre muss geklärt werden und gegebenenfalls könnte dem Unternehmen eine Geldstrafe von mehreren Millionen Euro drohen.

Die neue Vorsitzende und Geschäftsführerin Heini Pirttijärvi hat versichert, Vastaamo arbeite sehr viel daran, diese Krise zu überstehen. Viele neue Mitarbeiter wurden eingestellt und eine spezielle Telefonleitung wurde für die betroffenen Patienten zur Verfügung gestellt. Viele möchten nämlich wissen, welche Daten gestohlen wurden und wie sie sie zurückbekommen. Vastaamo hat den Opfern versprochen, ihnen nach spätestens einem Monat mitzuteilen, welche Daten gehackt wurden. Dazu wurde den Opfern der Erpressung eine finanzielle Hilfe versprochen, aber die Höhe der Summe bleibt noch offen.

Viele Fragen stellen sich, was die Identität des Hackers angeht: Handelt es sich um eine oder mehrere Personen? Wegen des Stils der E-Mail wird ein Finnlandschwede oder ein Ausländer vermutet. Der Hackerangriff könnte auch von einem anderen Staat in Auftrag gegeben worden sein. Auch die Motivation ist unklar. Geht es nur um Geld oder will jemand Unruhe stiften? Möglicherweise ist der Hacker ein (ehemaliger) Mitarbeiter von Vastaamo, der sich an der Firma rächen will. Ob dieser Hackerangriff mit dem ersten von 2018-2019 zusammenhängt ist auch unklar.

Die finnische Zentralkriminalpolizei arbeitet mit Europol und der UNO zusammen, um die Verantwortlichen aufzuspüren. Es stellt sich außerdem die Frage, ob die Hacker und Erpresser im Laufe der Zeit gewechselt haben. Der Urheber des Verbrechens soll jedenfalls kein Hacker-Profi sein, denn sein Vorgehen sei laut Spezialisten ziemlich einfach gewesen und er hat Fehler begangen. Zum Beispiel musste er die Erpressermail zweimal schicken, da in der ersten Version der Link nicht funktionierte. Im November hat er 10 Gigabits Daten veröffentlicht, was ihren Wert als Erpressungsmittel verringert.

Mitte Dezember hat die Polizei durch Haus- und Gerätedurchsuchung Hinweise gefunden, die sie auf die Spur des Täters bzw. der Täter lenken könnten. Diese Informationen können aber noch nicht veröffentlicht werden, um die Ermittlung nicht zu gefährden.

In seiner Neujahrsansprache hat der finnische Präsident Sauli Niinistö im Rahmen der Staatssicherheit u.a. auf die Datensicherheit in der Gesundheitsbranche hingewiesen.