Web

USA: Daten von 185.000 Patienten geklaut

12.04.2005

MÜNCHEN (COMPUTERWOCHE) - Nun schon zum wiederholten Mal sind massenhaft Daten von Bürgern entwendet worden. Die San Jose Medical Group, ein Netzwerk von Ärzten und Gesundheitsvorsorgedienststellen im kalifornischen Silicon Valley, hat auf ihrer Homepage eingestehen müssen, dass am 28. März 2005 Daten von 185.000 Patienten entwendet wurden. Hierbei gerieten Namen, Adressen und vertrauliche medizinische Informationen in unbefugte Hände.

Ungewöhnlich an dem kriminelle Akt war die Art des Datenklaus: Einbrecher hatten sich gewaltsam Zugang zu den Räumen der SJMG verschafft und dort zwei gerade erst angeschaffte Dell-Rechner entwendet. Auf diesen waren die Daten gelagert. Ironischerweise waren diese Informationen gerade erst von SJMG-Mitarbeitern von Servern in einem Sicherheitsbereich auf die PCs überspielt worden. Mike Patel, als Vice-President bei der Medical Group für deren Informationstechnologie zuständig, sagte, man glaube, dass es dem Täter nicht um die Daten auf den gestohlenen Rechnern zu tun gewesen sei. Vielmehr seien die Dell-Maschinen brandneu gewesen, weswegen man davon ausgehe, dass der Einbrecher an den Rechner interessiert war. Allerdings mindert diese Aussage die Brisanz des Datenklaus in keiner Weise.

Der Vorfall an der SJMG ist darüber hinaus kein Einzelfall: Gerade erst einen Monat ist es her, dass der University of California Berkeley ebenfalls ein Laptop aus einem ihrer Verwaltungsräume entwendet wurde. Auf diesem lagerten die Daten von 98.000 Studenten und Berkeley-Bewerbern. Bereits im August 2004 hatte ein Krimineller erfolgreich 1,4 Millionen Datensätze mit persönlichen Informationen von einem Rechner abgezogen, der ebenfalls an der kalifornischen Eliteuniversität stand.

Vergangenen Monat hackten sich Kriminelle in die Datenbanken der Lexis-Nexis-Gruppe ein. Hierbei handelt es sich um einen kommerziellen Anbieter von Daten, bei dem sich beispielsweise auch die US-Sicherheitsbehörde Transportation Security Administration (TSA) für die Verifizierung von Kundendaten bedient. Bei dem Hack sollen Daten von mindestens 32.000 Personen entwendet worden sein.

Im Februar hatten Hacker vertrauliche Daten zu 145.000 Bürgern von den Servern der US-Firma Choicepoint Inc. gestohlen. Choicepoint hatte die Datenkatastrophe bestätigt und vorsichtshalber entsprechende Informationen an alle 145.000 möglicherweise Betroffenen geschickt. Wie viele Menschen aus der Datensammlung tatsächlich zu Schaden gekommen sein könnten, konnte Choicepoint dabei nicht einmal sagen.

Big-Brother-Unternehmen wie Choicepoint fungieren in den USA ähnlich der Schufa in Deutschland. Deren Geschäftsmodelle beruhen darauf, möglichst viele Daten von Bürgern zu sammeln und Teile davon etwa für Marketingaktionen an dritte Firmen zu verkaufen. Zu den Daten, die seinerzeit in falsche Hände gerieten, gehörten Namen, Adressen, Führerscheinnummern, Nummern auch von Sozialversicherungen oder so brisante Angaben wie Insolvenzverfahren und Bonität-Statusberichte. Auch Angaben zu Forderungs- oder Lizenzverfahren hatte Choicepoint gesammelt.

Die Bank of America Corp. hatte die Öffentlichkeit vor rund sechs Wochen mit der Nachricht konfrontiert, dass ihr Backup-Computerbänder abhanden gekommen seien, auf denen Kreditkartenaufzeichnungen von US-Senatoren und mehr als einer Million US-Regierungsangestellten gespeichert waren. Die Informationen über die Zahl der Betroffenen gehen dabei auseinander: Angeblich sind bis zu 2,1 Millionen US-Bürger von dem Datenklau der Bank of America betroffen.

Ebenfalls vergangenen Monaten kamen ferner dem Massenvertreiber Retail Ventures Inc. aus Columbus, Ohio, in seiner Ladenkette DSW Shoe Warehouse Kreditkarten- und Käuferdaten von 103 der insgesamt 175 DSW-Warenhäuser abhanden. Diese Daten wurden nach den vorliegenden Informationen für betrügerische Aktivitäten von Kriminellen benutzt. Drei Monate hatte dieser heimliche Datenabzug gedauert, bis er Anfang März aufgedeckt wurde. (jm)