Veröffentlichung persönlicher Daten von Spielsüchtigen durch einen Cyberangriff ruft Behörden auf den Plan.
Ein folgenschwerer Sicherheitsvorfall bei der Schweizer Stiftung Radix erschüttert das Vertrauen in den Datenschutz psychosozialer Dienste. Nach einem gezielten Cyberangriff durch die Hackergruppe "Sarcoma" landeten umfangreiche Datenpakete im Darknet, die insbesondere Personen betreffen, die aufgrund ihrer Spielsucht mit Radix in Kontakt standen. Die Betroffenen hatten meist Anträge zur Aufhebung ihrer Casinosperren gestellt oder befanden sich in laufender Betreuung.
Vertrauliche Daten kompromittiert: Ein Überblick
Laut Informationen des Bundesamts für Cybersicherheit (BACS) informierte Radix die Behörden unmittelbar nach Bekanntwerden des Angriffs am 16. Juni. Trotzdem wurde der Angriff nicht verhindert.
Die Hackergruppe stellte bereits kurze Zeit später 1,3 Terabyte Daten ins Darknet. Es handelt sich um eines der größten dokumentierten Leaks im Zusammenhang mit einer Gesundheitsorganisation in der Schweiz.
Art und Umfang der geleakten Informationen
Die entwendeten Daten gehen weit über einfache Kontaktinformationen hinaus. Enthalten sind unter anderem:
- Persönliche Angaben wie Name, Geburtsdatum, Wohnadresse
- Informationen über Schulden, Betreibungen und Einkommensnachweise
- Auszüge aus psychologischen Gesprächen und Therapieprotokollen
- Notizen aus Gruppensitzungen mit hochpersönlichen Erlebnissen
Ein besonders sensibler Fallbericht beschreibt:
„Frau X. kann sich gut einbringen. Inzwischen von Partner getrennt, nachdem er sie bedroht hat. Polizei. Mit 10-monatigem Baby ins Frauenhaus geflüchtet."
Solche Informationen gehören zu den schützenswertesten Daten im Gesundheitswesen.
Kritik an Radix' Informationspraxis
Viele der Betroffenen äußerten Unverständnis darüber, dass sie über den Vorfall nicht direkt informiert wurden. Einige fanden Benachrichtigungen erst verspätet oder zufällig, andere erhielten gar keine Nachricht. In mehreren Fällen wurde die Relevanz der Nachricht nicht erkannt, da Radix aus Datenschutzgründen nicht explizit auf den Kontext einging.
Ein Betroffener erklärte:
„Ich wusste nichts von dem Vorfall. Erst als mich SRF kontaktierte, wurde mir klar, dass meine Daten betroffen sind."
Die kantonale Datenschutzbeauftragte forderte eine klarere und adressatengerechte Informationspolitik.
Maßnahmen und Konsequenzen
Nach dem Vorfall wurden interne Prozesse bei Radix überarbeitet. Laut Stellungnahme der Geschäftsleitung wurden:
- Die komplette IT-Infrastruktur neu aufgebaut
- Alle Passwörter geändert und sensible Daten getrennt archiviert
- Neue Schutzmechanismen für besonders kritische Datenbereiche eingeführt
- Externe Cybersicherheitsfirmen mit Tests und Prüfungen beauftragt
Außerdem sei eine neue Löschpraxis eingeführt worden, nachdem festgestellt wurde, dass Daten zum Teil zu lange gespeichert worden waren. Radix bemüht sich nun um Wiederherstellung des Vertrauens bei Betroffenen und Auftraggebern.
Swiss Casinos überprüft Zusammenarbeit
Swiss Casinos, das mit Radix im Bereich Spielerschutz zusammenarbeitet, äußerte sich in einer Mitteilung "bestürzt". Man habe selbst an der Benachrichtigung der Betroffenen mitgewirkt und wolle die Zusammenarbeit mit externen Partnern in puncto Sicherheit und Schnittstellen zukünftig noch intensiver überwachen.
Der Vorfall bei Radix stellt nicht nur ein gravierendes Versagen in puncto IT-Sicherheit dar, sondern verdeutlicht auch die dringende Notwendigkeit klarer Kommunikationsstandards bei Datenschutzverletzungen. Die betroffenen Personen zahlen nun den Preis für eine Verkettung technischer Schwächen und mangelhafter Aufklärung.
Bildquelle: Yamu_Jay @ Pixabay
