RIJSWIJK · Fast eine Million Betroffene, Behörden alarmiert: Das Ausmaß des Hackerangriffs auf das niederländische Labor Clinical Diagnostics NMDL ist deutlich größer als bislang bekannt. Nach Angaben von Bevolkingsonderzoek Nederland sind die Daten von insgesamt rund 941000 Teilnehmerinnen am Gebärmutterhalskrebs-Screening potenziell betroffen. Bestätigt sind bisher 715000 Fälle, doch das Labor kann nicht ausschließen, dass sämtliche Datensätze kompromittiert wurden. Die Behörden warnen vor Betrugsversuchen und kündigen Ermittlungen an.

Das Datenleck betrifft Informationen, die seit 2017 zwischen Bevolkingsonderzoek Nederland und dem Labor in Rijswijk ausgetauscht wurden. Darunter fallen Namen, Adressen, Geburtsdaten, Bürgerservicenummern sowie Angaben zu Art und Ergebnis der Untersuchung und die Namen der behandelnden Hausärzte. Nach Angaben von Bevolkingsonderzoek Nederland wurden weder Telefonnummern noch E-Mail-Adressen weitergegeben. Dennoch sei es möglich, dass über andere Auftraggeber des Labors weitere sensible Daten in die Hände der Angreifer gelangt sind.

Chronologie der Enthüllungen

Anfang August hatte Clinical Diagnostics zunächst 485000 Betroffene gemeldet. In der vergangenen Woche kamen fast 230000 hinzu. Damit stieg die Zahl der bestätigten Fälle auf 715000. Da das Labor die tatsächliche Dimension jedoch nicht sicher eingrenzen kann, entschied Bevolkingsonderzoek Nederland, vorsorglich alle rund 941000 Teilnehmerinnen zu informieren, deren Daten seit 2017 verarbeitet wurden.

Medienberichte wie NOS und De Telegraaf sprechen sogar von bis zu 850000 Datensätzen, auf die Hacker bereits nachweislich Zugriff hatten. Laut AD und RTL Nieuws sollen Teile der gestohlenen Informationen inzwischen im Darknet veröffentlicht worden sein, darunter auch Datensätze prominenter Personen.

Reaktionen und Entschuldigung

„Die Menge der geleckten Daten ist schockierend“, erklärte Elza den Hertog, Vorstandsvorsitzende von Bevolkingsonderzoek Nederland. Man finde es „verschreckend, dass nicht ausgeschlossen werden kann, dass noch mehr Menschen betroffen sind“. In einem offiziellen Schreiben entschuldigte sich die Organisation ausdrücklich bei den Betroffenen.

Auch die Patient*innenorganisation Patiëntenfederatie Nederland zeigte sich bestürzt. Laut De Telegraaf warnte sie, dass das Vertrauen in staatliche Vorsorgeprogramme Schaden nehmen könnte, wenn die Sicherheit sensibler Gesundheitsdaten nicht gewährleistet werde.

Ermittlungen laufen

Parallel haben mehrere Behörden ihre Untersuchungen aufgenommen. Die Inspectie Gezondheidszorg en Jeugd, die Autoriteit Persoonsgegevens sowie das Openbaar Ministerie prüfen, wie es zu dem Vorfall kommen konnte. Clinical Diagnostics kündigte an, die Ursachen der Cyberattacke umfassend zu untersuchen und seine Systeme zu verstärken.

Demissionair Staatssekretärin Judith Tielen sprach von einem „erschütternden Vorfall“ und betonte, dass künftig möglicherweise weniger Daten für Screeningprogramme erhoben werden sollen, um das Risiko zu verringern.

Folgen für die Betroffenen

Die Gefahr von Identitätsbetrug, Phishing-Mails und missbräuchlicher Nutzung medizinischer Informationen ist erheblich. Deshalb bereitet Bevolkingsonderzoek Nederland die Zustellung von rund 941000 Briefen vor. Darin soll genau erklärt werden, welche persönlichen Daten weitergegeben wurden und welche Schutzmaßnahmen empfohlen werden. Die ersten Schreiben werden in etwa zwei Wochen erwartet.

Bis dahin empfiehlt die Organisation allen Teilnehmerinnen, besonders wachsam auf verdächtige Post, Telefonate oder E-Mails zu achten.