Sven Fassbender – Mit Hacking die Datensicherheit im Schweizer Gesundheitswesen schützen

Berühmt wurde Sven Fassbender durch die Aufdeckung der Sicherheitslücken der Plattform meineimpfung.ch

Er ist Geschäftsführer und Mitgründer der ZFT.COMPANY und hat in zahlreichen Unternehmen im IT-Bereich gearbeitet.

Sven Fassbender äussert, dass man dies sagen darf. Aber es beschreibt nicht alles, was er ist und was er macht.

Seit 8 Jahren lebt Sven Fassbender mit seiner Familie in der Schweiz. Vor IT-Security war er noch in vielen anderen Bereichen tätig: Angefangen hat er als Elektroniker für Betriebstechnik, hat in verschiedensten Unternehmen und Gewerken gearbeitet, industrielle Backöfen repariert, in Luxemburg mit Softpaddles getraded und Schnittstellen für das Krankenhausinformationssystem entwickelt. Letztendlich ist er in der IT-Security gelandet, was ihn immer wieder aufs Neue fasziniert und seine Neugierde weckt.

Tatsächlich hat sich Sven Fassbender schon früh für Hacking interessiert. Mit 13 Jahren begann er mit seinem Bruder Online Spiele zu hacken und andere damit über den Tisch zu ziehen. Lustigerweise haben viele Hacker so angefangen, es bestehe eine grosse Motivation in Online Spielen nicht ehrlich zu sein. Hacking ist ein Ausnützen von Schwachstellen im System.

Es gibt heute Studiengänge, welche sich mit dem Thema Informationssicherheit auseinandersetzen. Er selbst hat keinen solchen Abschluss, sondern sich die Praxiserfahrung angeeignet. Hacker oder Hackerin sollte man nicht wegen des Geldes werden. Wichtiger ist die Motivation, die Neugierde an der Technik und die Zusammenhänge dahinter für diesen Beruf.

Ausschlaggebend war für Sven Fassbender, dass er ein starkes Gerechtigkeitsbedürfnis hat. Er möchte mit gutem Gewissen schlafen gehen.

Sven Fassbender selbst ist nicht im Darknet unterwegs und kann deshalb nicht sagen, was damit gemacht wird. Muss sich aber im Klaren sein, dass Gesundheitsdaten einen viel höheren Wert haben als finanzielle Daten. Das liegt daran, dass diese Daten auch in 30 Jahren noch eine Relevanz haben können. Gerade bei Erbkrankheiten kann das Auswirkungen auf die Kinder haben, wenn diese Daten öffentlich werden.

Sven Fassbender äussert, dass die Plattform nicht gehackt wurde, sondern seine Kollegen und er die Sicherheitslücken und Unzugänglichkeiten aufgedeckt haben. Diese waren vorher bereits vorhanden. Er selbst hat sich in dieses Register zuvor eingetragen und schnell bemerkt, dass diese Plattform Schwachstellen hat. Auf der Patientinnen- und Patientenseite haben sie gravierende Sicherheitsmängel gefunden, die nicht in nationalen Registern vorhanden sein sollten. Anschliessend untersuchten sie, ob man mittels Registration als Arzt oder Ärztin mehr Einsicht in die Daten habe und wie dort mit der Datensicherheit umgegangen wird. Bei der Registrierung als Arzt oder Ärztin gab es keinen ordentlichen Prozess und es konnte ohne Probleme ein Konto eröffnet werden mit einem Formular. Zwar brauchte man die FMH Nummer, diese ist aber schnell einholbar und wurde nicht kontrolliert, ob diese mit der registrierten Person auch übereinstimme, beispielsweise mittels ID. Die Plattform war mit dieser Registration erweitert einsehbar, man konnte auf Datensatz zugreifen und sich beispielsweise Covid Zertifikate beschaffen.

Laut Sven Fassbender machte es in diesem Fall Sinn, mit den Journalistinnen und Journalisten zusammenzuarbeiten, weil diese Mängel die Öffentlichkeit stark interessierte. Das Ziel war die Betroffenen zu schützen. In dem Fall sind das die registrierten Personen und die Ärztinnen und Ärzte. Das Problem ist, dass oft nicht so reagiert wird, wie man es sich wünscht, wenn man auf die Herstellerin oder den Hersteller zugeht.

Input Alfred Angerer: Was machen die Betreiberinnen und Betreiber wenn sie informiert werden?

Sven Fassbender: In der Regel unter den Teppich kehren, im schlimmsten Fall bekommen sie Post von Anwältinnen oder Anwälten.

Das hing damit zusammen, dass Sven Fassbender mit jemandem der Republik auf Twitter vernetzt war, sie kontaktierte und ihrerseits Interesse an der Geschichte vorhanden war.

Wie das aus journalistischer Sicht ist, kann Sven Fassbender nicht beantworten. Journalistische Fachpersonen müssen mit unabhängigen Massnahmen validieren, ob die bekommenen Informationen auch wirklich wahr sind. Der Artikel wurde veröffentlicht und es war zunächst unklar, wie es weitergehen würde. Doch die Medienaufmerksamkeit war gross, es wurden Aufnahmen angefertigt und Sven Fassbender fand, dass Aufmerksamkeit nicht schadet.

Für sie als Team wurden die Ziele erreicht. Die Plattform wurde abgeschaltet und die Betroffenen somit umgehend geschützt. Das BAG hat beschlossen, den Aufbau der Plattform selbst in die Hand zu nehmen, was laut Sven Fassbender gut herausgekommen ist.  

Sven Fassbender äussert sich skeptisch. Die Daten liegen aktuell beim Kanton Aargau. Die Datenlage sei aber extrem schlecht, denn die Identifikation fand nur über E-Mail-Adresse statt. Und das sei kein Merkmal, dass nur eine Person kennt und ist somit keine Sicherheit für eine Identifikation. Der Datenschutz hat davon abgeraten, auf dieser Basis Entscheidungen zu treffen.

Eine solche zentrale Aufgabe sollte nicht an eine Stiftung übertragen werden. Es braucht viele Kontroll- und Qualitätsmechanismen, um entsprechend seitens des Bundes die Sicherheit solcher Daten gewährleisten zu können. Der Bund hat die Entscheidung getroffen, dies selbst in die Hand zu nehmen, hat verschiedene Expertinnen und Experten miteinbezogen und wurde vom nationalen Institut für Cybersicherheit begleitet.

Sven Fassbender kann nicht bestätigen, dass dies zugenommen hat, hofft es aber. Auch dass solche Personen, die Mängel entdecken, diese auch melden. Es kann im wirtschaftlichen Bereich sehr hilfreich sein, wenn man hinterfragt, Wissen einsetzt und darüber berichtet. Es braucht Courage, aber es würde es jedem empfehlen, der in diesem Bereich tätig ist.

Sven Fassbender und sein Team wurden von ihren Konkurrenten kontaktiert, die sich für mehr Aufträge bedankt haben. Aber in der Regel sei es nicht so, dass sie dadurch einen Auftrag bekommen würden. Eine Kundin oder ein Kunde entscheidet aus anderen Gründen mit dem Unternehmen zusammenzuarbeiten. In der Schweiz wird man durch eine solche Aufdeckung eher als "Nestbeschmutzer" wahrgenommen. Es wurden also keine nennenswerten Vorteile daraus gezogen, das sei laut Sven Fassbender aber kein Problem, weil das nie das Ziel war.

Im Anschluss haben sie Plattformen unter die Lupe genommen, bei denen sie bereits registriert waren oder man sich registrieren kann. Dabei sind sie auf das nationale Organspenderegister Swisstransplant gestossen und haben signifikante Mängel bei der Registration und Identifizierung entdeckt. Gemeinsam mit dem SRF haben sie dies analysiert und einen Rechtsprofessoren als Experte hinzugezogen, welcher den Mangel bestätigt hat. Es bestand also ein Handlungsbedarf. Leider waren die Registerbetreiberinnen und Registerbetreiber uneinsichtig, was die Mängel betraf. Die eidgenössische Datenschutzbeauftragung hat sich darauf eingeschaltet, damit diese Mängel behoben werden. Vor vier Wochen hat das Unternehmen entschlossen, das Register einzustellen, weil diese Mängel nicht behoben werden konnten.

Sven Fassbender kennt sich hier im Detail nicht aus. Er weiss, dass diese Fachperson ein Verfahren eröffnen kann und die Betreiberin oder der Betreiber ist angehalten, mit dieser Person zusammenzuarbeiten und Empfehlungen auszusprechen.  

Es gibt Bereiche, wo eine Zentralisierung Sinn macht. Grundsätzlich gilt: Dezentrale Lösungen wie Spendekarten im Portemonnaie oder Patientenverfügungen sind sehr sinnvoll. Die meisten Organspenden werden über Patientenverfügungen abgehandelt und das funktioniert sehr gut. Sven Fassbender sieht aber auch den Mehrwert der Zentralisierung, um die Möglichkeit zu haben, bei Bedarf eine zentrale Stelle angefragt werden kann.  

Sven Fassbender und sein Team machen Beratungen für Informationssicherheit. Die meisten kommen und möchten gehackt werden. Es lohnt sich hier eine solche Dienstleistung zu beziehen, bevor die Lösung eines Softwareherstellers evaluiert wurde, um zu schauen, ob diese Lösung auch wirklich passt und sicher ist.

Diese Frage bestätigt Sven Fassbender. Kundinnen und Kunden seien Startups oder Konzerne, die Software entwickelt. Sie bieten Workshops für Entwicklerinnen und Entwickler und Systemarchitektinnen und Systemarchitekten an, wo Methoden gelernt werden, wie man Software sicherer entwickeln kann. Eine 100% Sicherheit gibt es nicht, aber es ist wichtig, die verbleibenden Risiken zu kennen und diese zu dokumentieren.  

Laut Sven Fassbender gibt es das, er ratet aber davon ab. Man weiss, dass Fishingkampagnen auch nach 4-maliger Durchführung eine Durchfallquote von bis zu 40% betragen. Das Ziel ist erst erreicht, wenn die Zahl 0 erscheint. Sobald aber eine Mitarbeiterin oder ein Mitarbeiter eine solche Mail öffnet, kann das versteckte Programm bereits ein Spital angreifen. Deshalb ist es in einem ersten Schritt wichtiger, Softwarelösungen zu bauen, die dem Bedürfnis der Usability und Sicherheit gerecht werden.

Input Stefan Lienhard: Statt in Mitarbeitende in Softwarelösungen und Infrastruktur investieren?

Sven Fassbender: Es braucht beides. Die besten Softwares nützen nichts, wenn Mitarbeitende immer wieder auf Fishingkampagnen reinfallen. Das wichtigste ist, eine solide IT-Basis zu schaffen und anschliessend mit Mitarbeitenden über Awareness bei Datensicherheit zu sprechen.  

Sven Fassbender bestätigt, dass dies ein guter Angriff sei, wenn man einen USB-Stick liegen lässt oder jemandem diesen in die Tasche steckt.

Grundsätzlich können kleine Unternehmen davon profitieren, die Frage ist, wo man ansetzt. Das grosse Problem bei solchen Unternehmen ist, dass sie extrem abhängig davon sind, was auf dem Markt angeboten wird. Wären beispielsweise alle Softwarelösungen gleich unsicher, besteht kein Anreiz, diese sicherer zu gestalten.

Bisher wurde Sven Fassbender nicht für eine Evaluation angefragt, das heisst aber nicht, dass diese das nicht machen. Er glaubt, dass die grösste Herausforderung für KIS-Anbieterinnen/Anbieter die Anwendung von Medizinalgeräten sei. Die meisten Geräte unterstützen keine Verschlüsselung. Zwar existieren Schnittstellen auf KIS Seite und in den Geräten, dazwischen wird aber unverschlüsselt kommuniziert, was sehr vulnerabel ist.  

Sven Fassbender äussert, dass es immer von Vorteil sei, wenn man mit Personen auf Augenhöhe sprechen kann. Gerade im Spital ist dies sehr hilfreich, wenn man auch eine Antwort bekommt.

Grundsätzlich ist die Bevölkerungsrückmeldung positiv. Die Unternehmen sind nicht sehr angetan von solchen Mängelaufdeckungen, doch die Ziele wurden erreicht, indem die Betroffenen geschützt wurden und aus Betreiberinnen- und Betreibersicht verstanden wurde, dass es Probleme gab. Der Bund hat akzeptiert, dass es manchmal besser ist, wenn sie gewisse Projekte selbst in die Hand nehmen.

Diese These trifft laut Sven Fassbender zu, es sei keine allgemeine Empfehlung mehr. Sinnvoller sind Zweifaktor oder Multifaktor Authenticator. Denn auch wenn das Passwort gehackt wurde, kann eine angreifende Person den Benutzer nicht einfach authentifizieren.  

Sven Fassbender empfiehlt Smart Cards, welche man auflegen muss. Dazu kommt eine Zweifaktor Authenticator zum Beispiel mit einem Authenticator-App für das Smartphone. Das sei aus seiner Perspektive nicht zu viel verlangt.

Sven Fassbender meint, dass wir noch nicht dort sind, wo wir hinmüssen, aber auf einem guten Weg seien. Es liegt an den Leistungserbringerinnen und Leistungserbringer, den Verantwortlichen in den Spitälern und an den Software Geräte Herstellerinnen und Hersteller Transparenz und Sicherheit einzufordern. Solange noch Produkte gekauft werden, die bereits heute zu wenig sicher sind, haben wir ein Problem.

Es gab in der Vergangenheit bereits mehrere Datenskandale. Sven Fassbender ist sich sicher, dass es auch Skandale im Spitalumfeld gab, wo betroffene Patientinnen und Patienten nicht über diese Vorfälle informiert wurden. Das sei ein Problem. Auch sollten Personen, denen Missstände im Spital auffallen, diese offen kommunizieren können und Schutz erhalten, damit sie nicht mit einer Strafe rechnen müssen für ihre Aufmerksamkeit und Courage. Sven Fassbender hofft, dass mit der Revision des Datenschutzgesetzes eine Besserung folgen wird, denn in Zukunft müssen Vorfälle gemeldet werden.  

Das sei eine schwierige Frage. Sven Fassbender würde sich wünschen, dass die Leute misstrauischer sind gegenüber der eigenen Arbeit und Arbeit von anderen. Sie sollten ihren eigenen Mitarbeitenden und Patientinnen und Patienten möglichst transparent sein in dem was sie tun. Er findet es wichtig zu akzeptieren, dass es ein gewisses Mass an Unbequemlichkeit braucht, damit die Sicherheit gesteigert werden kann.  

Sven Fassbender empfiehlt regelmässige Backups und das Nutzen der Zweifaktor Authentifizierung wo überall möglich. Im Notfall sollte man diese auch einfordern. Ein Passwortmanager sei ebenfalls eine gute Empfehlung.

Sven Fassbender ist froh darüber, dass das Thema Cybersicherheit es in die Mainstream Medien geschafft hat. Das sei der erste Schritt, um die breite Masse anzusprechen. Nun liegt es an der Politik und den Vertreterinnen und Vertreter der Wirtschaft, die richtigen Entscheidungen zu treffen, die Weichen zu stellen und das entsprechende Geld in die Hand zu nehmen, um die Sicherheit auf nationaler Ebene zu gewährleisten. Den Föderalismus sollte in diesem Bereich laut Sven Fassbender etwas zurückgestellt werden, weil gewisse Sachen auf nationaler Ebene implementiert werden müssen, damit auf kantonaler Ebene weitergearbeitet werden kann.