IK-News Nachrichten die man sonst nicht liest. Recherchiert, hinterfragt und interviewt.

Es gibt Bereiche in Infrastrukturen, die sollten unbedingt geschützt werden. Ganz sicher gehört dazu alles was in den Bereich von medizinischen oder Patientendaten fällt. Beim Test- und Erprobungsverfahren ORS 1 (Online Rollout Stufe 1) sind Unternehmen beteiligt, die sehr zweifelhafte Hintergründe haben. Werden hier der NSA und Bertelsmann die sensibelsten Bereiche auf dem Silbertablett serviert? Wir haben nachgeschaut.

Die ganzen Umstellungen wegen der elektronischen Gesundheitskarte haben Bundesweit für Aufregung gesorgt. Patienten und Datenschützer sind Sturm gelaufen und haben versucht die ambitionierten Projekte in dem Bereich zu stoppen. Nun geht es in die nächste Phase, betrachtet man worum es im Ganzen geht und welche Firmen beteiligt sind, ist ein flaues Gefühl im Magen obligatorisch.

Zunächst Informationen zu zwei besonders auffälligen Unternehmen, die einen Zuschlag erhalten haben. Zum Einen die Booz & Company – einer Abspaltung aus Booz Allen Hamilton, einem führendem Unternehmen im Bereich der militärischen Dienstleistungen für das US-Verteidigungsministerium – des weiteren Arvato.

Zu Arvato gibt es einiges was diametral den Interessen der Bürger und Patienten gegenübersteht und ein solches Unternehmen in derart sensible Bereich vordringen zu lassen, ist nahezu unglaublich. Einige Kurze Zitate:

Über das Tochterunternehmen AZ Direct GmbH ist arvato einer der bundesweit größten Anbieter im Adresshandel und Listbroking.
[…]
Parallel dazu hat der Mutterkonzern Bertelsmann SE & Co. KGaA ein Joint Venture mit der Deutschen Post AG, die Deutsche Post Adress GmbH & Co. KG. Über dieses Unternehmen werden u.a. die aus den Nachsendeaufträgen der Deutschen Post AG stammenden Umzugadressen vermarktet.
[…]
Social Media Monitoring
Mit dem Social Media Monitoring bietet arvato online services Unternehmen an, die Kommunikation in relevanten Foren, Blogs und Communities zu beobachten und über eine Beeinflussung zu beraten.
Zitat: „arvato online services, Full-Service-Dienstleister für Online-Marketing und Loyalty-Services, hat sein Portfolio um Social Media Monitoring erweitert. Unternehmen erhalten damit die Möglichkeit, relevante Foren, Blogs und Communities zu beobachten und die Darstellung des eigenen Portfolios und Images im Netz zu überwachen[1]

Was Booz & Company angeht, gab es bereits am 18.08.2013 einen Artikel bei Netzpolitik.org, der sich mit anderen sensiblen Bereichen der Infrastrukturen befasste. Dort heißt es:

Bundesregierung lässt sich von Booz beraten – kommt die NSA direkt in unsere kritische Infrastrukturen?
Der SPIEGEL berichtet in seiner aktuellen Ausgabe, dass das US-Beratungsunternehmen Booz jetzt unsere Bundesregierung berät:

Für einen Auftragswert zwischen 16,5 Millionen und 19,5 Millionen Euro solle die Firma die Regierung bei „strategischen IT-Grundsatzentscheidungen und deren Umsetzung in die Praxis unterstützen“. Der Vertrag umfasse Leistungen zu „Datenschutz“ und „Gewährleistung von Sicherheit“.

Die Bundesregierung habe im August einen Rahmenvertrag abgeschlossen.
[…]
Die Secartis AG, eine Tochter des internationalen Technologiekonzerns Giesecke & Devrient (G&D), wird in den kommenden drei Jahren für die eGovernment-Initiative BundOnline 2005 der Bundesregierung gemeinsam mit der Unternehmensberatung Booz Allen Hamilton Konzepte und Lösungen erarbeiten, um Behördengänge per Mausklick sicher zu gestalten.[2]

Einige Zeilen zu Booz Allen Hamilton:

Nähe zum amerikanischen Geheimdienst
In der Firma arbeiten verschiedene hochrangige Mitglieder aus den amerikanischen Geheimdiensten, unter anderem der ehemalige Gesamtleiter (Director of National Intelligence), John Michael McConnell und der ehemalige CIA-Leiter James Woolsey. Während der umstrittenen Weiterleitung von Bankdaten der SWIFT an die amerikanischen und europäischen Geheimdienste war die Firma als Kontrollorgan involviert. Laut dem Autor Tim Shorrock arbeiten über 1000 ehemalige Geheimdienstbeamte bei Booz Allen.

Von den mehr als 24.000 Mitarbeitern verfügen drei Viertel über eine Sicherheitsfreigabe (security clearance). Knapp die Hälfte haben eine Freigabe für die Geheimhaltungsstufe Top Secret.[3]

Das ist das „who is who“ der US-Geheimdienste. Wem es hier noch nicht die Sprache verschlägt, der muss ein sehr dickes Fell haben.

Kommen wir zurück zur Ausschreibung für die Infrastruktur der elektronischen Gesundheitskarte. Im einer Presseerklärung heißt es dazu:

eGK: gematik hat letzte Ausschreibungen für Online-Rollout vergeben
Die Zuschläge erhielten das Telekommunikationsunternehmen T-Systems International GmbH sowie die Bietergemeinschaft Booz & Company GmbH, CompuGroup Medical AG und KoCo Connector AG. Bereits in der letzten Woche war der Systemintegrator arvato Systems GmbH mit dem Aufbau eines sicheren Netzes als Plattform für die geplante Praxiserprobung in zwei Testregionen beauftragt worden.
[…]
Der Grundstein für den Bau einer Datenautobahn für das deutsche Gesundheitswesen ist nun gelegt. Mit der Vernetzung wird es zukünftig möglich sein, alle informationstechnischen Potenziale zur Unterstützung der Patientenversorgung zu nutzen“, betont gematik Hauptgeschäftsführer Prof. Dr. Arno Elmer.
[…]
Im Fokus stehen dabei die Online-Prüfung und -Aktualisierung der Versichertenstammdaten, die qualifizierte elektronische Signatur (QES) sowie ein sicherer Internetzugang für (Zahn)Arztpraxen.[4]

Nun da haben wir auch gleich den weiteren Schritt der Zertifizierung, auch auf die Gefahren in diesen Bereichen und dem wahrscheinlich bald flächendeckenden Ausbau haben wir bereits in etlichen Artikeln hingewiesen. Ich fühle mich auf jeden Fall nicht sicher, wenn ich mir ansehe wer dort für die wesentlichen Teile der Infrastruktur zuständig ist und dabei ist mir egal ob es entweder um einen möglichen Zugang der NSA zu den medizinischen Daten geht oder einer Firma die dafür bekannt ist sensible Daten zu verkaufen.

Carpe diem Danke an Chris der mich auf das Thema aufmerksam gemacht hat.

[1] http://de.wikipedia.org/wiki/Arvato
[2] https://netzpolitik.org/2013/bundesregierung-laesst-sich-von-booz-beraten-kommt-die-nsa-direkt-in-unsere-kritische-infrastrukturen/
[3] http://de.wikipedia.org/wiki/Booz_Allen_Hamilton
[4] http://www.e-health-com.eu/details-news/egk-gematik-hat-letzte-ausschreibungen-fuer-online-rollout-vergeben/a6b2155ee01acce84dee4af2cca2c983/