Eine halbe Million Briten hatten sich gemeldet, um bei der Bekämpfung von Krebs zu helfen. Ihre Daten wurden schließlich auf Alibaba zum Verkauf angeboten.
Die gemeinnützige Organisation UK Biobank hat die britische Regierung über einen Vorfall informiert, bei dem medizinische Daten von 500.000 britischen Bürgern auf der chinesischen E-Commerce-Website Alibaba zum Verkauf angeboten wurden.
Die nationale Datenschutzbeauftragte, Dr. Nicola Byrne, erklärte in einer Stellungnahme:
„Menschen, die ihre Gesundheitsdaten großzügig zur Verfügung stellen, damit andere durch medizinische Forschung davon profitieren können, erwarten zu Recht, dass diese Daten sicher aufbewahrt werden und dass bei Problemen Rechenschaft abgelegt wird.“
Beamte erklärten, die Forscher hätten die Daten im Rahmen eines rechtmäßigen Vertrags heruntergeladen, doch deren Auftauchen auf Alibaba zeige, wie ein „genehmigter“ Zugriff dennoch zu einer öffentlichen Bekanntmachung führen könne.
Die UK Biobank verfügt über mehr als 15 Millionen biologische Proben und detaillierte Gesundheitsdaten von Freiwilligen, die zwischen 2006 und 2010 rekrutiert wurden, und wird von Forschern weltweit zur Erforschung von Krebs, Demenz, Diabetes und anderen chronischen Erkrankungen genutzt.
Die UK Biobank schließt in der Regel Verträge mit geprüften Universitäten und privaten Unternehmen ab, bevor sie diesen Zugang zu den Daten gewährt; die Ermittler konnten die Alibaba-Inserate jedoch drei Forschungseinrichtungen zuordnen. Die UK Biobank entzog diesen den Zugang und setzte die Erteilung neuer Zugangsrechte aus, während sie ihre Sicherheitskontrollen verstärkt.
Mindestens ein Inserat soll Daten zu allen 500.000 Freiwilligen enthalten haben, und Alibaba sowie die chinesischen Behörden haben die Anzeigen entfernt, bevor jemand einen Verkauf bestätigen konnte.
Der Datensatz stammt aus der langjährigen Forschungskohorte der UK Biobank und umfasst genetische Sequenzen, Blutproben, medizinische Bilddaten sowie detaillierte Informationen zum Lebensstil, die für die globale Gesundheitsforschung genutzt werden.
Die UK Biobank betont, dass die Daten „anonymisiert“ waren, was bedeutet, dass sie keine Namen, Adressen oder NHS-Nummern enthielten. Sie enthielten jedoch weiterhin detaillierte demografische Angaben wie Geschlecht, Alter, Geburtsmonat/-jahr, sozioökonomische Indikatoren, Angaben zum Lebensstil und Gesundheitsdaten. Wir haben wiederholt festgestellt, dass solche Daten durch Abgleich mit anderen öffentlichen oder kommerziellen Datensätzen wieder mit einzelnen Personen in Verbindung gebracht werden können.
Warum China sich dafür interessiert
US-Geheimdienstberichte, politische Berichte und wissenschaftliche Arbeiten zeichnen ein einheitliches Bild: China betrachtet umfangreiche, vielfältige Datensätze zum menschlichen Genom und zur Gesundheit aus wirtschaftlichen und sicherheitspolitischen Gründen als strategische Ressource.
Das US-amerikanische National Counterintelligence and Security Center (NCSC) stellt ausdrücklich fest, dass die Volksrepublik China große Mengen an Gesundheits- und Genomdaten als „strategisches Gut“ betrachtet, um ihre Biotechnologie-, KI- und Präzisionsmedizinbranche voranzutreiben, und Milliarden in nationale Initiativen im Bereich Genomik und Präzisionsmedizin investiert hat.
Große Datensätze von nicht-chinesischen Bevölkerungsgruppen sind besonders wertvoll für die Entwicklung von KI-Modellen und die Verbesserung der globalen Wettbewerbsfähigkeit der chinesischen Pharma- und Biotech-Branche.
Aus der Perspektive eines Angreifers oder ausländischer Geheimdienste ist die UK Biobank ein „Kronjuwel“ unter den Datenbeständen: Sie ist sorgfältig zusammengestellt, von hoher Qualität, umfasst die gesamte Bevölkerung und ist weitaus nützlicher als zufällige Datenlecks. Und da genetische Daten unveränderlich sind (im Gegensatz zu einem Passwort können sie nicht ersetzt werden), hat jede Kompromittierung einen sehr langfristigen Wert für nachrichtendienstliche Zwecke.
Im vergangenen Jahr berichtete der Guardian, dass jeder fünfte erfolgreiche Antrag auf Zugang zur UK Biobank von chinesischen Einrichtungen stammte, darunter BGI, Chinas führendes Genomikunternehmen, das später aufgrund von Bedenken hinsichtlich seiner Rolle bei der Überwachung von Minderheiten auf die US-Entity-List gesetzt wurde.
China sammelt DNA nicht nur aus Neugier. Es erstellt eine globale Genomkarte, die sowohl seine Gegner als auch die eigenen Bürger umfasst.
Ihre Genomdaten
Es gibt große Bedenken, dass genetische Daten in die falschen Hände geraten könnten, und das aus gutem Grund. Ich will damit aber nicht sagen, dass es schlecht ist, seine medizinischen Daten freiwillig für Forschungszwecke zur Verfügung zu stellen. Forscher nutzen diese Daten oft sinnvoll, um anderen zu helfen.
Bevor man das tut, sollte man sich jedoch einige wichtige Fragen stellen.
- Wer leitet das Projekt und wo hat es seinen Sitz?
Bevorzugt werden gemeinnützige oder akademische Biobanken mit einem klaren Auftrag im öffentlichen Interesse und einer strengen Aufsicht gegenüber undurchsichtigen kommerziellen Datenvermittlern. - Wie werden die erhobenen Daten gespeichert?
Fragen Sie gezielt nach Genomdaten, Rohsequenzierungsdateien, Verknüpfungen zu Krankenakten und danach, ob die Daten sowohl im Ruhezustand als auch während der Übertragung verschlüsselt sind. - Wer hat Zugriff auf die Daten und welche Kontrollmechanismen gibt es?
Achten Sie auf einen formellen Zugriffsausschuss, strenge Verträge und technische Kontrollmaßnahmen wie sichere Analyseumgebungen und eingeschränkte Exportmöglichkeiten – und nicht auf Modelle nach dem Motto „CSV herunterladen und weg“, wie sie den Vorfall bei der UK Biobank ermöglicht haben. - Dürfen ausländische Stellen auf die Daten zugreifen oder diese kopieren?
Angesichts der Warnungen der Regierungen der USA und Großbritanniens hinsichtlich des Zugriffs Chinas auf westliche Genomdaten ist es durchaus berechtigt zu fragen, ob Daten in Rechtsordnungen mit anderen Sicherheitsstandards abgerufen, verarbeitet oder gespeichert werden dürfen. - Wie gehen sie mit dem Risiko der Re-Identifizierung um?
Wie bereits erwähnt, ist „anonymisiert“ kein Zauberwort. Privacy und US-Geheimdienste haben davor gewarnt, dass Gesundheits- und Genomdaten oft wieder identifiziert werden können, wenn sie mit anderen Datensätzen kombiniert werden.
Wenn Daten, die Ihre DNA enthalten, in die Hände anderer gelangen, können Sie diese zwar nicht zurückholen, aber Sie können eine bessere Regulierung fordern und darauf drängen, dass Institutionen Genomdaten als Informationen behandeln, die der Geheimhaltungsstufe „nationale Sicherheit“ entsprechen.
Man sollte zudem gegenüber gezielten Betrugsversuchen besonders skeptisch sein. Angreifer können umfangreiche, kombinierte Datensätze nutzen, um überzeugende Spear-Phishing-Angriffe oder gesundheitsbezogene Betrugsversuche zu inszenieren, indem sie Sie beispielsweise wegen einer bestimmten Erkrankung kontaktieren, an der Sie oder ein Familienmitglied leiden. Seien Sie besonders misstrauisch gegenüber unaufgeforderten E-Mails, Anrufen und Apps, die sich auf Gesundheit oder DNA beziehen.
Was wissen Cyberkriminelle über Sie?
Verwenden Sie den kostenlosen Digital Footprint Scan Malwarebytes, um zu überprüfen, ob Ihre persönlichen Daten online offengelegt wurden.
