Kontrolle über eigene Daten zurückgewinnen

Zuerst veröffentlicht in den Lokalinfo-Zeitungen vom 27. August 2020.

Was es für Geld schon lange gibt, will ETH-Professor Ernst Hafen für persönliche Daten schaffen: eine Bank mit Genossenschaftsmodell als Gegenpol zu den etablierten Internetgiganten.

Noch vor 20 Jahren hätte kaum jemand einem Unternehmen freiwillig mitgeteilt, wie häufig und welche Strecke er oder sie kürzlich gejoggt sei. Heute gibt es dafür Smartphone-Apps, Smartwatches oder Fitnesstracker. Und die persönlichen Fitness-, Gesundheits- oder Ernährungsdaten sind bei Unternehmen oder Krankenkassen heiss begehrt.

Doch Gesundheitsapps und andere haben alle etwas gemeinsam: Egal, wie strikt die Datenschutzerklärungen sind und welche Einstellungen jeder individuell vornehmen kann, die Daten liegen in den Händen von Unternehmen. Nutzerinnen und Nutzer müssen ihnen entweder vertrauen oder auf die Nutzung solcher Angebote komplett verzichten. Letzteres würden wohl viele Privatsphäre-Experten empfehlen.

Forschung soll profitieren

Einen anderen Weg geht Ernst Hafen. Der Professor am ETH-Institut für molekulare Systembiologie will, dass die Bevölkerung die Kontrolle über ihre Gesundheitsdaten behält. Denn für ihn ist klar: Daten entfalten ihr wahres Potenzial erst, wenn sie zusammengeführt werden. Weder Google, Apple, Facebook noch eine Ärztin verfügt über alle Daten, also das Gesamtbild einer Person. Alle haben nur ein Stück vom Kuchen.

«Nur die Bürgerinnen und Bürger selbst können alle Daten zusammenbringen», sagt Hafen. «Aber nicht Internetkonzerne sollen von dieser Zusammenführung profitieren, sondern die Gemeinschaft», so der Biologe. Für Unternehmen sind Daten wie bares Geld. Sie werden gesammelt, ausgewertet, verkauft und für personalisierte Werbung verwendet.

Wer heute eine Studie mit 3000 Teilnehmenden braucht, der muss viel Zeit und Geld investieren. Sind die Daten schon vorhanden, wird laut Hafen beispielsweise die Entwicklung von Medikamenten günstiger, oder es werden Forschungen ermöglicht, die sonst finanziell unattraktiv sind. Der 64-Jährige hat deshalb 2015 mit Gleichgesinnten die Non-Profit-Genossenschaft Midata gegründet. Midata funktioniert wie eine Bank für Daten. Erdacht hat die Technik dahinter Hafens damaliger ETH-Kollege Donald Kossmann, der heute in den USA die Forschungsabteilung von Microsoft leitet. Entwickelt wurde sie zusammen mit der Berner Fachhochschule.

Auf der Internetplattform von Midata kann man seine Daten hochladen. Die Genossenschaft übernimmt die Verwaltung und sucht Partner, welche die Daten nutzen möchten. Firmen sollen für die Nutzung bezahlen. Die Entscheidung, ob Daten genutzt werden dürfen, liegt immer bei den einzelnen Mitgliedern. Sie bleiben Besitzer ihrer Daten. Die Einnahmen werden für die Weiterentwicklung der Midata-Plattform und für Projekte genutzt, beispielsweise in der Forschung, die der Gemeinschaft etwas bringen sollen.

«Ich will Google nichts wegnehmen, aber ich will eine Kopie meiner Daten herunterladen können.»

Ernst Hafen, ETH-Professor

App für Corona-Symptome lanciert
Um die Leute zum Mitmachen zu motivieren, hat Midata verschiedene Projekte lanciert. Eines ist topaktuell und heisst «Corona Science». Bürgerinnen und Bürgern können mit der App ihren Gesundheitszustand und auftretende Symptome einer Covid-19-Erkrankung aufzeichnen. Die gewonnenen Daten werden anonym und allen Interessierten zur Verfügung gestellt. Ein anderes Projekt ist an Pollenallergikerinnen und -allergiker gerichtet. Die Daten werden vom Universitätsspital Zürich verwendet. Mit der Teilnahme an einem der Projekte eröffnen die Nutzenden ein Konto bei Midata. Sie sind damit nicht automatisch Mitglied der Genossenschaft. Ein Genossenschaftsschein kostet 40 Franken. Geld verdienen können Mitglieder nicht: «Wir wollen keine finanziellen Anreize zum Teilen von Daten», sagt Hafen. Wer Geld für seine Daten erhalte, habe einen Anreiz, diese so zu manipulieren, dass sie möglichst wertvoll würden. Das wolle man verhindern.

Schweiz muss Gesetz anpassen
Midata hat aber ein Problem: die Nutzerfreundlichkeit. Bei den Apps muss man seine Symptome selbstständig eingeben, das braucht Disziplin. Wer alle seine Daten in der Datenbank zusammenführen will, muss dies von Hand tun. «Ideal wäre deshalb, wenn es in jeder Software eine Einstellungsmöglichkeit gäbe, die die gesammelten Daten automatisch in die Datenbank legt», sagt Hafen.

Eine Voraussetzung: Alle, die personenbezogene Daten sammeln, egal ob Supermarkt, Internetkonzern oder Spital, sollen diese auf einfache Art und Weise zur Verfügung stellen. «Ich will Google nichts wegnehmen, aber ich will eine Kopie meiner Daten herunterladen können», erklärt Hafen. Dafür braucht es aber eine gesetzliche Grundlage, das Recht auf Kopie, wie es die Datenschutzgrundverordnung der Europäischen Union vorsieht. Die Schweiz ist noch nicht so weit. Die Revision des veralteten Datenschutzgesetzes steckt im Parlament fest.

Midata muss Vertrauen aufbauen

Eine grosse Frage ist die Sicherheit: Gerade für Betrüger ist eine zentrale gespeicherte Datensammlung interessant. Privatsphäre-Aktivisten raten generell dazu, dafür zu sorgen, dass möglichst keine persönlichen Daten ins Internet gelangen. Das würde aber dem Prinzip der Midata-Genossenschaft widersprechen. «Wichtig sind das Vertrauen und die Reputation der Datenbank», sagt Hafen. Midata investiere in die Sicherheit. «Und wir lassen unser System von Profis prüfen», fügt Hafen an. Auch er habe seine Gesundheitsdaten auf Midata gespeichert. Für ihn sei es dasselbe, wie wenn man sein Geld unter der Matratze verstecke, anstatt es auf die Bank zu bringen. Denkbar wäre, dass in Zukunft etablierte Finanzinstitute wie die UBS oder die Zürcher Kantonalbank ähnliche Dienstleistungen anbieten. Dann könnte man seine Daten über den E-Banking-Zugang verwalten.

«Wir müssen die Leute stärker vom Nutzen überzeugen», sagt Hafen. Die Genossenschaft Midata hat rund 200 Mitglieder. Die Apps wurden über 10 000-mal heruntergeladen. Um aufzuzeigen, wie Midata-Daten für Firmen und Forschung interessant sind, will sich Hafen auf entsprechende Projekte konzentrieren. Darum ist er im Mai als Genossenschaftspräsident zurückgetreten. Wer sein Amt übernimmt, ist offen.

Informationen: www.midata.coop

Cyber attacks can pose a critical threat to hospitals

Foto: Pascal Wiederkehr

Hospitals in Canton Zurich are often the target of cyber attacks. Experts and politicians are therefore concerned about security and patient data. By Pascal Wiederkehr. Translation by Ruth Turin.

During the coronavirus pandemic, hospitals are taking special measures to prevent any suspected cases from coming into contact with unprotected patients. The Department of Health of Canton Zurich even issued a visitor ban. However, a problem that can be solved on-site with security personnel or closed doors is more difficult to monitor in the internet, where umpteen digital doors provide access to hospitals. Companies are not the only popular targets of cyber attacks, hospitals have long been the focus of criminal schemes.

In 2019, Wetzikon Hospital was attacked by the Emotet trojan. A trojan is malware that infiltrates computers and performs unwanted functions, such as the siphoning off of data and passwords. The attack was widely covered in the media at the time, including by Neue Zürcher Zeitung. Research carried out by Rundschau, a program by SRF (Swiss Radio and Television) revealed that other healthcare providers, such as Limmattal Hospital and the Zentrallabor Zürich had also been affected. The attacks had no serious consequences, however, and no patient data were lost.

Minimum standards are needed
Bettina Balmer (Free Democratic Party) and Benjamin Walder (Green Party), both cantonal councillors, submitted a motion on the topic. “Especially in light of increasing digitalization in healthcare, the problem of cyber attacks cannot be underestimated,” they write in their motion. They would like to know, for instance, how many cyber attacks have occurred in hospitals in Canton Zurich in the last few years. They are also asking the Council of State why there are no minimum standards

“Compulsory minimum standards would be a step in the right direction.”

Hernâni Marques, Chaos Computer Club Switzerland

While minimum standards for information and communication strategies (IKT) have been defined by the federal government, they are only recommendations and not specifically intended for hospitals. “If somebody is really bent on launching a malicious attack, it will be extremely difficult to avert it,” says Hernâni Marques. “Compulsory minimum standards would be a step in the right direction” according to the computer linguist who studies encryption software professionally. Indeed, there are even different IT systems being used within hospitals. “In order for systems to be kept up to date, more staff and financial resources are needed,” says Marques, spokesperson for the Chaos Computer Club Switzerland. The hacker organization opposes oversight and advocates data protection in the internet. What is needed, they say, is training for users, as they are a major weak point.

Total security is an illusion
According to Radio Prague, it was only last March that a cyber attack temporarily brought the Brno University Hospital in the Czech Republic to a halt. The hospital became a victim of ransomware. This is where hackers attempt to encrypt data on computers using ransomware and subsequently extort money for decryption. “Typically, ransomware is sent in a mail attachment,” explains Marques. Unsuspecting users open the attachment and the software installs itself independently. “If it is well-designed malware, it always looks for additional devices, jumping from one to the next,” says the IT specialist. The question then is how well the individual systems are separated from one another. “In the worst case, if life-support machines are affected by hacker attacks, even human lives could be at risk,” Marques warns. There is no general reporting obligation for cyber attacks. Wetzikon Hospital set a good example and reported the trojan attack to MELANI, the Reporting and Analysis Centre for Information Assurance. Many companies fear for their reputation, however. “Total security is an illusion, but we have to make systems as secure as possible,” Marques points out. Cyber attacks can pose a critical threat to primary care. 

Attacks happen all the time

Hospitals are frequently the target of cyber attacks. “Attempted attacks on the IT infrastructure of the City of Zurich happen all the time and therefore also on the Waid and Triemli City Hospitals,” their media relations offices explain. This is not only commonplace in the city administration. “So far, the attacks could be averted by our defense systems and security experts,” the city hospitals report.

Attempted attacks on Bülach Hospital occur mainly via mail. So-called port scanner attacks that probe networks for open ports were also discovered. “According to current knowledge, all attacks on our systems could so far be averted,” says Urs P. Kilchenmann, media spokesperson. In 2019, external specialists conducted a comprehensive investigation confirming that there had been no infection by malware. “Security measures at Bülach Hospital have thus far been sufficient to ensure protection, including patient data,” says Kilchenmann.

Zollikerberg Hospital reports similar experiences, saying that their network has not been hacked in the past two years. Untargeted attacks often attempt to obtain information via phishing mails, i.e. false mails, so as to subsequently conduct a targeted attack. The hospital receives multiple such mails every day, of which roughly 90 percent are caught by the spam filter and not delivered to the recipient. The majority of staff are aware of the problem and recognize and delete phishing mails.

However, Zollikerberg Hospital did experience an incident, albeit indirectly. It is co-operator of the Zentrallabor Zürich, which was hacked by the Emotet trojan. “No sensitive data was affected at the Zentrallabor either,” stresses Anke Schramm, who is responsible for marketing and communications at the hospital. “We adhere to the government’s IKT minimum standards and are grateful that such standards exist,” says Schramm.

Owing to the pending motion in the Cantonal Council, the University Hospital Zurich declined to answer any questions.

The English version is a translation of the original in German for information purposes only. In case of a discrepancy, the German original will prevail.