Tanja Ivanova/Getty Images
- Der Hacker Aleksanteri „Julius“ Kivimäki wurde zu über sechs Jahren Gefängnis verurteilt.
- Er wurde für schuldig befunden, ein Therapieunternehmen gehackt zu haben, um Notizen zu stehlen und Tausende von Patienten zu erpressen.
- Der Fall wurde vom finnischen Gericht als der „größte aller Zeiten“ im nordischen Land beschrieben.
Ein finnischer Hacker wurde zu sechs Jahren und drei Monaten Gefängnis verurteilt, nachdem er für schuldig befunden wurde, vertrauliche Therapienotizen gestohlen zu haben, um Tausende von Patienten zu erpressen.
Das Bezirksgericht West-Uusimaa gab am Montag die Verurteilung von Aleksanteri „Julius“ Kivimäki bekannt.
Die Richter befanden den 26-Jährigen in allen Anklagepunkten für schuldig, darunter in 9.231 Fällen die Verbreitung von Informationen, die die Privatsphäre verletzen, und in 20.745 Fällen der versuchten schweren Erpressung.
Er wurde im vergangenen Oktober angeklagt, nachdem er von Frankreich an Finnland ausgeliefert worden war.
Laut BBC NewsKivimäki zielte auf rund 33.000 Menschen ab.
In einem vom finnischen Justizsystem veröffentlichten BulletinDas Gericht erklärte, dass der private Psychotherapiedienst Vastaamo, der Therapiezentren in ganz Finnland betrieb, im November 2018 gehackt wurde.
Anschließend sei die Patientendatenbank des Unternehmens illegal kopiert worden, hieß es.
Laut BBC News, Kivimäki forderte ein Lösegeld von mehr als 400.000 Euro oder 426.818 US-Dollar vom Therapieunternehmen im Jahr 2020.
Die Associated Press gemeldet dass die Nachfrage höher war – 450.000 Euro oder etwa 480.000 US-Dollar, die mit Bitcoin bezahlt werden sollten.
Als das Unternehmen sich weigerte, dem nachzukommen, schickte Kivimäki Tausende von Patienten per E-Mail mit der Bitte um 200 Euro bzw. 213 US-Dollar und drohte gleichzeitig, ihre vertraulichen Therapienotizen und persönlichen Daten online zu veröffentlichen, wenn sie nicht zahlen würden, berichtete BBC News.
Laut AP würde sich das Lösegeld auf 500 Euro oder 534 US-Dollar in Bitcoin erhöhen, wenn es nicht innerhalb von 24 Stunden bezahlt würde.
Anschließend tauchte im Dark Web eine Fülle vertraulicher Informationen auf, darunter persönliche Daten von Patienten, Sozialversicherungsnummern sowie sensible Notizen von Therapeuten und Ärzten aus Sitzungen.
Ein Mann sagte WIRED dass Informationen, die er mit seinem Therapeuten über seine missbräuchlichen Eltern und seinen Drogen- und Alkoholkonsum besprochen hatte, online durchgesickert sind.
Die BBC stellte fest, dass mindestens ein Selbstmord mit dem Fall in Verbindung steht.
Kivimäki bestritt alle Vorwürfe, zitierte jedoch in der Rechtsmitteilung Beweise aus dem Prozess, die seine Beteiligung zu belegen schienen.
Beispielsweise hatte er sich in einem Online-Forum unter einem Pseudonym zu den Hackerangriffen und der Erpressung geäußert.
Das Gericht stellte außerdem fest, dass Kivimäki einen an den Verbrechen beteiligten Server in größerem Umfang genutzt hatte, als er im Prozess zugegeben hatte, und einen Verschlüsselungsschlüssel und eine IP-Adresse auf eine Weise verwendet hatte, die er in seiner Aussage bestritten hatte.
Das Gericht verwies auch auf eine Zahlung des National Bureau of Investigation in Höhe von 0,1 Bitcoin aus dem Jahr 2020, die offenbar Kivimäki erreicht hatte.
„Die Qualität des Verbrechens war außergewöhnlich und aufgrund der Anzahl der beteiligten Parteien war es das größte, das jemals in unserem Land begangen wurde“, heißt es in dem Bulletin.
Entschädigungsansprüche der Opfer müssen im Gerichtsverfahren noch geklärt werden.
Brunswick, ein internationales PR-Unternehmen, sagte dass Gesundheitsdaten unverhältnismäßig anfällig für Erpressung sind.
A Studie aus dem Jahr 2019 in der Zeitschrift Studies in Health Technology and Informatics erläuterte, dass Gesundheitsdaten für Cyberkriminelle besonders wertvoll sind, da sie finanzielle und persönliche Informationen enthalten können, die für Erpressungen und betrügerische Zwecke verwendet werden können.
Entsprechend Daten vom US-Gesundheitsministerium, Über 40 Millionen Menschen in den USA waren von Datenschutzverletzungen im Gesundheitswesen betroffen im Jahr 2021.