Medizinische Daten, die mit rund 500.000 britischen Staatsbürgern in Verbindung stehen, wurden kurzzeitig online zum Verkauf beworben, was eine Regierungsuntersuchung auslöste und erneut Bedenken hinsichtlich des Umgang mit sensiblen Gesundheitsinformationen auslöste.
Die Daten stammen von der UK Biobank, einem groß angelegten Forschungsprojekt, das genetische, biologische und Lebensstilinformationen von Freiwilligen sammelt, um Studien zu Krankheiten wie Krebs, Demenz und Herzerkrankungen zu unterstützen.
Laut Beamten erschien der Datensatz in mehreren Einträgen auf von Alibaba betriebenen Plattformen. Die britische Regierung bestätigte, dass die Informationen von mehreren Verkäufern beworben wurden, was Bedenken darüber auslöste, wie die Daten zugänglich und verteilt wurden.
Obwohl die offengelegten Daten keine direkten Kennungen wie Namen, Adressen oder Telefonnummern enthielten, enthielten sie dennoch sensible Details. Dazu gehörten Geschlecht, Alter, Geburtsinformationen, sozioökonomische Indikatoren, Lebensgewohnheiten und Messungen aus biologischen Proben. Die Behörden warnten, dass selbst anonymisierte Datensätze Datenschutzrisiken bergen können, insbesondere wenn sie mit anderen Datenquellen kombiniert werden.
Untersuchungen deuten darauf hin, dass die Daten ursprünglich mit Forschern von drei akademischen Einrichtungen unter legitimen Vereinbarungen geteilt wurden. Allerdings wird angenommen, dass diese Institutionen nun mit dem Datenverstoß in Verbindung stehen, und ihr Zugang zum Datensatz wurde widerrufen.
Sowohl die britischen als auch die chinesischen Behörden haben schnell gehandelt, um die Einträge zu entfernen, und Beamte erklärten, es gebe keine Beweise dafür, dass vor der Entfernung tatsächlich Daten gekauft wurden. Trotzdem wurde der Vorfall als schwerwiegender Vertrauensbruch beschrieben, insbesondere angesichts der freiwilligen Natur der Teilnahme am Biobank-Projekt.
Der Fall hat auch Bedenken hinsichtlich der Sicherheit groß angelegter Gesundheitsdatenbanken neu entfacht. Frühere Berichte deuteten darauf hin, dass Biobank-Daten mehrfach online offengelegt wurden, oft aufgrund des falschen Umgangs der Forscher mit Datensätzen und nicht durch direkte Cyberangriffe.
Als Reaktion darauf hat die Organisation den Zugriff auf ihre Plattform pausiert, eine strengere Überwachung der Datenexporte eingeführt und eine vollständige Untersuchung eingeleitet. Zusätzliche Schutzmaßnahmen sollen voraussichtlich begrenzen, wie viele Daten Forscher herunterladen können, und verdächtige Aktivitäten schneller erkennen.
Der Sicherheitsvorstoß verdeutlicht ein breiteres Problem, mit dem moderne Forschungssysteme konfrontiert sind: die Balance zwischen offener wissenschaftlicher Zusammenarbeit und der Notwendigkeit, hochsensible personenbezogene Daten streng zu kontrollieren.