Die Krise weitet sich in alle Richtungen aus. Die zwei Hauptfragen lauten: Warum haben alle Aufsichtsbehörden versagt? Sind Gesetzeslage und Gesellschaftsstruktur überhaupt gerüstet für digitale Großunfälle dieser Art? Hinzu kommt: Die geraubten Daten können im Darknet von Kriminellen weiterverkauft werden. Niemand von den betroffenen Personen kann sicher sein, dass nicht nach Jahren ein neuer Krimineller mit weiteren Forderungen auftaucht. Niemand weiß, wer was hat.

Vastaamo hat viel von einem ultramodernen Unternehmen, ähnlich wie Wirecard. Die Geschäftsidee beruht auf einem Konzept stark vereinfachter Prozesse unterschiedlichster Transaktionen. Vastaamo vereinfachte den Prozess des Einstiegs in und des Verlaufs von Psychotherapien: Man muss nur ins Internet gehen, einen passenden Therapeuten aussuchen, und los geht’s. Wie Wirecard gehörte Vastaamo zu den am schnellsten wachsenden Firmen in Finnland, die auf aggressive Weise ihr Evangelium von der digitalen Zukunft der modernen Gesellschaft predigten. Die Firma sah cool aus, genoss große Bewunderung in den Medien. Doch die Firmenleitung hat sich für die eigenen Inhalte und die Selbstkontrolle wenig interessiert.

Ultramodernität als Risiko

Valvira, die Aufsichtsbehörde des finnischen Gesundheitssystems, die sich auch um Fragen der Cybersicherheit kümmern müsste, räumte sofort ein, wegen Sparmaßnahmen sei bei ihr derzeit nur eine Person mit solchen Vorfällen beschäftigt, und auch sie werde jeweils nur auf Nachfrage tätig. Psychiater und Psychologen mögen ihre Arbeit noch so gewissenhaft machen, sobald das Management inhaltlich unsensibel nach reinen Kostenfragen agiert und die Sicherheit grob vernachlässigt, können die Folgen fatal sein und nationale Ausmaße annehmen.

In der finnischen Öffentlichkeit ist schon diskutiert worden, ob der Täter Verbindung zu ausländischen Geheimdiensten haben könne, da der Fall Vastaamo alle Symptome eines Hybridangriffs aufweise: Eine Kerngruppe der Gesellschaft werde mit etwas Überraschendem, Unvorstellbarem und Großem konfrontiert, teils gelähmt, und die Gesellschaft als ganze durch Dominoeffekte in Schach gehalten. Vermutungen wurden laut, der russische Geheimdienst versuche, das Vertrauen der finnischen Bevölkerung in die Datensicherheit zu zerrütten. Auch wenn das nicht der Fall sein sollte, bietet der Vorgang viel Analysematerial für Geheimdienste.

Die digitale Euphorie ist groß, ebenso die Fehlerbereitschaft einer neuen Unternehmenskultur sowie die Phantasie und Schnelligkeit von Kriminellen. Damit stehen viele Staaten vor neuen Fragen: Wo können mögliche Löcher digitaler Schutzräume sein? Wo macht sich der Staat verwundbar? Ein Kommentator im Internet verglich den Fall schon mit dem Unglück des Tankers Exxon Valdez: Man hatte es längst kommen sehen, niemand hatte etwas dagegen getan. Dienstag Früh schrieb ein anderer: „Ja, ich habe von dieser Zehn-Gigabyte-Datei einen Teil herunterladen können. Ich sage aber nicht, wieviel, um meine Spur nicht nachverfolgbar zu machen. Es sind etwas weniger als fünf Gigabyte. Allerdings kann ich diese Datei öffnen, und wie es aussieht, sind alle vierzigtausend Patienten erhalten.“ Man wird niemals wissen, wie viele Menschen die Daten am frühen Freitagmorgen haben herunterladen können.