Gesundheitsdaten von Europäern an US-Unternehmen verkauft, das von ehemaligen israelischen Geheimdienstoffizieren geführt wird

 (ftm.eu)
2 Punkte von GN⁺ 2025-12-15 | 1 Kommentare | Auf WhatsApp teilen
  • Das niederländische Datensicherheitsunternehmen Zivver wurde von Kiteworks aus den USA übernommen, wodurch sensible Gesundheits- und Verwaltungsdaten europäischer Bürger unter die Kontrolle eines US-Unternehmens geraten
  • Ein großer Teil des Managements von Kiteworks stammt aus israelischen Militärgeheimdiensteinheiten, und auch CEO Jonathan Yaron diente in einer Cyber-Spezialeinheit der israelischen Armee
  • Zivver wird von Krankenhäusern, Gerichten und Einwanderungsbehörden in der EU und im Vereinigten Königreich genutzt, um vertrauliche Dokumente zu versenden; Recherchen zeigen jedoch, dass das Unternehmen den Inhalt der Dokumente intern einsehen kann, obwohl Verschlüsselung angeboten wird
  • Experten für Cybersicherheit und Nachrichtendienste warnen, dass diese Übernahme im Vorfeld hätte verhindert oder zumindest streng geprüft werden müssen
  • Es werden ernste Bedenken hinsichtlich Datensouveränität und Sicherheit laut, da sensible Daten von Europäern in den Einflussbereich des US-Rechts und israelischer Nachrichtendienstnetzwerke geraten sind

Übernahme von Zivver und Datenübertragung

  • Kiteworks übernahm Zivver im Juni 2025, CEO Yaron bezeichnete dies als einen „Moment, auf den alle stolz sein können“
    • Er sagte, die Übernahme sei „ein wichtiger Meilenstein in unserer Mission, sensible Daten über alle Kommunikationskanäle hinweg zu schützen“
  • Durch den Deal gelangten jedoch personenbezogene Daten von Bürgern in Europa und im Vereinigten Königreich in die Hände eines US-Unternehmens
    • Zivver ist in den Niederlanden, Deutschland, Belgien und dem Vereinigten Königreich ein wichtiger sicherer Messaging-Dienst für Krankenhäuser, Versicherer, Behörden und Einwanderungsstellen
    Anzeige
  • Dem Artikel zufolge sind selbst verschlüsselte Dokumente bei Zivver so aufgebaut, dass das Unternehmen sie einsehen kann

Hintergrund des Kiteworks-Managements

  • Ein großer Teil der Führungsspitze von Kiteworks stammt aus den israelischen Verteidigungsstreitkräften, insbesondere aus Militärgeheimdiensteinheiten
    • Einschließlich CEO Jonathan Yaron haben mehrere Führungskräfte in Einheiten gearbeitet, die auf das Entschlüsseln verschlüsselter Kommunikation und auf Abhörmaßnahmen spezialisiert sind
  • Durch diese personelle Zusammensetzung wird die Verbindung zu israelischen Nachrichtendiensten deutlich sichtbar

Sorgen der Experten

  • Experten für Cybersicherheit und Nachrichtendienste betonen, dass diese Übernahme im Vorfeld hätte blockiert oder gründlich geprüft werden müssen
  • Die von Zivver verarbeiteten Daten gelten als äußerst wertvoll für kriminelle Organisationen oder ausländische Nachrichtendienste
  • Nach der Übernahme unterliegen diese Daten den US-Überwachungsgesetzen und stehen unter der Verwaltung eines Unternehmens mit Verbindungen zu israelischen Nachrichtendiensten
Anzeige

Art der Recherche

  • Follow the Money untersuchte den Übernahmeprozess von Zivver und den Hintergrund des Kiteworks-Managements
    • Die Fakten wurden durch Interviews mit Nachrichtendienst- und Cybersicherheitsexperten überprüft
  • Der Bericht ist Teil der Serie „The EU Files“, die sich mit Fragen der Datensouveränität innerhalb der EU befasst

Bedeutung für Europa

  • Der Fall zeigt das Risiko, dass von europäischen Behörden genutzte sichere Kommunikationsinfrastrukturen mit ausländischen Nachrichtendienstnetzwerken verknüpft werden
  • Als Beispiel für den realen Konflikt zwischen Datenschutzregulierung und nationaler Sicherheit könnte der Vorgang zu einem zentralen Thema in der Debatte über digitale Souveränität in der EU werden

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-12-15
Hacker-News-Kommentare

  • Der CEO des US-Techunternehmens ist offenbar ehemaliges Mitglied einer Elite-Cybereinheit des israelischen Militärs, weshalb der Artikel wohl Unit 8200 erwähnt
    Diese Einheit so darzustellen, als wäre sie einfach eine Alternative dazu, statt eines Gewehrs einen Computer in die Hand zu nehmen, wirkt wie ein etwas seltsames Framing. Ich finde, der Artikel bräuchte mehr Kontext

    • Unit 8200 ist nicht einfach nur eine Cybersicherheits-Einheit, sondern für das Sammeln und Auswerten von Signal Intelligence zuständig
      Wenn Jack Ryan Israeli wäre, hätte er statt bei der CIA in dieser Einheit gedient
      Sie übernimmt auch Analyseaufgaben wie Zielauswahl; dazu gibt es einen guten Artikel bei 972mag
    • Tatsächlich ist es nicht im Sinne einer „Befreiung“ zu verstehen. Alle Bürger werden eingezogen, und je nach Fähigkeiten wird man einer Einheit zugewiesen
      Wenn man Talent hat, möchte man wahrscheinlich lieber in so eine Einheit als Streife im Gazastreifen laufen
    • Der Dienst bei 8200 ist letztlich ebenfalls Teil des verpflichtenden Militärdienstes

  • Ich habe früher mit einem der ersten Ingenieure von Zivver (Scala-Entwickler) zu tun gehabt und weiß deshalb ein wenig darüber
    Die Kernidee war Ende-zu-Ende-Verschlüsselung, daher sollte die neu übernehmende Organisation die Kundendaten eigentlich nicht direkt einsehen können
    Während Corona war das in den Niederlanden ein großer Erfolg, weil die digitale Übermittlung von Berichten verpflichtend wurde
    Die jetzige Übernahme könnte sich aber negativ auf die Debatte um die digitale Souveränität der Niederlande auswirken

    • Ich frage mich, ob die Verschlüsselung auch Metadaten umfasst. Ich würde gern wissen, ob zum Beispiel auch geschützt ist, wer wem etwas geschickt hat

  • Auch wenn ein Dienst in der EU angesiedelt ist, besteht bei einer Übernahme durch ein ausländisches Unternehmen das Risiko, dass sensible Daten anderen Rechtsräumen ausgesetzt sind. Das ist ziemlich besorgniserregend

  • Ich frage mich, ob man das ablehnen (opt-out) kann. Es ist fraglich, ob die Europäische Kommission pauschal Verträge abgeschlossen hat, ohne die Bürgermeinung einzuholen

  • US-Big-Tech hat seit Google die Basislinie für Privatsphäre immer weiter abgesenkt
    Am Ende wurde die Vorstellung normalisiert, dass „Privatsphäre nicht existiert“, um Kapitalinteressen zu dienen
    Es gibt auch in Europa alternative Dienste, aber wenn Bürger sich nicht bewusst dafür entscheiden, wird das Nebenwirkungen haben

    • Man sollte sich daran erinnern, dass auch die Daten von HN mit Y-Combinator-Startups geteilt und lizenziert werden
      Selbst wenn man sein Konto löscht, werden die Daten nicht vollständig entfernt. Solche Tatsachen werden bei der Anmeldung nicht klar kommuniziert
    • Die meisten Menschen haben Google-Dienste jahrzehntelang kostenlos genutzt und sind trotzdem empört, wenn ein Bezahlmodell kommt
      Diese Fixierung auf das „kostenlose Internet“ hat letztlich einen Albtraum für die Privatsphäre geschaffen
      Solange Europa keine steuerfinanzierten öffentlichen Dienste wie EuroTube oder EuroGram schafft, sind praktikable Alternativen schwer vorstellbar
    • Apple macht als Verfechter der Privatsphäre eigentlich einen ziemlich guten Job und wird trotzdem oft wegen Kabelstandards oder UI-Problemen kritisiert
      Diese Doppelmoral, bei der es „in Mode“ ist, bestimmte Unternehmen zu hassen, ist interessant
    • Die EU-Regierungen gehen über die Mängel der DSGVO hinaus und bringen Bürger sogar dazu, US-Unternehmen ihre personenbezogenen Daten zwangsweise bereitzustellen
      Es gibt kostenpflichtige Alternativen wie Proton, aber die meisten Menschen bevorzugen kostenlose Dienste
      Solange der Staat nicht selbst einen „souveränen Kanal“ aufbaut, wird die Abhängigkeit von FANG nur noch größer
      Es mag sich jetzt etwas billiger anfühlen, aber letztlich ist das eine Struktur, die in einer Katastrophe endet
    • Gerade die lasche DSGVO-Durchsetzung in Irland hat vor allem europäischen Unternehmen geschadet, während sich die Privatsphäre real kaum verbessert hat
      Trotzdem war es eine interessante Erfahrung, einmal das Auskunftsrecht (subject access request) zu nutzen

  • Diese Artikelseite erzwingt die Erstellung eines Kontos
    Wenn man in HTML die Klasse "quickSubscribe" entfernt, kann man kostenlos scrollen

    • Oder man sucht einfach in den Kommentaren nach einem Archivlink

  • Zusammengefasst verschlüsselt ein EU-Gesundheitsdatenunternehmen Dokumente über ein Webportal, das von ehemaligen militärischen Kryptoexperten betrieben wird
    Diese Struktur könnte am Ende jedoch US-Recht unterliegen, und beim Upload könnte technisch gesehen Zugriff möglich sein
    Die Vertrauenswürdigkeit allein wegen der israelischen Herkunft infrage zu stellen, wirkt wie überzogenes Framing

    • Grundsätzlich kann bei so einem Modell die Sicherheit schon durch manipulierten Browser-Code ausgehebelt werden
      Mir selbst wurden von medizinischem Personal schon ohne meine Zustimmung Schreiben über diesen Dienst geschickt, was ich unangenehm fand
    • Dass im Titel des Artikels „israelisch“ betont wird, wirkt wie bewusste Provokation. Es sieht so aus, als wolle der Autor Klicks erzeugen

  • Früher habe ich von medizinischen Einrichtungen oft Zivver-Nachrichten bekommen, aber seit der Übernahmeankündigung keine einzige mehr

  • Im deutschen Gesundheitssystem habe ich Zivver noch nie gesehen
    Deutschland führt für den medizinischen Bereich bereits Matrix-basierte Messenger und S/MIME-E-Mail ein
    Eher problematisch war, dass der frühere Gesundheitsminister Gesundheitsdaten an OpenAI und andere geben wollte
    Siehe dazu den Heise-Artikel

    • Langfristig wird ein vollständiges Opt-out bei der elektronischen Patientenakte wohl nicht möglich sein
      Deshalb ist es wichtig, Politiker zu wählen, die das „Neuland“ des digitalen Zeitalters verstehen und technisch ein Gespür dafür haben
    • Auch wenn es äußerlich nicht so aussieht, könnte Zivver bei Versicherern intern ähnlich wie Office 365 oder SAP im Backend im Einsatz sein
      Nutzer können schließlich nicht jede intern verwendete Software kennen