US-Gesundheitsdienstleister bestätigt Diebstahl von Patientendaten

Im Februar hatte ein IT-Angriff zahlreiche Apotheken in den USA beeinträchtigt. Auch Patientendaten wurden gestohlen, erklärte nun der betroffene Dienstleister.

Bei einem IT-Angriff auf das US-Unternehmen Change Healthcare wurden auch persönliche Daten von Patientinnen und Patienten gestohlen. Das hat der Mutterkonzern UnitedHealth Group nun bekannt gegeben.

Der Angriff hatte sich bereits im Februar ereignet. Wie die UnitedHealth Group am Montag mitteilte, wurden dabei auch “geschützte Gesundheitsinformationen” und personenbezogene Daten gestohlen. Wie viele Menschen betroffen sind, erklärte das Unternehmen noch nicht. Es könnten jedoch Daten “eines beträchtlichen Teils der amerikanischen Bevölkerung” entwendet worden sein.

Bisher gebe es keine Beweise, dass auch Daten zu vollständigen Krankengeschichten gestohlen wurden, heißt es weiter. Die Untersuchungen dauern jedoch noch an. UnitedHealthcare rechnet damit, dass es noch mehrere Monate dauern wird, bis die Ermittlungen abgeschlossen sind – und Betroffene benachrichtigt werden können.

Change Healthcare bietet Dienstleistungen für das US-Gesundheitssystem an. Apotheken können über das System beispielsweise Medikamente mit Krankenversicherungen abrechnen oder prüfen, ob Patientinnen und Patienten Anrecht auf ein bestimmtes Mittel haben. Der Nachrichtenagentur Reuters zufolge wickelt das Unternehmen etwa die Hälfte aller Transaktionen im US-Gesundheitswesen ab.

Apotheken konnten Rezepte nicht abrechnen

US-Medien sprechen von einem der größten IT-Angriffe im Gesundheitswesen. Als Folge konnten im Februar beispielsweise viele US-Apotheken keine Rezepte mehr mit den Versicherungen abrechnen. Patienten mussten sich somit entscheiden, ob sie ihre Medikamente zunächst selbst bezahlen oder sich nicht behandeln lassen.

Neben regulären Apotheken in den USA waren weltweit auch die Krankenhäuser und Apotheken des US-Militärs von den Auswirkungen des Angriffs betroffen. Laut UnitedHealthcare sind diese Probleme inzwischen größtenteils behoben: 99 Prozent der betroffenen Apotheken können demnach wieder Rezepte mit den Versicherungen abrechnen.

Das Unternehmen teilte weiter mit, man arbeite mit externen IT-Sicherheitsunternehmen zusammen und beobachte, ob Patientendaten veröffentlicht werden. Bisher seien bereits 22 Screenshots aufgetaucht, auf denen angeblich entwendete Daten zu sehen waren.

US-Medien zufolge soll Change Healthcare Opfer eines Verschlüsselungstrojaners geworden sein. Mit sogenannter Ransomware verschlüsseln Kriminelle normalerweise die vorhandenen Daten – und verlangen dann ein Lösegeld, um sie wiederherzustellen. Häufig greifen die Täter auch Daten ab und drohen mit deren Veröffentlichung, sollte der Geldforderung nicht nachgekommen werden. Lösegeldzahlungen garantieren allerdings nicht, dass die Erpresser von einer Veröffentlichung absehen oder verschlüsselte Daten tatsächlich wiederherstellen.

Das zeigt offenbar auch der aktuelle Fall: Man habe Lösegeld bezahlt, um die Patientendaten vor der Veröffentlichung zu schützen, bestätigte UnitedHealth gegenüber mehreren US-Medien. Nach Informationen des US-Magazins Wired sollen etwa 22 Millionen US-Dollar an die Erpresser geflossen sein. Es bestehe dennoch weiter das Risiko, dass Patientendaten veröffentlicht werden. Wired berichtet, IT-Sicherheitsexperten befürchteten nun, dass die erfolgte Zahlung weitere kriminelle Banden dazu veranlassen wird, den Gesundheitsbereich gezielt ins Visier zu nehmen.

Laut Medienberichten steckt hinter der Erpressung eine als “AlphV” oder “BlackCat” bekannte Gruppe, auf die das US-Außenministerium eine Belohnung von 10 Millionen US-Dollar ausgesetzt hat. Laut dem Ministerium entwickelt die Gruppe den Verschlüsselungstrojaner und arbeitet mit Partnern beim Einsatz zusammen.

Gesundheitsdaten im Visier

Bereits im vergangenen Jahr hatte es im Gesundheitsbereich in den USA mehrere IT-Sicherheitsvorfälle gegeben. Ende Oktober hatte das “US Department of Health and Human Services” erklärt, mehr als 88 Millionen Menschen seien im Jahr 2023 von Datenlecks betroffen gewesen.

So wurden im Mai 2023 beispielsweise Sozialversicherungsnummern und Gesundheitsdaten von Millionen Versicherten gestohlen. Darunter waren auch Röntgenbilder und Angaben zu verschriebenen Medikamenten.

Im Dezember hatten Kriminelle zudem bei einem US-amerikanischen Krankenhausbetreiber Zugriff auf sensible Daten von Millionen Personen erlangt.

Ende vergangenen Jahres hatte außerdem ein Unternehmen, das 30 Krankenhäuser in sechs US-Bundesstaaten betreibt, Patienten aus einigen seiner Notaufnahmen in andere Krankenhäuser verlegen müssen. Die dortigen Systeme waren offline genommen worden, nachdem Ransomware entdeckt wurde. (js)