USA: 2,5 Millionen Menschen von Datenleck bei Krankenhausbetreiber betroffen

Ein graues Gebäude mit dem Schriftzug Norton Children's Hospital
Behördenangaben zufolge wurden im Jahr 2023 in den USA Daten von mehr als 80 Millionen Menschen im Gesundheitsbereich gestohlen. (Quelle: Alexismessmer – CC BY-SA 4.0)

Der US-amerikanische Krankenhausbetreiber Norton Healthcare hat einen IT-Sicherheitsvorfall bestätigt, bei dem Kriminelle Zugriff auf sensible Daten von Millionen Personen hatten. Darunter befinden sich auch Sozialversicherungsnummern, die für Identitätsdiebstahl missbraucht werden können.

Wie Norton Healthcare Ende vergangener Woche mitteilte, war das Unternehmen bereits im Mai Opfer eines IT-Angriffs mit einem Verschlüsselungstrojaner (sogenannte Ransomware). Die Angreifer konnten demnach auf personenbezogene Daten von Patienten, Mitarbeitenden und Angehörigen zugreifen.

Northon Healthcare betreibt unter anderem Krankenhäuser in den US-Bundesstaaten Kentucky und Indiana. Eigenen Angaben zufolge beschäftigt das Unternehmen mehr als 20.000 Menschen.

Sensible Daten

Zu den von dem Angriff betroffenen Daten zählen unter anderem Namen, Kontakt- und Geburtsdaten, Versicherungsangaben und auch Sozialversicherungsnummern. In einigen Fällen sind auch Führerscheinnummern beziehungsweise Nummern anderer staatlicher Ausweisdokumente, Kontonummern und digitale Unterschriften betroffen.

Insbesondere Sozialversicherungsnummern und Führerscheindaten sind sensible Informationen, weil sie in den USA auch als Identifikationsnachweis verwendet werden – Kriminelle könnten die Angaben daher für Identitätsdiebstahl nutzen. Die zuständige Behörde Social Security Administration warnt, dass jedes Jahr Millionen Amerikanerinnen und Amerikaner Opfer von Identitätsdiebstahl werden. Kriminelle könnten mithilfe der Sozialversicherungsnummer auch weitere Informationen über Betroffene herausfinden oder Bankkonten in fremdem Namen eröffnen.

Laut der Mitteilung von Norton Healthcare konnten die Angreifer zudem auf nicht näher beschriebene “Gesundheitsinformationen” zugreifen. Krankenakten seien von dem Vorfall hingegen nicht betroffen.

Aus einer Mitteilung von Norton Healthcare an die Generalstaatsanwaltschaft des US-Bundesstaates über das Datenleck geht zudem hervor, dass insgesamt die Daten von 2,5 Millionen Personen betroffen sind.

Ransomware-Vorfall

Angreifer hätten zwischen dem 7. und dem 9. Mai Zugriff auf einige der Systeme gehabt, so das Unternehmen. Nachdem der Angriff entdeckt wurde, sei die US-Bundespolizei FBI eingeschaltet und ein externes IT-Sicherheitsunternehmen hinzugezogen worden. Die Untersuchung des Vorfalls sei im November abgeschlossen worden.

In der Mitteilung an die Generalstaatsanwaltschaft von Maine betont das Unternehmen auch, kein Lösegeld gezahlt zu haben. Mit sogenannter Ransomware verschlüsseln Kriminelle normalerweise die vorhandenen Daten – und verlangen dann ein Lösegeld, um sie wiederherzustellen. Häufig greifen die Täter zuvor auch Daten ab und drohen mit deren Veröffentlichung, sollte der Geldforderung nicht nachgekommen werden. Lösegeldzahlungen garantieren allerdings auch nicht, dass die Erpresser von einer Veröffentlichung absehen oder verschlüsselte Daten tatsächlich wiederherstellen.

Millionen US-Amerikaner von Datendiebstählen betroffen

In den USA wurden in diesem Jahr Daten bei mehreren Organisationen aus dem Gesundheitsbereich gestohlen: Ende Oktober hatte das “US Department of Health and Human Services” erklärt, mehr als 88 Millionen Menschen seien von Datenlecks betroffen gewesen. Im Mai wurden beispielsweise Sozialversicherungsnummern und Gesundheitsdaten, darunter Röntgenbilder und Angaben zu verschriebenen Medikamenten, von Millionen Versicherten gestohlen.

Und erst Ende November hatte ein US-amerikanisches Unternehmen, das 30 Krankenhäuser in sechs Bundesstaaten betreibt, Patienten aus einigen seiner Notaufnahmen in andere Krankenhäuser verlegen müssen. Die dortigen Systeme waren offline genommen worden, nachdem Ransomware entdeckt wurde. (js)