USA: Gesundheitsdaten von mehr als 100 Millionen Menschen gestohlen
Bei einem IT-Angriff auf das US-Unternehmen Change Healthcare wurden im Februar offenbar Daten von über 100 Millionen Menschen entwendet. Das geht aus einem am Donnerstag veröffentlichten Bericht des Office of Civil Rights (OCR) des US-Gesundheitsministeriums hervor. Der Angriff hatte über Monate Ausfälle und großflächige Störungen im gesamten US-Gesundheitssektor nach sich gezogen.
Dem Bericht zufolge wurden unter anderem Informationen zur Krankenversicherung sowie Gesundheitsdaten entwendet – wie etwa Krankenaktennummern, Diagnosen, Medikamente und Testergebnisse. Auch Rechnungs- und Bezahldaten sowie weitere persönliche Informationen wie Sozialversicherungsnummern, Führerschein- oder Passnummern wurden gestohlen.
Change Healthcare hatte der zuständigen US-Behörde in der vergangenen Woche mitgeteilt, bereits etwa 100 Millionen Betroffene individuell benachrichtigt zu haben.
Der CEO des Mutterkonzerns UnitedHealth Group hatte sich erst Ende April in einer Anhörung im Repräsentantenhaus öffentlich zu dem Vorfall geäußert und erklärt, dass Daten "eines beträchtlichen Teils der amerikanischen Bevölkerung” entwendet worden sein könnten. Die Kriminellen hätten sich mit gestohlenen Zugangsdaten, die nicht zusätzlich geschützt waren, Zugang zu einem Mitarbeitersystem verschafft.
Gesundheitssystem lahmgelegt
Change Healthcare bietet Dienstleistungen für das US-Gesundheitssystem an. Apotheken können über das System beispielsweise Medikamente mit Krankenversicherungen abrechnen oder prüfen, ob Patientinnen und Patienten Anrecht auf ein bestimmtes Mittel haben. Der Nachrichtenagentur Reuters zufolge wickelt das Unternehmen etwa die Hälfte aller Transaktionen im US-Gesundheitswesen ab.
In Folge des Angriffs konnten im Februar beispielsweise viele US-Apotheken keine Rezepte mehr mit den Versicherungen abrechnen. Patienten mussten sich somit entscheiden, ob sie ihre Medikamente zunächst selbst bezahlen oder sich nicht behandeln lassen.
Neben regulären Apotheken in den USA waren weltweit auch die Krankenhäuser und Apotheken des US-Militärs von den Auswirkungen des Angriffs betroffen.
Die American Hospital Association (AHA) hatte den Angriff im Frühjahr als "den schwerwiegendsten Vorfall dieser Art, der jemals gegen eine US-Gesundheitsorganisation verübt wurde“ bezeichnet. 94 Prozent der Krankenhäuser hätten finanzielle Einbußen erlitten, die Patientenversorgung sei bei 74 Prozent der Einrichtungen beeinträchtigt gewesen.
Lösegeldzahlung
Bei den Erpressern handelt es sich um eine als “AlphV” oder “BlackCat” bekannte Gruppe, auf die das US-Außenministerium eine Belohnung von 10 Millionen US-Dollar ausgesetzt hat.
Das Unternehmen hatte nach dem Angriff etwa 22 Millionen US-Dollar Lösegeld gezahlt und daraufhin eine Kopie des gestohlenen Datensatzes erhalten. Lösegeldzahlungen garantieren allerdings nicht, dass Erpresser Daten tatsächlich wiederherstellen oder von einer Veröffentlichung absehen. Es gibt offenbar auch keine Hinweise darauf, dass die Kriminellen die Daten in diesem Fall gelöscht haben.
IT-Sicherheitsexperten warnen, dass weiterhin das Risiko besteht, dass die gestohlenen Datensätze nachträglich veröffentlicht werden. Das Technik-Magazin Techcrunch bezeichnete den Angriff in der vergangenen Woche als “größten bekannten Diebstahl von US-Krankenakten” und resümierte: “Die Folgen für die Millionen Amerikaner, deren private medizinische Daten unwiederbringlich gestohlen wurden, werden wahrscheinlich lebenslang sein.”
Gesundheitsdaten als Beute
Bereits im vergangenen Jahr hatte es im Gesundheitsbereich in den USA mehrere IT-Sicherheitsvorfälle gegeben. Ende Oktober hatte das US-Gesundheitsministerium erklärt, mehr als 88 Millionen Menschen seien im Jahr 2023 von Datenlecks betroffen gewesen.
So wurden im Mai 2023 beispielsweise Sozialversicherungsnummern und Gesundheitsdaten von Millionen Versicherten gestohlen. Darunter waren auch Röntgenbilder und Angaben zu verschriebenen Medikamenten.
Im Dezember hatten Kriminelle zudem bei einem US-amerikanischen Krankenhausbetreiber Zugriff auf sensible Daten von Millionen Personen erlangt.
Ende vergangenen Jahres hatte außerdem ein Unternehmen, das 30 Krankenhäuser in sechs US-Bundesstaaten betreibt, Patienten aus einigen seiner Notaufnahmen in andere Krankenhäuser verlegen müssen. Die dortigen Systeme waren offline genommen worden, nachdem Ransomware entdeckt wurde. (hcz)