Zwei Monate nachdem Hacker in die Systeme von Change Healthcare eingebrochen sind und Unternehmensdaten gestohlen und anschließend verschlüsselt haben, ist immer noch unklar, wie viele Amerikaner von dem Cyberangriff betroffen waren.
Letzten Monat sagte Andrew Witty, CEO der Muttergesellschaft UnitedHealth Group von Change Healthcare, dass die gestohlenen Dateien die persönlichen Gesundheitsinformationen „eines erheblichen Teils der Menschen in Amerika“ enthielten.
Als Witty am Mittwoch während einer Anhörung im Repräsentantenhaus dazu gedrängt wurde, eine definitivere Antwort zu geben, bezeugte er, dass der Verstoß „Ich glaube, vielleicht ein Drittel“ betroffen habe [of Americans] oder irgendwo auf diesem Niveau.“
Witty sagte, er zögere, eine genauere Antwort zu geben, da das Unternehmen den Verstoß noch immer untersucht und versuche herauszufinden, wie viele Personen genau betroffen seien.
Der Sprecher von UnitedHealth, Anthony Marusic, reagierte nicht sofort auf eine Bitte um einen Kommentar zu Wittys Schätzung.
Während einer Anhörung vor dem Senat am Mittwoch sagte Witty, dass es wahrscheinlich „mehrere Monate“ dauern werde, bis das Unternehmen damit beginnen könne, die Opfer über die Datenschutzverletzung zu informieren.
In einer schriftlichen Erklärung, die Witty vor den beiden Anhörungen eingereicht hatte, schrieb der CEO: „Bisher haben wir keine Hinweise auf die Ausschleusung von Materialien wie Krankenakten oder vollständigen Krankengeschichten in den Daten gesehen.“
Laut Wittys Aussage nutzten die Hacker „kompromittierte Anmeldeinformationen, um aus der Ferne auf ein Citrix-Portal von Change Healthcare zuzugreifen“, das nicht durch Multi-Faktor-Authentifizierung geschützt war, eine grundlegende Cybersicherheitsmaßnahme, die einen zusätzlichen Schritt zur Anmeldung bei Konten und Systemen hinzufügt.
Hätte dieses Portal die Multi-Faktor-Authentifizierung aktiviert, wäre der Verstoß möglicherweise nicht aufgetreten. Mehrere Senatoren kritisierten Witty wegen dieses Versäumnisses und fragten ihn, ob die Systeme von UnitedHealth und Change Healthcare jetzt durch Multi-Faktor-Authentifizierung geschützt seien.
Während der Anhörung im Senat sagte Witty: „Wir haben in der gesamten Organisation eine durchgesetzte Richtlinie zur Multi-Faktor-Authentifizierung auf allen unseren externen Systemen, die auch vorhanden ist.“
Zum jetzigen Zeitpunkt läuft die Anhörung im Repräsentantenhaus und wir werden diese Geschichte aktualisieren, sobald weitere Informationen verfügbar sind.