Change Healthcare hat einen Ransomware-Angriff auf seine Systeme im Februar bestätigt, der wochenlang zu umfangreichen Störungen des US-Gesundheitssystems führte und zum Diebstahl von Krankenakten führte, von denen ein „erheblicher Teil der Bevölkerung Amerikas“ betroffen war.
In eine Erklärung DonnerstagChange Healthcare teilte mit, dass das Unternehmen mit der Benachrichtigung der betroffenen Personen begonnen habe, deren Daten während des Cyberangriffs gestohlen wurden.
Der Health-Tech-Riese, der dem US-Versicherungskonglomerat UnitedHealth Group gehört, wickelt Patientenversicherungen und Abrechnungen für Tausende von Krankenhäusern, Apotheken und Arztpraxen im gesamten US-Gesundheitssektor ab. Damit hat das Unternehmen Zugriff auf riesige Mengen an Gesundheitsdaten von etwa einem Drittel aller Amerikaner.
Der Cyberangriff veranlasste das Unternehmen zur Abschaltung seiner Systeme. Dies führte zu Ausfällen und Verzögerungen bei Tausenden von Gesundheitsdienstleistern, die auf Change angewiesen sind, und war betraf zahllose Patienten, die keine Rezepte erhalten konnten oder bei denen sich die medizinische Versorgung oder Behandlungen verzögerten.
Change sagte in seiner jüngsten Stellungnahme, dass es „nicht genau bestätigen“ könne, welche Daten über die einzelnen Personen gestohlen wurden, und dass die Informationen von Person zu Person unterschiedlich sein könnten.
Zu den betroffenen Informationen zählen persönliche Informationen wie Namen und Adressen, Geburtsdaten, Telefonnummern und E-Mail-Adressen sowie staatliche Ausweisdokumente wie Sozialversicherungsnummern, Führerscheine und Passnummern.
Die Daten umfassen laut Change auch Krankenakten und Gesundheitsinformationen wie Diagnosen, Medikamente, Testergebnisse, Bildgebung sowie Pflege- und Behandlungspläne. Die Hacker stahlen Krankenversicherungsinformationen, darunter Plan- und Policendetails, sowie Rechnungs-, Anspruchs- und Zahlungsinformationen, darunter laut Change auch Finanz- und Bankinformationen.
Change sagte, dass es sich noch in der „Spätphase“ der Überprüfung der gestohlenen Daten befinde, um festzustellen, was gestohlen wurde, und dass möglicherweise noch weitere betroffene Personen identifiziert werden könnten. Einige der gestohlenen Informationen könnten sich auf Bürgen beziehen, die für jemand anderen die Gesundheitsrechnungen bezahlt haben, sagte das Unternehmen.
Das Unternehmen fügte hinzu, dass betroffene Personen ab Ende Juli per Post benachrichtigt werden sollten.
Der Ransomware-Angriff auf Change Healthcare ist einer der größten jemals bekannten digitalen Diebstähle von US-Krankenakten. Während die vollen Auswirkungen dieses Datendiebstahls noch unklar sind, sind die Folgen für die Millionen von Amerikanern, deren private Krankendaten unwiederbringlich kompromittiert wurden, wahrscheinlich unabsehbar.
Change erklärte, dass das Unternehmen im März eine Kopie des gestohlenen Datensatzes gesichert habe, um ihn zu überprüfen und die betroffenen Personen zu identifizieren und zu benachrichtigen. Wie zuvor laut Tech berichtet wurde, sei der Datensatz gegen die Zahlung einer Lösegeldforderung erhalten worden.
UnitedHealth bestätigte, dass es mindestens eine Lösegeldforderung an die cyberkriminelle Gruppe hinter dem Ransomware-Angriff, bekannt als ALPHV, bezahlt hat, um die Veröffentlichung der gestohlenen Dateien zu verhindern. Eine andere Hackergruppe namens RansomHub forderte eine weitere Zahlung von UnitedHealth, nachdem sie behauptet hatte, ALPHV sei mit der ersten Lösegeldzahlung durchgebrannt, habe die gestohlenen Daten aber bei einem seiner Partner – im Wesentlichen einem Auftragnehmer – hinterlassen, der eingebrochen sei und die Ransomware auf den Systemen von Change installiert habe.
RansomHub veröffentlichte daraufhin mehrere Dateien auf seiner Darknet-Leak-Site und drohte, die Daten an den Höchstbietenden zu verkaufen, wenn kein weiteres Lösegeld gezahlt würde.
Laut Andrew Witty, dem Geschäftsführer von UnitedHealth, drangen die Hacker in das Netzwerk von Change Healthcare ein und verwendeten dabei gestohlene Zugangsdaten für ein internes System, das nicht durch eine Multi-Faktor-Authentifizierung geschützt war. Dabei handelt es sich um eine Sicherheitsfunktion, die es böswilligen Hackern erschwert, gestohlene Passwörter zu missbrauchen.
Der Ransomware-Angriff kostete UnitedHealth in den ersten drei Monaten des Jahres rund 870 Millionen Dollar, während das Unternehmen laut Gewinnbericht 100 Milliarden Dollar Umsatz machte. UnitedHealth wird seine jüngsten Ergebnisse voraussichtlich Mitte Juli bekannt geben.