Während des Ransomware-Angriffs auf Change Healthcare im Februar wurden mehr als 100 Millionen Menschen ihre privaten Gesundheitsdaten gestohlen. Dabei handelte es sich um einen Cyberangriff, der monatelang zu beispiellosen Ausfällen und weitreichenden Störungen im gesamten US-amerikanischen Gesundheitssektor führte.
Dies ist das erste Mal, dass die UnitedHealth Group (UHG), der US-Krankenversicherer, zu dem das Gesundheitstechnologieunternehmen gehört, mehrere betroffene Personen von der Datenpanne betroffen hat, nachdem sie zuvor erklärt hatte, dass sie damit rechnete, dass die Datenschutzverletzung „erhebliche“ Daten umfassen werde Anteil der Menschen in Amerika.“
Das US-Gesundheitsministerium Ich habe zuerst die aktualisierte Nummer gemeldet auf seinem Datenschutzportal am Donnerstag.
UHG-Sprecher Tyler Mason sagte in einer kurzen Erklärung: „Angesichts des Umfangs und der Komplexität der betroffenen Daten benachrichtigen wir potenziell betroffene Personen weiterhin so schnell wie möglich und fortlaufend, und die Untersuchung befindet sich noch in der Endphase.“
Der Ransomware-Angriff und die Datenpanne bei Change Healthcare gelten als der größte bekannte digitale Diebstahl US-amerikanischer Krankenakten und als eine der größten Datenpannen in der Geschichte. Die Folgen für die Millionen Amerikaner, deren private medizinische Daten unwiederbringlich gestohlen wurden, werden wahrscheinlich lebenslang sein.
UHG begann Ende Juli mit der Benachrichtigung der betroffenen Personen und dauerte bis Oktober.
Die gestohlenen Daten sind von Person zu Person unterschiedlich, Change hat jedoch zuvor bestätigt, dass es sich dabei um persönliche Informationen wie Namen und Adressen, Geburtsdaten, Telefonnummern und E-Mail-Adressen sowie staatliche Ausweisdokumente wie Sozialversicherungsnummern, Führerscheinnummern und Reisepassnummern handelt . Zu den gestohlenen Gesundheitsdaten gehören Diagnosen, Medikamente, Testergebnisse, Bildgebung sowie Pflege- und Behandlungspläne sowie Informationen zur Krankenversicherung – sowie Finanz- und Bankinformationen, die in den von den Kriminellen erfassten Schadens- und Zahlungsdaten enthalten sind.
Change Healthcare ist einer der größten Verarbeiter von Gesundheits-, medizinischen Daten und Patientenakten und verarbeitet Patientenversicherungen und Abrechnungen im gesamten US-amerikanischen Gesundheitssektor, darunter Tausende von Krankenhäusern, Apotheken und Arztpraxen. Daher verarbeitet Change riesige Mengen an Gesundheits- und Medizininformationen von rund einem Drittel aller Amerikaner, sagte der Vorstandsvorsitzende des Unternehmens, Andrew Witty, im Mai gegenüber dem Gesetzgeber.
Der Cyberangriff wurde am 21. Februar öffentlich, als Change Healthcare einen Großteil seines Netzwerks offline nahm, um die Eindringlinge einzudämmen, was zu sofortigen Ausfällen im gesamten US-amerikanischen Gesundheitssektor führte, der sich bei der Abwicklung von Patientenversicherungen und Abrechnungen auf Change verließ.
UHG schrieb den Cyberangriff ALPHV/BlackCat zu, einer russischsprachigen Ransomware- und Erpresserbande, die sich später für den Cyberangriff verantwortlich machte.
Die Anführer der Ransomware-Bande verschwanden später, nachdem sie sich mit einem vom Krankenversicherungsriesen gezahlten Lösegeld in Höhe von 22 Millionen US-Dollar davongemacht hatten, und entlasteten damit die Auftragnehmer der Gruppe, die den Hackerangriff auf Change Healthcare durchgeführt hatten, um ihren neuen finanziellen Gewinn. Die Auftragnehmer nahmen die Daten, die sie von Change Healthcare gestohlen hatten, und bildeten eine neue Gruppe, die ein zweites Lösegeld von UHG erpresste und dabei einen Teil der gestohlenen Dateien online veröffentlichte, um ihre Drohung zu beweisen.
Es gibt keine Hinweise darauf, dass die Cyberkriminellen die Daten anschließend gelöscht haben. Andere Erpresserbanden, darunter LockBit, horten nachweislich gestohlene Daten, selbst nachdem das Opfer bezahlt hat und die Kriminellen behaupten, die Daten gelöscht zu haben.
Durch die Zahlung des Lösegelds erhielt Change eine Kopie des gestohlenen Datensatzes, wodurch das Unternehmen die betroffenen Personen, deren Informationen in den Daten gefunden wurden, identifizieren und benachrichtigen konnte.
Die Bemühungen der US-Regierung, die Hacker hinter ALPHV/BlackCat, einer der produktivsten Ransomware-Banden der Gegenwart, zu fassen, sind bisher gescheitert. Die Bande erholte sich nach einer Takedown-Aktion im Jahr 2023, bei der die Dark-Web-Leak-Site der Bande beschlagnahmt wurde.
Monate nach dem Verstoß gegen Change Healthcare erhöhte das US-Außenministerium seine Belohnung für Informationen über den Aufenthaltsort der ALPHV/BlackCat-Cyberkriminellen auf 10 Millionen US-Dollar.
Unternehmenskonsolidierung und mangelnde Sicherheit werden für Datenschutzverletzungen verantwortlich gemacht
Teile des Netzwerks von Change Healthcare bleiben offline, während sich das Unternehmen weiterhin von dem Cyberangriff im Februar erholt. Der Gesetzgeber untersucht außerdem den Verstoß und die Auswirkungen auf die Millionen Amerikaner, deren Gesundheitsdaten unwiderruflich gestohlen wurden.
Während einer Anhörung des Repräsentantenhauses zu dem Cyberangriff im April bestätigte Witty, CEO von UnitedHealth, dass die Cyberkriminellen mit gestohlenen Zugangsdaten, die nicht durch Multi-Faktor-Authentifizierung (MFA) geschützt waren, in eines der Mitarbeitersysteme eingebrochen sind Missbrauch des Passwortdiebstahls.
Indem sich die Ransomware-Bande nur mit einem gestohlenen Passwort Zugang zu einem kritischen internen System verschaffte, war sie in der Lage, andere Teile des Netzwerks von Change Healthcare zu erreichen und Ransomware einzusetzen.
Es ist unklar, warum das System nicht durch MFA geschützt wurde, aber dies wird wahrscheinlich ein wichtiger Teil der laufenden Untersuchungen durch Gesetzgeber und Regierung bleiben. Witty teilte den Gesetzgebern mit, dass die Organisation inzwischen die MFA eingeführt habe und nach dem Cyberangriff nun die MFA durchsetze.
Der Gesetzgeber hat sich mit der Art und Weise auseinandergesetzt, wie UHG mit so vielen Daten umgeht und so viel Umsatz generiert, und bei der grundlegenden Cybersicherheit versagt.
Laut seinem Gewinnbericht für das Gesamtjahr 2023 erzielte UHG einen Gewinn von 22 Milliarden US-Dollar bei einem Umsatz von 371 Milliarden US-Dollar. Witty verdiente im selben Jahr 23,5 Millionen US-Dollar an Führungsvergütungen.
Während in diesem Fall das Fehlen von MFA missbraucht wurde, machte die schiere Größe und Fülle an hochsensiblen Daten, die Change Healthcare sammelt und speichert, es zu einem eigenen Ziel. sagten die Gesetzgeber.
Change Healthcare fusionierte 2022 im Rahmen eines 7,8-Milliarden-Dollar-Deals der UnitedHealth Group mit dem US-amerikanischen Gesundheitsdienstleister Optum. Der Deal brachte die beiden Gesundheitsgiganten unter UHG und ermöglichte Optum, das Ärztegruppen besitzt und Technologie und Daten für Versicherungsunternehmen und Gesundheitsdienste bereitstellt, umfassenden Zugriff auf die von Change verwalteten Patientenakten.
Laut Angaben der UnitedHealth Group bietet die UnitedHealth Group insgesamt über 53 Millionen US-Kunden Leistungspläne und weitere 5 Millionen außerhalb der USA an seinen neuesten Ergebnisbericht für das Gesamtjahr. Optum bedient rund 103 Millionen US-Kunden.
Der Deal wurde von den US-amerikanischen Kartellbehörden geprüft verklagt, um UHG daran zu hindern, Change Healthcare zu kaufen und mit Optum zu fusionierenmit der Begründung, dass UnitedHealth einen unfairen Wettbewerbsvorteil erlangen würde, wenn es Zugang zu „etwa der Hälfte aller Krankenversicherungsansprüche der Amerikaner jedes Jahr“ erhält. Ein Richter stimmte dem Deal schließlich zu.
Berichten zufolge begann das Justizministerium intensiviert seine Ermittlungen zu UHG und seine potenziell wettbewerbswidrigen Praktiken in den Monaten vor dem Change Healthcare-Hack.
Aktualisiert mit UHG-Kommentar.
Mehr lesen: