Pharmariese Cencora warnt Millionen vor Datenschutzverletzung

Wie Tech herausfand, hat Cencora bisher über eine Million Menschen in den USA darüber informiert, dass ihre persönlichen und geschützten Gesundheitsdaten bei einem Datenleck Anfang des Jahres kompromittiert wurden.

Der Pharmariese gab im Mai bekannt, dass ein Vorfall im Februar zur Kompromittierung von Patientendaten geführt habe. An diese Daten hatte Cencora durch Partnerschaften mit Arzneimittelherstellern gelangt, mit denen es im Rahmen seiner Patientenunterstützungsprogramme zusammenarbeitet. Zu diesen Arzneimittelherstellern zählen unter anderem AbbVie, Bayer, Pfizer und Regeneron.

Cencora, bis 2023 als AmerisourceBergen bekannt, sagt in seine Benachrichtigung über Datenschutzverletzungen dass zu den kompromittierten Daten die Namen der Patienten, ihre Postanschrift und ihr Geburtsdatum sowie Informationen zu ihren Gesundheitsdiagnosen, Medikamenten und Rezepten gehören.

Der Pharmariese hat sich bisher geweigert, die Ursache für den Datendiebstahl zu beschreiben, etwa ob der Vorfall von böswilligen Hackern oder einer Sicherheitslücke innerhalb des Unternehmens verursacht wurde. Cencora hat sich auch geweigert, die Zahl der Personen zu bestätigen, die über den Datendiebstahl informiert wurden.

Aus der Analyse der veröffentlichten Meldungen zu Datenschutzverletzungen durch Tech geht hervor, dass Cencora mindestens 1,43 Millionen Personen darüber informiert hat, dass ihre Daten bei dem Vorfall im Februar kompromittiert wurden.

Unsere Analyse umfasste die Suche nach Datenschutzverletzungsmeldungen, die auf den Websites mehrerer Generalstaatsanwälte der US-Bundesstaaten veröffentlicht wurden, darunter Delaware, Iowa, Massachusetts, Montana, New Hampshire, TexasUnd Washington. Diese Bundesstaaten verlangen von den von einem Datenleck betroffenen Unternehmen, die genaue Zahl der zu benachrichtigenden Einwohner ihres Staates öffentlich bekannt zu geben. (Viele der Benachrichtigungen über Datenlecks werden entweder im Namen jedes einzelnen betroffenen Pharmaunternehmens oder über Cencoras Muttergesellschaft, die Lash Group, eingereicht.) In Texas wurden die meisten Personen über das Cencora-Datenleck benachrichtigt. Zum Zeitpunkt der Abfassung dieses Artikels waren es 1,05 Millionen Personen.

Cencora hat die betroffenen Personen Mitte Juli über die jüngste Datenschutzverletzung informiert. Dies lässt darauf schließen, dass der Pharmariese diejenigen, deren Daten gestohlen wurden, noch immer benachrichtigt.

Die Zahl der von der Datenpanne betroffenen Personen dürfte weitaus höher sein. Cencora räumte ein in seiner eigenen Meldung über Datenschutzverletzungen dass es nicht alle Betroffenen benachrichtigen kann, da es nicht über aktuelle Adressinformationen für die Benachrichtigung verfügt.

Cencora gab Anfang des Jahres bekannt, dass das Unternehmen bislang mindestens 18 Millionen Patienten betreut habe.

In einer E-Mail vom Freitag bestritt Cencora-Sprecher Mike Iorfino nicht die Zahl der Personen, die bislang benachrichtigt wurden, wollte jedoch keine genaueren Zahlen nennen oder die Angelegenheit kommentieren.

Mit 1,42 Millionen betroffenen Menschen gilt dieser Datendiebstahl laut einer vom US-Gesundheitsministerium (HHS) veröffentlichten Liste von Datendiebstählen bereits jetzt als einer der bislang größten Angriffe auf gesundheitsbezogene Informationen im Jahr 2024.

Laut der laufenden Zählung des HHS allein für 2024 benachrichtigte der Krankenversicherungsriese Kaiser mehr als 13,4 Millionen Menschen, nachdem er versehentlich persönliche und gesundheitliche Informationen von Patienten an Werbetreibende weitergegeben hatte; das Rezeptverwaltungsunternehmen Sav-Rx benachrichtigte 2,8 Millionen, dass Ihre Gesundheitsinformationen wurden gestohlen bei einem früheren Cyberangriff; und der Krankenversicherungsverwalter WebPTA teilte 2,5 Millionen Menschen mit, dass Cyberkriminelle ihre Versicherungsinformationen und Sozialversicherungsnummern gestohlen hätten.

Obwohl die Zahl der betroffenen Personen noch nicht bekannt ist, dürfte es sich bei dem Ransomware-Angriff im Februar auf Change Healthcare, eine der größten gesundheitsbezogenen Datenschutzverletzungen in der US-Geschichte handeln, von denen ein „erheblicher Teil der Bevölkerung Amerikas“ betroffen war – wahrscheinlich mindestens hundert Millionen US-Bürger.

Cencora wiederum erklärte, dass sein Datendiebstahl „keine Verbindung“ zu dem Ransomware-Angriff und dem Datendiebstahl bei Change Healthcare habe.

tch-1-tech