Der US-amerikanische Arzneimittelhersteller Cencora teilt mit, dass er die betroffenen Personen darüber in Kenntnis gesetzt habe, dass ihre persönlichen und hochsensiblen medizinischen Daten bei einem Cyberangriff und einer Datenpanne Anfang des Jahres gestohlen worden seien.
In Briefen an die Betroffenen, die diese Woche verschickt wurden, erklärte Cencora, dass die Daten aus seinen Systemen Namen, Postanschrift und Geburtsdatum der Patienten sowie Informationen zu ihrer Diagnose und ihren Medikamenten umfassten.
Der Pharmariese sagte, er habe die Patientendaten zunächst durch Partnerschaften mit anderen Arzneimittelherstellern „im Rahmen seiner Patientenunterstützungsprogramme“ erhalten. Dazu gehören Patienten von Abbvie, Acadia, Bayer, Novartis, Regeneron und anderen Unternehmen.
Cencora hat die Art des Cyberangriffs noch nicht beschrieben, der am 21. Februar begann und erst öffentlich bekannt gegeben wurde, als das Unternehmen Mitteilung an staatliche Regulierungsbehörden eingereicht eine Woche später, am 27. Februar. Das Unternehmen, das bis 2023 unter dem Namen AmerisourceBergen bekannt ist, wickelt rund 20 % der in den Vereinigten Staaten verkauften und vertriebenen Arzneimittel ab.
Cencora-Sprecher Mike Iorfino teilte Tech in einer E-Mail mit, dass Cencora keine Auskunft darüber geben wolle, ob das Unternehmen bereits ermittelt habe, wie viele Personen von der Sicherheitsverletzung betroffen seien und wie viele Personen das Unternehmen bislang benachrichtigt habe.
Dies ist der jüngste Sicherheitsvorfall im US-Gesundheitssektor nach einer Flut von Cyberangriffen in den letzten Monaten, nach dem großen Datendiebstahl und den anhaltenden Ausfällen bei Change Healthcare, das zu UnitedHealth gehört, und dem jüngsten und andauernden Cyberangriff, der hat einen Großteil des Krankenhausnetzwerks von Ascension offline geschaltet.
Der Sprecher von Cencora sagte, es gebe „keine Verbindung“ zwischen dem Vorfall bei Cencora und den Cyberangriffen auf Change und Ascension.
Laut den von Cencora bei US-Behörden eingereichten öffentlichen Meldungen über den Datenmissbrauch, die Tech vorliegen, hat Cencora seit Bekanntwerden des Datenmissbrauchs bisher etwa eine halbe Million Personen benachrichtigt. Die Zahl der von dem Datenmissbrauch bei Cencora betroffenen Personen dürfte weit höher sein. Auf der Website von Cencora heißt es, dass das Unternehmen bisher mindestens 18 Millionen Patienten betreut habe.
Cencora gab bekannt, dass es einen Hinweis auf ihrer Website und erklärte, dass das Unternehmen „nicht über die Adressdaten verfügt, um einige der von der Datenpanne betroffenen Personen direkt zu benachrichtigen“.
Sprecher der betroffenen Arzneimittelhersteller Abbvie, Acadia, Bayer und Regeneron antworteten nicht auf die Bitte von Tech um einen Kommentar.
Novartis-Sprecher Michael Meo bestätigte, dass Novartis „kürzlich über einen Cyber-Vorfall informiert wurde, in den die Patientendienstleistungsunternehmen Cencora und ihr Tochterunternehmen Innomar Strategies in Kanada verwickelt waren, die beide Dienstleistungen für Novartis erbracht haben“, lehnte jedoch weitere Kommentare ab und wollte auch nicht sagen, wie viele Novartis-Patienten von dem Datenleck betroffen sind. Der Sprecher wollte nicht sagen, ob Cencora Novartis mitgeteilt hat, wie viele seiner Patienten betroffen sind.
Cencora erzielte im Jahr 2023 einen Umsatz von 262 Milliarden Dollar, 10 % mehr als im Vorjahr, wie aus den jüngsten Finanzzahlen hervorgeht. Wie viel es für Cybersicherheit ausgibt, verrät das Unternehmen nicht.
Um diesen Reporter zu kontaktieren, kontaktieren Sie ihn über Signal und WhatsApp unter +1 646-755-8849 oder per E-Mail. Sie können Dateien und Dokumente auch über SecureDrop senden.