Ein Ransomware-Angriff Anfang des Jahres auf das UnitedHealth-eigene Gesundheitstechnologieunternehmen Change Healthcare gilt wahrscheinlich als einer der größten Datenschutzverstöße bei US-Gesundheits- und medizinischen Daten in der Geschichte.
Monate nach der Datenpanne im Februar erhält ein „erheblicher Teil der in Amerika lebenden Menschen“ per Post die Mitteilung, dass ihre persönlichen Daten und Gesundheitsdaten während des Cyberangriffs auf Change Healthcare von Cyberkriminellen gestohlen wurden. Mittlerweile sind mindestens 100 Millionen Menschen von dem Verstoß betroffen.
Change Healthcare verarbeitet die Abrechnung und Versicherung für Hunderttausende Krankenhäuser, Apotheken und Arztpraxen im gesamten US-amerikanischen Gesundheitssektor. Daher sammelt und speichert es große Mengen hochsensibler medizinischer Daten von Patienten in den Vereinigten Staaten. Durch eine Reihe von Fusionen und Übernahmen wurde Change zu einem der größten Verarbeiter von US-Gesundheitsdaten und wickelte zwischen einem Drittel und der Hälfte aller US-Gesundheitstransaktionen ab.
Hier erfahren Sie, was seit Beginn des Ransomware-Angriffs passiert ist.
21. Februar 2024
Erster Bericht über Ausfälle, da ein Sicherheitsvorfall bekannt wird
Es kam mir wie ein gewöhnlicher Mittwochnachmittag vor, bis es nicht mehr so war. Der Ausfall kam plötzlich. Am 21. Februar funktionierten die Abrechnungssysteme in Arztpraxen und Gesundheitspraxen nicht mehr und Versicherungsansprüche wurden nicht mehr bearbeitet. Die Statusseite auf der Website von Change Healthcare wurde mit Ausfallmeldungen überschwemmt, die jeden Teil des Unternehmens betrafen, und später am Tag bestätigte das Unternehmen, dass es „eine Netzwerkunterbrechung im Zusammenhang mit einem Cybersicherheitsproblem“ gab. Offensichtlich war etwas sehr schief gelaufen.
Es stellt sich heraus, dass Change Healthcare seine Sicherheitsprotokolle aufgerufen und sein gesamtes Netzwerk abgeschaltet hat, um in seinen Systemen gefundene Eindringlinge zu isolieren. Das führte zu plötzlichen und großflächigen Ausfällen im gesamten Gesundheitssektor, der sich auf eine Handvoll Unternehmen – wie Change Healthcare – verlässt, um Krankenversicherungs- und Abrechnungsansprüche für weite Teile der Vereinigten Staaten abzuwickeln. Später wurde festgestellt, dass die Hacker mehr als eine Woche zuvor, etwa am 12. Februar, erstmals in die Systeme des Unternehmens eingedrungen waren.
29. Februar 2024
UnitedHealth bestätigt, dass es von einer Ransomware-Bande angegriffen wurde
Nachdem UnitedHealth das Eindringen zunächst (und fälschlicherweise) Hackern zugeschrieben hatte, die für eine Regierung oder einen Nationalstaat arbeiteten, erklärte es später am 29. Februar, dass der Cyberangriff tatsächlich das Werk einer Ransomware-Bande sei. UnitedHealth sagte, die Bande habe sich „uns gegenüber als ALPHV/BlackCat dargestellt“, sagte ein Unternehmenssprecher damals gegenüber Tech. Eine mit der ALPHV/BlackCat-Bande in Verbindung stehende Dark-Web-Leak-Seite machte sich ebenfalls die Verantwortung für den Angriff zu und behauptete, sie habe vertrauliche Gesundheits- und Patientendaten von Millionen Amerikanern gestohlen, was einen ersten Hinweis darauf lieferte, wie viele Personen von dem Vorfall betroffen waren.
ALPHV (auch bekannt als BlackCat) ist eine bekannte russischsprachige Ransomware-as-a-Service-Bande. Ihre Partner – Auftragnehmer, die für die Bande arbeiten – brechen in die Netzwerke der Opfer ein und setzen Malware ein, die von den Anführern von ALPHV/BlackCat entwickelt wurde, die einen Teil der Gewinne aus den Lösegeldern der Opfer einstreichen, um ihre Dateien zurückzubekommen.
Das Wissen, dass der Verstoß durch eine Ransomware-Bande verursacht wurde, veränderte die Gleichung des Angriffs von der Art von Hackerangriffen, die Regierungen durchführen – manchmal um eine Nachricht an eine andere Regierung zu senden, anstatt die privaten Daten von Millionen von Menschen zu veröffentlichen – zu einem Verstoß, der durch finanziell motivierte Cyberkriminelle verursacht wurde , die wahrscheinlich ganz andere Strategien anwenden, um ihren Lohn zu bekommen.
3.–5. März 2024
UnitedHealth zahlt ein Lösegeld von 22 Millionen US-Dollar an Hacker, die daraufhin verschwinden
Anfang März verschwand die Ransomware-Bande ALPHV. Die durchgesickerte Website der Bande im Dark Web, die sich Wochen zuvor für den Cyberangriff verantwortlich gemacht hatte, wurde durch eine Beschlagnahmungsmitteilung ersetzt, in der behauptet wurde, dass britische und US-amerikanische Strafverfolgungsbehörden die Website der Bande gelöscht hätten. Doch sowohl das FBI als auch die britischen Behörden bestritten, die Ransomware-Bande wie schon Monate zuvor zur Strecke gebracht zu haben. Alle Anzeichen deuten darauf hin, dass ALPHV mit dem Lösegeld davonläuft und einen „Exit-Betrug“ durchführt.
In einem Beitrag behauptete die ALPHV-Tochtergesellschaft, die den Hack auf Change Healthcare durchgeführt hatte, dass die ALPHV-Führung 22 Millionen US-Dollar als Lösegeld gestohlen habe, und fügte einen Link dazu hinzu eine einzelne Bitcoin-Transaktion am 3. März als Beweis für ihren Anspruch. Doch trotz des Verlusts ihres Anteils an der Lösegeldzahlung sagte die Tochtergesellschaft, dass die gestohlenen Daten „immer noch bei uns“ seien. UnitedHealth hatte ein Lösegeld an Hacker gezahlt, die die Daten zurückließen und verschwanden.
13. März 2024
Weit verbreitete Störungen im US-amerikanischen Gesundheitswesen aufgrund der Angst vor Datenschutzverletzungen
Unterdessen kam es auch Wochen nach Beginn des Cyberangriffs immer noch zu Ausfällen, da viele ihre Rezepte nicht einlösen konnten oder bar aus eigener Tasche bezahlen mussten. Der Militärkrankenversicherer TriCare sagte, dass auch „alle Militärapotheken weltweit“ betroffen seien.
Die American Medical Association war sagte, es gäbe nur wenige Informationen von UnitedHealth und Change Healthcare über die anhaltenden Ausfälle, die zu massiven Störungen führten, die sich weiterhin auf den gesamten Gesundheitssektor auswirkten.
Bis zum 13. März hatte Change Healthcare eine „sichere“ Kopie der gestohlenen Daten erhalten, für die das Unternehmen erst wenige Tage zuvor 22 Millionen US-Dollar bezahlt hatte. Dadurch konnte Change mit der Durchsicht des Datensatzes beginnen, um festzustellen, wessen Informationen bei dem Cyberangriff gestohlen wurden, mit dem Ziel, so viele betroffene Personen wie möglich zu benachrichtigen.
28. März 2024
Die US-Regierung erhöht ihr Kopfgeld auf 10 Millionen US-Dollar für Informationen, die zur Erfassung von ALPHV führen
Ende März gab die US-Regierung bekannt, dass sie ihr Kopfgeld für Informationen über wichtige Führungskräfte von ALPHV/BlackCat und seinen Tochtergesellschaften erhöhen würde.
Indem die US-Regierung jedem, der die Personen hinter der Bande identifizieren oder lokalisieren kann, 10 Millionen US-Dollar anbot, schien sie zu hoffen, dass einer der Insider der Bande sich gegen ihre ehemaligen Anführer wenden würde. Es könnte auch so gesehen werden, dass die USA sich der Gefahr bewusst werden, dass eine beträchtliche Anzahl von Gesundheitsinformationen der Amerikaner möglicherweise online veröffentlicht werden.
15. April 2024
Auftragnehmer gründet neue Lösegelderbande und veröffentlicht einige gestohlene Gesundheitsdaten
Und dann gab es noch zwei – nämlich Lösegeld. Mitte April startete die geschädigte Tochtergesellschaft eine neue Erpressungskette namens RansomHub und forderte von UnitedHealth ein zweites Lösegeld, da sie immer noch über die Daten verfügte, die sie von Change Healthcare gestohlen hatte. Dabei veröffentlichte RansomHub einen Teil der gestohlenen Dateien, die anscheinend private und sensible Patientenakten enthielten, als Beweis für ihre Bedrohung.
Ransomware-Banden verschlüsseln nicht nur Dateien; Außerdem stehlen sie so viele Daten wie möglich und drohen mit der Veröffentlichung der Dateien, wenn kein Lösegeld gezahlt wird. Dies wird als „doppelte Erpressung“ bezeichnet. In einigen Fällen kann die Ransomware-Bande, wenn das Opfer zahlt, das Opfer erneut erpressen – oder in anderen Fällen die Kunden des Opfers erpressen, was als „dreifache Erpressung“ bekannt ist.
Da UnitedHealth nun bereit war, ein Lösegeld zu zahlen, bestand die Gefahr, dass der Gesundheitsriese erneut erpresst würde. Aus diesem Grund plädieren Strafverfolgungsbehörden seit langem gegen die Zahlung eines Lösegelds, das es Kriminellen ermöglicht, von Cyberangriffen zu profitieren.
22. April 2024
Laut UnitedHealth haben Ransomware-Hacker Gesundheitsdaten eines „erheblichen Teils der Menschen in Amerika“ gestohlen.
Zum ersten Mal bestätigte UnitedHealth am 22. April – mehr als zwei Monate nach Beginn des Ransomware-Angriffs –, dass es zu einem Datenverstoß gekommen sei und dass davon wahrscheinlich ein „erheblicher Teil der Menschen in Amerika“ betroffen sei, ohne zu sagen, wie viele Millionen Menschen davon betroffen seien beinhaltet. UnitedHealth bestätigte außerdem, dass es ein Lösegeld für die Daten gezahlt habe, wollte jedoch nicht sagen, wie viele Lösegelder es letztlich zahlte.
Das Unternehmen gab an, dass die gestohlenen Daten hochsensible Informationen umfassen, darunter Krankenakten und Gesundheitsinformationen, Diagnosen, Medikamente, Testergebnisse, Bildgebung sowie Pflege- und Behandlungspläne sowie andere persönliche Informationen.
Angesichts der Tatsache, dass Change Healthcare Daten von etwa einem Drittel aller in den Vereinigten Staaten lebenden Menschen verarbeitet, dürfte die Datenpanne mindestens mehr als 100 Millionen Menschen betreffen. Auf Anfrage von Tech bestritt ein UnitedHealth-Sprecher die wahrscheinliche Zahl der Betroffenen nicht, sagte jedoch, dass die Datenüberprüfung des Unternehmens noch nicht abgeschlossen sei.
1. Mai 2024
Der Vorstandsvorsitzende der UnitedHealth Group bezeugt, dass Change keine grundlegende Cybersicherheit eingesetzt hat
Es ist vielleicht nicht überraschend, dass der Vorstandsvorsitzende Ihres Unternehmens zwangsläufig vor dem Gesetzgeber aussagen muss, wenn es in Ihrem Unternehmen zu einem der größten Datenschutzverstöße in der jüngeren Geschichte kam.
So geschah es mit Andrew Witty, CEO der UnitedHealth Group (UHG), der auf dem Capitol Hill zugab, dass die Hacker in die Systeme von Change Healthcare eingebrochen seien, indem sie ein einziges Passwort für ein Benutzerkonto verwendeten, das nicht durch Multi-Faktor-Authentifizierung geschützt war, eine grundlegende Sicherheitsfunktion, die dies kann Verhindern Sie Angriffe zur Wiederverwendung von Passwörtern, indem Sie einen zweiten Code anfordern, der an das Telefon des Kontoinhabers gesendet wird.
Eine der größten Datenschutzverletzungen in der Geschichte der USA sei völlig vermeidbar, lautete die Kernbotschaft. Witty sagte, dass der Datenverstoß wahrscheinlich etwa ein Drittel der in Amerika lebenden Menschen betreffen würde – im Einklang mit früheren Schätzungen des Unternehmens, dass der Verstoß etwa genauso viele Menschen betrifft, für die Change Healthcare Gesundheitsansprüche bearbeitet.
20. Juni 2024
UHG beginnt damit, betroffene Krankenhäuser und medizinische Dienstleister darüber zu informieren, welche Daten gestohlen wurden
Es dauerte bis zum 20. Juni, bis Change Healthcare damit begann, die betroffenen Personen offiziell darüber zu informieren, dass ihre Daten gestohlen wurden, wie es das Gesetz, das allgemein als HIPAA bekannt ist, gesetzlich vorschreibt, was wahrscheinlich teilweise durch die schiere Größe des gestohlenen Datensatzes verzögert wurde.
Das Unternehmen veröffentlichte eine Mitteilung, in der die Datenschutzverletzung offengelegt wurde und sagte, dass es damit beginnen werde, Personen zu benachrichtigen, die es in der „sicheren“ Kopie der gestohlenen Daten identifiziert habe. Change sagte jedoch, es könne „nicht genau bestätigen“, welche Daten über jede einzelne Person gestohlen wurden, und dass die Informationen von Person zu Person unterschiedlich sein könnten. Change gibt an, die Mitteilung auf seiner Website veröffentlicht zu haben, da „möglicherweise nicht genügend Adressen für alle betroffenen Personen vorhanden sind“.
Der Vorfall war so groß und komplex, dass das US-Gesundheitsministerium trat ein und sagte dass betroffene Gesundheitsdienstleister, deren Patienten letztendlich von dem Verstoß betroffen sind, UnitedHealth bitten können, betroffene Patienten in ihrem Namen zu benachrichtigen, eine Maßnahme, die darauf abzielt, die Belastung kleinerer Anbieter zu verringern, deren Finanzen durch den anhaltenden Ausfall beeinträchtigt wurden.
29. Juli 2024
Change Healthcare beginnt damit, bekanntermaßen betroffene Personen per Brief zu benachrichtigen
Der Gesundheitstechnologieriese bestätigte Ende Juni, dass er damit beginnen werde, diejenigen, deren Gesundheitsdaten bei seinem Ransomware-Angriff gestohlen wurden, fortlaufend zu benachrichtigen. Dieser Prozess begann Ende Juli.
Die an die betroffenen Personen verschickten Briefe stammen höchstwahrscheinlich von Change Healthcare, wenn nicht sogar von dem spezifischen Gesundheitsdienstleister, der von dem Hack bei Change betroffen ist. In dem Schreiben wird bestätigt, welche Arten von Daten gestohlen wurden, darunter medizinische Daten und Krankenversicherungsinformationen sowie Schaden- und Zahlungsinformationen, zu denen laut Change auch Finanz- und Bankinformationen gehören.
24. Oktober 2024
UnitedHealth bestätigt, dass mindestens 100 Millionen Menschen von Datenschutzverletzungen betroffen sind
Es dauerte mehr als acht Monate, bis der Krankenversicherungsriese dies bekannt gab, doch jetzt hat er bestätigt, dass mehr als 100 Millionen Menschen von der Datenpanne betroffen sind. Die Zahl der Betroffenen wird voraussichtlich noch steigen, da einige erst im Oktober Meldungen über Datenschutzverletzungen erhalten haben. Das US-Gesundheitsministerium meldete die aktualisierte Nummer auf seinem Datenschutzportal am 24. Oktober.
Derzeit handelt es sich bei dem Datenverstoß bei Change Healthcare um den größten digitalen Diebstahl US-amerikanischer Krankenakten und einen der größten Datenverstöße der Menschheitsgeschichte.