Berichten zufolge hat der Gesundheitsdienstleister Doctor Alliance eine große Datenschutzverletzung erlitten, bei der möglicherweise persönliche und medizinische Informationen aus über 1,2 Millionen Patientenakten offengelegt wurden. Es wird angenommen, dass es sich bei dem Vorfall, der zuerst in einem Datenleck-Forum aufgedeckt wurde, um sensible Dateien handelt, darunter Krankengeschichten, Rezepte, Behandlungsdetails und Versicherungsdokumente.
Zu den Proben der gestohlenen Daten, die von den Angreifern geteilt wurden, gehören offenbar mehr als 200 MB an Datensätzen mit Abrechnungsinformationen, Versicherungsanspruchsnummern und internen Krankenhausaufträgen. Forscher, die das Material überprüften, sagten, dass die Dateien Patientennamen, Privatadressen, Telefonnummern und Erkrankungen enthielten. Die offengelegten Informationen gelten als hochsensibel, da medizinische und Versicherungsdaten nach einer Kompromittierung nicht einfach ersetzt oder widerrufen werden können.
Doctor Alliance mit Sitz in Dallas, Texas, bietet Abrechnungs-, Dokumentations- und Technologiedienstleistungen für medizinisches Fachpersonal in den Vereinigten Staaten an. Das Unternehmen bestätigte, dass es sich um einen Cybersicherheitsvorfall handelte, hat aber nicht offengelegt, wie sich Angreifer Zugang verschafft haben oder welche spezifischen Systeme betroffen waren. Die Untersuchungen seien mit Hilfe externer Cybersicherheitsexperten im Gange.
Cybersicherheitsanalysten warnen davor, dass die Offenlegung von Krankenakten eine Vielzahl betrügerischer Aktivitäten ermöglichen kann, darunter Identitätsdiebstahl und Betrug bei Krankenversicherungen. Kriminelle können Patienteninformationen verwenden, um falsche Ansprüche geltend zu machen, verschreibungspflichtige Medikamente zu erhalten oder sich in medizinischen Systemen als Personen auszugeben. Analysten warnen auch davor, dass solche Daten weiterverkauft oder für gezielte Erpressungen verwendet werden können, insbesondere wenn sie persönliche Gesundheitsinformationen enthalten, die mit identifizierbaren Personen verbunden sind.
Der Vorfall unterstreicht das wachsende Risiko von Schwachstellen in der Lieferkette in der Gesundheitsbranche. Doctor Alliance Dient als Drittanbieter für Krankenhäuser und Kliniken, was bedeutet, dass eine einzige Sicherheitsverletzung mehrere Organisationen gleichzeitig betreffen kann. Branchenexperten sagen, dass das Ereignis Gesundheitsdienstleister dazu veranlassen sollte, ihre Datenverarbeitungsverfahren und Sicherheitsstandards der Anbieter zu überprüfen, um ähnliche Vorfälle zu verhindern.
Folgen für Patientinnen und Patienten und Versorgungsnetzwerke
Für Patienten, deren Daten möglicherweise offengelegt wurden, gehen die Risiken über unmittelbare Datenschutzbedenken hinaus. Medizinische Daten und Versicherungsdaten sind für Cyberkriminelle wertvoll, da sie noch Jahre nach einem Verstoß für Betrugsfälle verwendet werden können. Im Gegensatz zu Finanzdaten wie Kreditkartennummern können Krankenakten nicht einfach geändert oder ersetzt werden. Die Opfer können einem anhaltenden Risiko des Identitätsmissbrauchs oder betrügerischer Ansprüche in ihrem Namen ausgesetzt sein.
Doctor Alliance hat nicht bestätigt, ob eine Lösegeldforderung gestellt oder gezahlt wurde. Das Unternehmen erklärte, dass es mit den Strafverfolgungsbehörden zusammenarbeitet und potenziell betroffene Personen in Übereinstimmung mit den Meldepflichten des Bundes benachrichtigt. In den Vereinigten Staaten sind Gesundheitsdienstleister und ihre Anbieter gesetzlich verpflichtet, Vorfälle mit geschützten Gesundheitsinformationen innerhalb eines festgelegten Zeitraums an die Aufsichtsbehörden zu melden.
Sicherheitsforscher sagen, dass der Verstoß zeigt, dass Drittanbieter nach wie vor ein Hauptziel für Ransomware- und Datendiebstahlkampagnen sind. Angreifer haben es oft auf Anbieter abgesehen, die Abrechnungs- und Versicherungsdaten verwalten, da diese Systeme große Mengen an persönlichen und finanziellen Informationen enthalten. Sobald auf diese Informationen zugegriffen wird, können sie für eine Vielzahl von betrügerischen Aktivitäten genutzt werden.
Organisationen im Gesundheitswesen werden aufgefordert, ihre Abwehrmaßnahmen durch kontinuierliche Überwachung, regelmäßige Lieferantenaudits und strengere Zugriffskontrollen für gemeinsam genutzte Datenbanken zu stärken. Experten empfehlen außerdem eine stärkere Verschlüsselung der gespeicherten Patientendaten und schnellere Reaktionsverfahren, wenn unbefugte Aktivitäten entdeckt werden.
Der Doctor Alliance Vorfall verstärkt ein breiteres Muster von Angriffen auf Gesundheitsdienstleister, bei denen Verstöße sowohl finanzielle als auch persönliche Konsequenzen haben. Während die Ermittlungen weitergehen, dient der Fall als Erinnerung daran, dass der Schutz von Patientendaten nicht nur von Krankenhäusern und Kliniken abhängt, sondern auch von dem Netzwerk von Partnern, die täglich mit ihren Informationen umgehen.