Die staatlichen Aufsichtsbehörden wurden darüber informiert, dass Anfang des Jahres mehr als 10 Millionen Patienten von einer Datenschutzverletzung bei Conduent betroffen waren. Das Unternehmen reichte bei der Securities and Exchange Commission (SEC) eine 8-K-Klage ein, aus der hervorgeht, dass der Vorfall Ende 2024 begann und bis Januar 2025 andauerte.
Conduent enthüllte, dass ein unbefugter Akteur zwischen dem 21. Oktober 2024 und dem 13. Januar 2025 auf seine digitale Umgebung zugegriffen und Dateien mit persönlichen Daten von Patienten erhalten hat. Obwohl das Unternehmen keine spezifischen Details zu den kompromittierten Daten offengelegt hat, können die Dateien Namen, Geburtsdaten, Sozialversicherungsnummern und Behandlungsinformationen enthalten. Die vollständige, nicht verifizierte Zahl der betroffenen Personen wurde ursprünglich nicht vom Unternehmen angegeben, aber die staatliche Mitteilung deutet darauf hin, dass die Größenordnung jetzt 10 Millionen übersteigt.
Zu den gemeldeten Staaten gehören Texas und Oregon. Den Aufsichtsbehörden in Texas wurde mitgeteilt, dass mehr als 4 Millionen Menschen in dieser Gerichtsbarkeit betroffen waren, während über 1 Million Menschen in Oregon in der Zählung enthalten waren. Das Unternehmen bedient zahlreiche Organisationen des Gesundheitswesens, darunter große Versicherer und regierungsnahe Behörden, und mehrere dieser Kunden haben ihren Mitgliedern Benachrichtigungen über Sicherheitsverletzungen zukommen lassen.
Conduent sagt, dass die Sicherheitsverletzung einen begrenzten Teil seines Netzwerks betraf und dass der tägliche Betrieb nicht beeinträchtigt wurde. Das Unternehmen beauftragte Cybersicherheitsfirmen mit der Durchführung externer und interner Überprüfungen seiner Systeme und sagte, dass es mit der Modernisierung seiner Netzwerksicherheitslage begonnen hat. Conduent gab auch bekannt, dass sich die Kosten für die direkte Reaktion auf etwa 25 Millionen US-Dollar beliefen. Diese Zahl wurde teilweise durch eine Leistung in Höhe von 9 Millionen US-Dollar gemildert, die von einem Rechtsschutzversicherer zurückgefordert wurde.
Der Vorfall unterstreicht die Risiken, die mit Unternehmensdienstleistern im Gesundheitswesen verbunden sind. Conduent bietet eine breite Palette von Back-Office-Dienstleistungen wie Drucken, Mailing, Dokumentenverarbeitung und Zahlungsintegrität sowohl für Regierungsbehörden als auch für Organisationen im Gesundheitswesen. Da sensible persönliche und medizinische Informationen im Auftrag anderer Organisationen verarbeitet werden, kann jeder Verstoß gegen seine Systeme Kaskadeneffekte haben.
Für die Betroffenen sind die Auswirkungen gravierend. Mit der erwarteten Offenlegung hochsensibler Identifikatoren wie Sozialversicherungsnummern oder Behandlungsunterlagen steigt das Risiko von Identitätsdiebstahl, medizinischem Identitätsbetrug oder Phishing für Patienten. Personen, deren Daten möglicherweise betroffen sind, sollten in Betracht ziehen, auf ungewöhnliche Aktivitäten zu achten, ihre Aussagen zu überprüfen und auf Mitteilungen zu achten, die sich auf Behauptungen beziehen, die sie nicht initiiert haben.
Obwohl Conduent nicht öffentlich bestätigt hat, ob die kompromittierten Daten verkauft oder online veröffentlicht wurden, deuten die Benachrichtigung an die Aufsichtsbehörden und das Ausmaß der Auswirkungen darauf hin, dass zu den betroffenen Parteien ein großer Teil des Kundenstamms des Anbieters gehört. Mehrere große Versicherer haben ihre Beteiligung an dem Vorfall oder den Benachrichtigungen betroffener Mitglieder öffentlich zugegeben, was die Frage aufwirft, wie gründlich die Dienstleister ihre Anbieterabhängigkeiten abgebildet haben und ob ein Anbieterverstoß Angreifern Zugang zu mehreren nachgelagerten Organisationen bieten könnte.
Aus regulatorischer Sicht wird der Verstoß wahrscheinlich genau unter die Lupe genommen werden. Generalstaatsanwälte der Bundesstaaten und Bundesaufsichtsbehörden überwachen Verstöße dieses Ausmaßes genau, insbesondere solche, die gesundheitsrechtliche Daten oder Dienstleistungen für Geschäftspartner betreffen. Unternehmen im Gesundheitswesen und im öffentlichen Dienstleistungssektor müssen sicherstellen, dass sie eine solide Aufsicht über Drittanbieter haben, Audits der Zugriffskontrollen durchführen, sensible Daten im Ruhezustand und während der Übertragung verschlüsseln und zeitnahe Incident-Response-Übungen durchführen.
Für Dienstanbieter wie Conduent kann dieses Ereignis zu erheblichen Änderungen führen. Das Unternehmen hat sich verpflichtet, mit Forensik-Teams zusammenzuarbeiten, betroffene Personen zu benachrichtigen und die Sicherheit seines Netzwerks zu verbessern. Die Praktiken des Anbietermanagements könnten überarbeitet werden, mit strengeren Anforderungen an Patching, Intrusion Detection, Segmentierung von Systemen und Einschränkung unnötiger Datenzugriffe. Unternehmen, die sich für Back-Office-Abläufe auf Anbieter verlassen, müssen jetzt genauer darauf achten, wie ihre Daten außerhalb der Primärsysteme gehandhabt werden.
Letztendlich ist diese Sicherheitsverletzung eine Erinnerung an die Komplexität und Interkonnektivität moderner Datensysteme. Ein Anbieter, der das Gesundheitswesen und behördliche Abläufe unterstützt, mag nebensächlich erscheinen, aber Sicherheitsverletzungen bei solchen Unternehmen können weitreichende und schwerwiegende Auswirkungen haben. Unternehmen müssen über die Annahme hinausgehen, dass ihr eigener Perimeter sicher ist, und die Cyber-Resilienz auf alle Ebenen ihres Partner-Ökosystems ausweiten.
Während die endgültigen Details noch ausstehen und die Gesamtzahl der Betroffenen noch höher sein könnte, bestätigt die Zahl von über 10 Millionen, dass es sich bei dem Verstoß um einen der größeren Vorfälle des Jahres handelt. Betroffene Patienten, Leistungserbringer und Aufsichtsbehörden werden alle vor der Frage stehen, wie sie Risiken managen, klar kommunizieren und ähnliche Ereignisse in Zukunft verhindern können.