In den USA häufen sich momentan die Meldungen über Datenlecks im Bereich Labore und Gesundheitswesen. Ein Dienstleister, der Abrechnungen im US-Gesundheitswesen übernimmt, wurde über Monate gehackt. Das betrifft natürlich auch dessen Kunden, die Labore und Anbieter von Medizinleistungen. Hier ein kurzer Überblick, was mir an Informationen so unter die Augen gekommen ist.
Anzeige
In Europa haben wir ja einen Ransomware-Angriff auf die Labore des in Luxemburg ansässigen Labordienstleisters Eurofins gehabt. Dort wurden aber wohl keine Daten abgegriffen. In den USA sieht das aber anders aus.
Der AMCA/Quest HacK mit fast 20 Millionen Daten
Vor sechs Tagen gab es erste Berichte über einen Hack bei Quest Diagnostics, bei dem Patientendaten (Abrechnungsdaten, Labordaten) abgeflossen sein könnten. ZDNet berichtet hier von 12 Millionen Daten.
Die Details des Hacks
In dieser Mittelung hat die American Medical Collection Agency (AMCA), ein Anbieter von Abrechnungsinkasso-Dienstleistungen, Quest Diagnostics mitgeteilt, dass ein nicht autorisierter Benutzer Zugang zum System von AMCA hatte. Dieser Zugriff erfolgte auf personenbezogene Daten, die AMCA von verschiedenen Unternehmen, einschließlich Quest, erhalten hat. AMCA erbringt Inkassodienstleistungen für Optum360, das wiederum ein Auftragnehmer von Quest ist. Quest und Optum360 arbeiten mit forensischen Experten zusammen, um die Angelegenheit zu untersuchen.
AMCA hat Quest und Optum360 am 14. Mai 2019 erstmals über mögliche unbefugte Aktivitäten auf der Web-Zahlungsseite von AMCA informiert. Am 31. Mai 2019 teilte AMCA Quest und Optum360 mit, dass die Daten über das betroffene System von AMCA Informationen über etwa 11,9 Millionen Quest Patienten enthielten. AMCA ist der Ansicht, dass diese Informationen personenbezogene Daten umfassen, einschließlich bestimmter Finanzdaten, Sozialversicherungsnummern und medizinischer Informationen, aber keine Laborergebnisse.
Laut einer Meldung von Quest Diagnostics an die Aufsichtsbehörde SEC (United States Securities and Exchange Commission) wurde das Zahlungssystem von AMCA am 1. August 2018 kompromittiert und blieb bis zum 30. März 2019 verwundbar. Zu den offengelegten Informationen gehören Patientennamen, Geburtsdaten, Adressen, Telefonnummern, Servicedaten, Anbieter und Saldoinformationen. Der Anbieter LabCorp teilte mit, dass etwa 200.000 Menschen auch ihre Kreditkarten- oder Bankkontoinformationen gestohlen wurden. Medizinische Daten und Laborergebnisse wurden nicht veröffentlicht. Inzwischen läuft nach diesem Bericht eine Sammelklage gegen das Unternehmen, bei dem die Zahl ebenfalls mit 11,9 Millionen Patienten aufgeführt wird. Und in Artikel wie hier erhalten die Amerikaner "Tipps", wie sie sich nach dem Hack schützen können.
Bei LabCorb wurden 7,7 Millionen Daten gestohlen
In obigem Text wurde ja bereits erwähnt, dass die Angreifer sich an der Quelle, dem Abrechnungsdienst, bedient haben. Darunter auch der Anbieter LabCorb (Laboratory Corporation of America Holdings (LabCorp) ist ein amerikanisches S & P 500-Unternehmen mit Hauptsitz in Burlington, North Carolina). Das Unternehmen betreibt eines der größten klinischen Labornetzwerke der Welt mit einem US-amerikanischen Netzwerk von 36 Primärlaboratorien. Labcorb teilte (gelöscht) mit, dass es beim AMCA-Hack mit 7,7 Millionen Datensätzen betroffen sei.
Anzeige
Dies betrifft wohl keine Labordaten, aber Abrechnungs- und Patientendaten. AMCA hat LabCorp informiert, dass Sozialversicherungsnummern und Versicherungsinformationen nicht für LabCorp-Patienten gespeichert oder gepflegt werden. Informationen, die LabCorp stellt dem Anbieter ACMA aber folgende Daten zur Verfügung: Vor- und Nachname, Geburtsdatum, Adresse, Telefon, Servicedatum, Anbieter und Saldoinformationen. AMCA hat ferner darauf hingewiesen, dass beim Hack auch Kreditkarten- oder Bankkontoinformationen von etwa 200.000 Patienten betroffen sein könnten, die die Labcorb dem Abrechnungsanbieter AMCA zur Verfügung gestellt hatte, um Zahlungen abzuwickeln. Techcrunch berichtet hier über diesen Fall. Die Anzahl der potentiell Betroffenen erhöht sich dadurch auf ca. 20 Millionen, wie es auch in den Artikeln bei Engadget und hier thematisiert wird.
Über 400.000 Patienten bei Opko Health betroffenen
Beim gleichen Hack wurden möglicherweise auch Daten von 400.000 Opko Health-Kunden abgezogen, wie Bleeping Computer hier berichtet. Die in über 30 Ländern vertretene Labor- und Medizinfirma OPKO Health Inc. teilte mit, dass eine ihrer Tochtergesellschaften, BioReference Laboratories Inc., von der American Medical Collection Agency (AMCA) über unbefugte Aktivitäten auf deren Webseite informiert wurde.
Was nutzen die Daten?
Aktuell ist mir dieser Artikel unter die Augen gekommen, der beleuchtet, wie Hacker diese Daten zu Geld machen können. Der medizinische Hintergrund von Patienten lässt sich über die Daten auskundschaften, so dass diese im Darknet angeboten werden. Das umfasst Versicherungsunterlagen, medizinische Diplome, Arztlizenzen und DEA-Lizenzen, die alle für ca. 500 $ pro Eintrag erworben werden können. Manchmal versuchen die Käufer der Daten medizinische Leistungen mit Versicherungen abzurechnen, die es nie gegeben hat – sie bekommen ja die Finanztransaktionsdaten vorheriger Leistungen als Schablone geliefert.
Auflistungen für gestohlene Krankenversicherungsinformationen, die verwendet werden konnten, um gefälschte Ansprüche auf Kosten des Opfers zu erstellen, sind schon für weniger als 3,25 $ zu haben. Für zwischen $10 und $120 pro Datensatz können Betrüger, laut einem Carbon Black-Report, gefälschte Rezepte, Etiketten, Verkaufsbelege und gestohlene Gesundheitskarten kaufen. Oder sie kommen an Dokumente von Ärzten oder Behörden, die sie für eigene Zwecke missbrauchen.
Ausblick auf Deutschland und Europa
Das Ganze hat in etwas die Qualität, als wenn die Kassenärztlichen Vereinigungen (KV) in Deutschland gehackt worden wäre. Dies übernehmen die Abrechnung (gebrochen) der ärztlichen Leistungen mit den Krankenkassen. Allerdings sind dort keine Daten in der Brisanz wie in den USA zu finden – da die gesetzlichen Krankenkassen die Zahlungen an die Ärzte leisten. Ob da so ein Betrug möglich wäre, weiß ich nicht – durch die Pauschalierung bei gesetzlich Versicherten ist das weniger lukrativ – da wird eher von den Beteiligten im Gesundheitswesen beschissen.
(Quelle: Pexels/Pixabay CC0 Lizenz)
Die Online-Sorge der Briten
Interessanter Informationssplitter die diesem Zusammenhang, der sich mit dem Online-Sicherheitsgefühl von Normalnutzern befasst: Diesem Bericht nach sind vier von 5 Briten besorgt über die Datensicherheit, wenn sie online sind. Das geht aus dem aktuellen Ofcom-Bericht hervor. Der Bericht ergab, dass 61% der Erwachsenen in den letzten 12 Monaten eine "potenziell schädliche Online-Erfahrung" hatten, während Kinder zwischen 12 und 15 Jahren berichteten, dass 79% von ihnen im gleichen Zeitraum eine schädliche Erfahrung hatten. Schöne neue Online-Welt. Und beim Brexit dürfte es auch in diesem Bereich zu Verwerfungen kommen. Die DSGVO gilt in Großbritannien dann nicht mehr, so dass Datentransfers aus der EU nach GB unzulässig sind. Heise arbeitet sich hier an diesem Thema b.
Ähnliche Artikel:
Baltimore nach Ransomware nach 2 Wochen noch offline
Ransomware-Angriff auf Baltimore: Millionen-Schaden
Anzeige
Deutschland ist mit der eGK auf dem Weg in ein gleich geartetes Szenario mit den gleichen Risiken.
In diesem gespenstischen System sind so viele Profit gierige Parteien involviert und beteiligt, dass jedem normalen Menschen nur Angst und Bange um seine Daten werden kann.
Ich bin mir absolut sicher, wenn diese Horrorkonstruktion irgendwann einmal steht, ist mit Sicherheitslücken, Datenleaks und Cyberkriminellen zu rechnen.