Die 5 wichtigsten Cyber-Sicherheitsverletzungen bei Software für das Gesundheitswesen im Jahr 2022 in den USA (bis 31. Oktober 2022)

Die Internetkriminalität bringt viele neue Opfer, da die Zahl der Internetnutzer in der ganzen Welt jedes Jahr steigt und der Einsatz moderner Technologien verschiedene Branchen betrifft.

Einem Jahresbericht von IBM Security und dem Ponemon Institute zufolge sind die Kosten für Datenschutzverletzungen im Gesundheitswesen seit 2020 um 42 % gestiegen. Im 12. Jahr in Folge weist das Gesundheitswesen die höchsten durchschnittlichen Kosten für Datenschutzverletzungen aller Branchen auf. Die durchschnittlichen Gesamtkosten einer Datenschutzverletzung im Gesundheitswesen belaufen sich auf 10,10 Millionen US-Dollar. 

Abschnitt 13402(e)(4) des HITECH-Gesetzes schreibt vor, dass eine Liste von Verletzungen ungesicherter geschützter Gesundheitsdaten, die 500 oder mehr Personen betreffen, veröffentlicht werden muss.  Im Jahr 2021 meldeten mehr als 700 Gesundheitseinrichtungen in den USA einen Verstoß mit mehr als 500 Patientendaten.

Derzeit gibt es 523 gemeldete Datenschutzverletzungen, von denen 39315279 Personen betroffen sein könnten, was die Gesamtzahlen des letzten Jahres bereits übertrifft.

Die Anzahl der gemeldeten Verstöße gegenüber den betroffenen Persone

Von allen Verstößen wurden 373 von Gesundheitsdienstleistern, 91 von Geschäftspartnern und 58 von Krankenkassen gemeldet. 

Die Anzahl der Verstöße nach Entitätsty

419 der 523 Meldungen (78,9 %) betrafen Hackerangriffe/IT-Vorfälle, weitere 71 Meldungen (13,4 %) betrafen unbefugten Zugang/Weitergabe von Informationen.

Die Anzahl der Arten von Verstöße

Im Folgenden finden Sie eine Liste der verheerendsten Cyberangriffe (nach Anzahl der betroffenen Personen), die in diesem Jahr nach Angaben des Büros für Bürgerrechte des US-Gesundheitsministeriums (U.S. Department of Health and Human Services Office for Civil Rights) bisher durchgeführt wurden.

OneTouchPoint, Inc.

Ressource: OneTouchPoint, Inc.

OneTouchPoint, Inc. erbringt Marketingdienstleistungen für Anbieter im Gesundheits- und Medizinbereich. Im April 2022 sah sich das Unternehmen mit einer vorgeschlagenen Sammelklage konfrontiert, die sich auf eine Datenschutzverletzung bezog, bei der angeblich Kundendaten eines Druck- und Versanddienstleisters offengelegt wurden. OneTouchPoint behauptet, es habe am 28. April verschlüsselte Dateien auf einigen seiner Systeme entdeckt und sofort eine Untersuchung des Vorfalls eingeleitet. Später stellte das Unternehmen fest, dass Angreifer am 27. April auf sein Netzwerk zugegriffen hatten, konnte aber nicht feststellen, auf welche Dateien die Angreifer in seinem Netzwerk zugegriffen hatten. Ursprünglich wurde berichtet, dass 1073316 Personen von der Datenpanne betroffen waren. Später wurde bekannt gegeben, dass es sich um mehr als 2,6 Millionen Personen handelt, und bisher ist bekannt, dass 4112892 Personen betroffen waren. Zu den kompromittierten geschützten Gesundheitsdaten gehören vollständige Namen, Adressen, Ausweisnummern, Geburtsdaten und Sozialversicherungsnummern, medizinische und gesundheitliche Beurteilungsdaten, Diagnosecodes und Beschreibungen von Dienstleistungen. Bislang sind etwa 40 Organisationen von dieser Verletzung betroffen. 

Advocate Aurora Gesundheit

Ressource: Advocate Aurora Health

Mitte Oktober 2022 gab das gemeinnützige Gesundheitssystem Advocate Aurora Health, zu dem 27 Krankenhäuser gehören, eine Datenpanne bekannt, von der möglicherweise 3 Millionen Patienten betroffen waren. Das Datenleck wurde durch die Verwendung von Pixel-Technologie (Codefragmente, die Informationen über Nutzer auf bestimmten Websites oder Anwendungen sammeln) verursacht. Dank dieser Technologie wurden möglicherweise Gesundheitsdaten von Millionen von Patienten an Unternehmen wie Facebook und Google weitergegeben. Zu diesen Informationen gehören IP-Adresse, Datum, Uhrzeit, Art und Ort der geplanten Termine, Informationen über den Gesundheitsdienstleister, Vor- und Nachnamen und Krankenaktennummern (aufgrund der Verwendung von MyChart und LiveWell), Versicherungsstatus und Kontoinformationen von Bevollmächtigten. Nach der Aufdeckung hat dieses System die Pixel inzwischen abgeschaltet oder entfernt und eine Untersuchung des Falls eingeleitet.

Shields Health Care Group, Inc.

Ressource: Shields Health Care Group

Am 28. März 2022 teilte der auf MRT- und PET/CT-Diagnostik, Strahlenonkologie und ambulante chirurgische Dienste spezialisierte US-amerikanische Gesundheitsdienstleister Shields Health Care Group mit, dass "Shields auf verdächtige Aktivitäten aufmerksam gemacht wurde, die möglicherweise zu einer Datenkompromittierung geführt haben". Betroffen waren 2 Millionen Einzelpersonen aus 56 angeschlossenen Einrichtungen und Anbietern, und laut der offiziellen Mitteilung umfassten die verletzten geschützten Gesundheitsinformationen den vollständigen Namen, die Sozialversicherungsnummer, das Geburtsdatum, die Wohnadresse, die Anbieterinformationen, die Diagnose, die Rechnungsinformationen, die Versicherungsnummer und -informationen, die Krankenaktennummer, die Patienten-ID und andere medizinische oder Behandlungsinformationen vom 7. März 2022 bis zum 21. März 2022. Shields behauptet, dass es keine Beweise dafür gibt, dass die gestohlenen Daten missbräuchlich verwendet oder über nicht autorisierte Kanäle weitergegeben worden sind.

Professionelle Finanzgesellschaft, Inc.

Ressource: Professional Finance Company, Inc.

Professional Finance Company, Inc. ist eines der führenden Inkassounternehmen und bietet Dienstleistungen für Gesundheitsdienstleister, Einzelhändler, Finanzorganisationen und Behörden an. Am 26. Februar 2022 wurde laut der Meldung des Unternehmens über die Sicherheitsverletzung ein Ransomware-Angriff erkannt und abgewehrt. Während des Angriffs griff ein unbefugter Eindringling auf einige Systeme zu und erlangte geschützte Gesundheitsdaten.  Zu den potenziell erlangten Informationen gehörten Namen, Adressen, Forderungssalden, Informationen über Zahlungen auf Konten, Geburtsdaten, Sozialversicherungsnummern, Krankenversicherungsinformationen und Informationen über die medizinische Behandlung von 1918941 Personen von mindestens 24 Kunden. Nach dem Vorfall hat das Unternehmen nach eigenen Angaben die anfälligen Systeme überprüft und wiederhergestellt und Maßnahmen zur Verbesserung der Netzwerksicherheit ergriffen.
 

Baptist Medical Center (Baptist Health System) 

Ressource: Baptist Health System

Im April stellten das Baptist Medical Center und das Resolute Health Hospital fest, dass ihre Systeme mit bösartigem Code infiziert waren. Ein autorisierter Eindringling verschaffte sich vom 20. Januar bis zum 12. August Zugang zu einem Geschäftskonto. Zu den von ihm erbeuteten Gesundheitsdaten gehörten Sozialversicherungsnummern, Führerscheinnummern, staatliche Ausweisnummern, Finanzkontodaten, Behandlungsdaten, Krankenversicherungsdaten, Leistungsdaten sowie Rechnungs- und Antragsdaten. Auch einige Daten wurden aus dem System entfernt. Von dem Angriff waren 5 Krankenhäuser in Texas und 1608549 Personen betroffen. 

Praktisch nach jedem Cyberangriff wird festgestellt, dass keine Beweise dafür gefunden wurden, dass die kompromittierten Informationen für andere Zwecke als die vorgesehenen verwendet wurden. Einige der kompromittierten Informationen tauchen jedoch erst Monate oder sogar Jahre nach der Datenschutzverletzung auf, und diese verlorenen Informationen können jederzeit für Social Engineering, Phishing, Betrug und sogar für Erpressung verwendet werden. Daher ist es notwendig, proaktiv zu handeln und nicht erst im Nachhinein die Löcher zu stopfen. Und dies gilt in erster Linie für die sorgfältige Auswahl eines Dienstleisters und Softwareentwicklungsunternehmens. 

Categories