Ein Cyberangriff mit massivem Data-Leak soll Change Healthcare, die größte E-Health-Plattform der USA, mit Lösegeldzahlungen im ersten Quartal 2024 schon eine Milliarde Dollar gekostet haben. Nach eigenen Aussagen ist ein Großteil der US-Bevölkerung von dem Datendiebstahl betroffen.    

Anders als in weiten Teilen Europas gibt es in den USA keine gesetzliche Krankenversicherung. Hier läuft vieles über Betriebskrankenkassen, fast 60 Prozent sind über ihren Arbeitgeber versichert, viele davon über UnitedHealth Group, der Muttergesellschaft der E-Health-Plattform Change Healthcare. Diese ist Anfang 2024 in das Visier von Cyberkriminellen geraten.

Mehrfache Lösegeldzahlung und kein Ende in Sicht

Wie Change Healthcare nun einräumen musste, könnte der Angriff „einen erheblichen Teil der Menschen in den USA betreffen“. Das Unternehmen hat im ersten Quartal 2024 inklusive Lösegeldzahlungen dadurch bereits einen Verlust von einer Milliarde Dollar erlitten. Bis Ende des Jahres dürfte sich die Gesamtrechnung auf 1,6 Milliarden Dollar erhöhen. Entsprechend groß ist neben dem finanziellen auch der Imageschaden für das Unternehmen.

Nach Bilanzsumme steht sie zwar weit hinter der deutschen Allianz SA oder der französischen Axa, dennoch hat sich die UnitedHealth Group innerhalb weniger Jahre vor Ping An aus China zum größten Versicherungskonzern der USA aufgeschwungen.

Und daher birgt der Cyberangriff auf seine Online-Plattform so viel Gefahr für das Unternehmen, zumal über sie landesweit nicht nur Transaktionen zwischen Ärzten, Apotheken, Gesundheitsdienstleistern und Patienten in den USA laufen, sondern auch für US-Militärkrankenhäuser weltweit.

Change Healthcare hat in einer Pressemitteilung zwar keine konkreten Zahlen genannt, musste aber zugeben, dass von einem bedeutenden Teil der US-Bevölkerung neben persönlichen Daten auch hochsensible Gesundheitsdaten abgeflossen seien.

Wie Heise schreibt, gebe es allerdings noch keine Beweise, dass Arztakten oder vollständige Krankengeschichten kompromittiert wurden. Das Unternehmen überwacht das Darknet nach eigenen Angaben weiterhin genau, um in Erfahrung zu bringen, ob darüber Daten online veröffentlicht wurden oder werden. Hier sollen bereits 22 Screenshots aus „angeblich abgezogenen Dateien“ mit sensiblen Informationen aufgetaucht sein.

Übrigens: Gerade im Gesundheitswesen ist ein hohes Maß an IT-Sicherheit, wie Axians sie als einer der führenden Dienstleister in so sensiblen Bereichen bietet, das A und O. Und da müssen wie für 17 andere systemrelevante, „wichtige“ und „wesentliche“ Sektoren gemäß der bereits Ende 2022 in Kraft getretenen NIS2-Richtlinie der EU für KRITIS- sowie für Netzwerk- und Informationssicherheit ab Oktober 2024 noch einmal strengere Sicherheitsstandards gelten.

Auf den finanziellen Schäden folgen immense Imageeinbußen

Hinter dem Angriff steckt dem Vernehmen nach eine auch als Blackcat bekannte Ransomware-Gruppe namens AlphV, die offenbar auch die Lösegeldzahlungen eingestrichen haben soll. Möglicherweise als Trittbrettfahrer hat sich mit RansomHub eine andere kriminelle Bande gemeldet, mutmaßlich Patientendaten aus dem Datenleck veröffentlicht und ebenfalls Lösegeld gefordert.

Die Gruppe behauptet sogar, als einzige Zugriff auf die Daten zu haben. Heise online konnte aber keinen entsprechenden Eintrag auf der RansomHub-Leaksite finden. Apotheken in den USA haben aufgrund des Vorfalls seit Februar mit zum Teil erheblichen Störungen in ihren IT-Systemen zu kämpfen.

Daraufhin sollen auch die Cybersecurity and Infrastructure Agency (CISA) und das FBI Maßnahmen getroffen haben und laut The Register hat auch das Weiße Haus Druck auf UnitedHealth ausgeübt.

Fazit: Die Vorfälle bei dem Versicherungsriesen UnitedHealth und seiner Online-Plattform Change Healthcare haben das Vertrauen in das US-Gesundheitswesen schwer erschüttert. Der Vorfall zeigt einmal mehr, wie wichtig höchste Sicherheitsstandards für kritische Bereiche wie die Gesundheitsbranche sind.

Daher ist es auch zu begrüßen, dass die EU mit NIS2 und die Bundesregierung mit den KRITIS-Vorgaben die Anforderungen an so systemrelevante Unternehmen und Einrichtungen der kritischen Infrastruktur noch einmal erhöht haben. Dadurch steigen zwar die Anforderungen, gemeinsam mit  IT-Dienstleistern wie Axians stellen Unternehmen aber so die nötige Sicherheit für ihre Daten und Geschäftsprozesse sicher.

Quelle Titelbild: Adobe Stock / MP Studio