UnitedHealth hat zugegeben, dass bei einem Hackerangriff die Gesundheitsdaten von mehr als 100 Millionen Amerikanern offengelegt wurden. Dies ist das erste Mal, dass das multinationale Krankenversicherungs- und Dienstleistungsunternehmen dem Cyberangriff Anfang des Jahres eine konkrete Zahl zuordnet.
UnitedHealth gibt zu, dass Gesundheitsdaten von 100 Millionen US-Bürgern kompromittiert wurden
Die UnitedHealth Group (UHG) hat Change Healthcare im Jahr 2022 übernommen. Die beiden Unternehmen sind nun Teil derselben Gesundheitsorganisation unter der Marke UnitedHealth.
Im Februar dieses Jahres erlitt Change Healthcare einen massiven Datenverstoß. Das Unternehmen nannte jedoch nicht die Anzahl der Personen, deren Daten offengelegt wurden.
Im Mai gab Andrew Witty, CEO von UnitedHealth, an, dass bei dem Angriff „vielleicht ein Drittel“ aller amerikanischen Gesundheitsdaten offengelegt wurden. Einen Monat später veröffentlichte Change Healthcare eine Benachrichtigung über Datenschutzverletzungen, in der das Unternehmen lediglich erklärte, dass der Ransomware-Angriff eine „erhebliche Datenmenge“ für einen „erheblichen Teil der Menschen in Amerika“ offengelegt habe.
Das Büro für Bürgerrechte (OCR) des US-Gesundheitsministeriums hat das „Data Breach“-Portal aktualisiert. In der Kolumne zum Change Healthcare-Hack heißt es Berichten zufolge, dass 100 Millionen Menschen betroffen seien.
Größter Verstoß gegen US-amerikanische Gesundheitsdaten in den letzten Jahren
Im FAQ-Bereich auf der OCR-Website heißt es nun: „Am 22. Oktober 2024 hat Change Healthcare OCR darüber informiert, dass etwa 100 Millionen Einzelbenachrichtigungen zu diesem Verstoß gesendet wurden.“
Da 100 Millionen US-Bürger betroffen sind, könnte der Ransomware-Angriff natürlich einer der größten der letzten Jahre sein. Was neben der Zahl der Zivilisten noch besorgniserregender ist, ist die Art und Weise, wie mit der Datenschutzverletzung umgegangen wurde.
Entsprechend Piepender Computerhaben Bedrohungsakteure 6 TB Daten von Change Healthcare gestohlen. Anschließend verschlüsselten die Angreifer Computer im Netzwerk. Als Abhilfemaßnahme hat die Tochtergesellschaft UnitedHealth ihre IT-Systeme abgeschaltet. Dies führte zu weitreichenden Ausfällen im US-amerikanischen Gesundheitssystem.
Die Ransomware-Gruppe BlackCat, die den Angriff durchgeführt hat, hat möglicherweise etwa 22 Millionen US-Dollar von der UnitedHealth Group erhalten. Das Unternehmen soll angeblich dafür bezahlt haben, einen Entschlüsselungsschlüssel zu erhalten und sicherzustellen, dass die Ransomware-Gruppe die gestohlenen Daten löscht.
Der Partner, der mit der Ransomware-Gruppe zusammenarbeitete, löschte die Daten nicht sofort. Der Eintrag für Change Healthcare ist jedoch auf mysteriöse Weise von der Website des Partnerunternehmens verschwunden. Dies deutet darauf hin, dass UnitedHealth möglicherweise eine zweite Lösegeldforderung gezahlt hat.
Es ist nicht klar, wie UnitedHealth bestraft wird. T-Mobile zahlte kürzlich wegen mehrerer Datenschutzverstöße eine geringe Geldstrafe von 31,5 Millionen US-Dollar. Der Mobilfunkanbieter erhält die Hälfte des Geldes, um in Technologie zur Verbesserung der Cybersicherheit zu investieren.
