<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2038511469714819&amp;ev=PageView&amp;noscript=1">

Labordienstleister: 12 Millionen Patientendaten gehackt

5. Juni 2019

Verlassen Sie sich auch darauf, dass Ihr Arzt oder der Labordienstleister Ihre Befunde nicht mit aller Welt teilt? Dann zählen Sie vermutlich auch auf die ärztliche Schweigepflicht. Blöd nur, wenn dann über einen Dienstleister Daten von Millionen Patienten für Dritte frei zugänglich sind – wie jetzt bei Quest Diagnostics, einem der größten Bluttestanbieter der USA. Anscheinend waren sowohl Finanzdaten wie Kreditkartennummern und Bankverbindungen sowie medizinische Informationen und personenbezogene Daten wie Sozialversicherungsnummern ungeschützt gespeichert.

 

Labordaten_800x800

Quest Diagnostics gab an, dass Hacker bei deren Abrechnungsdienstleister AMCA (American Medical Collection Agency) zwischen August 2018 und März 2019 auf die Daten von etwa 12 Millionen Patienten zugreifen konnten. Sensible Daten heutzutage ungeschützt zu speichern grenzt schon an grobe Fahrlässigkeit. Für die Betroffenen bedeutet das neben einem erheblichen Vertrauensverlust auch das Risiko, Opfer eines Identitätsdiebstahls zu werden. Da wird es sie wohl auch kaum trösten, dass laut Quest keine Laborergebnisse unter den gestohlenen Daten waren.  

AMCA äußerte sich verhalten zu dem Vorfall. Das Unternehmen hat den Datendiebstahl nicht selbst bemerkt, sondern wurde von einer Sicherheitsfirma darauf aufmerksam gemacht. Zur Untersuchung hat AMCA nun IT-Forensiker beauftragt. Als erste Maßnahmen hat das Unternehmen nach eigener Aussage das Web-Zahlungsportal an einen Drittanbieter übergeben (unklar bleibt, wie die Daten hier geschützt werden) und zusätzlich Experten beauftragt, die bei der Beratung und Umsetzung von Sicherheits-Maßnahmen helfen sollen. Die Aussage „Wir sind weiterhin der Sicherheit unseres Systems, dem Datenschutz und dem Schutz personenbezogener Daten verpflichtet." mutet da schon fast wie ein schlechter Scherz an. 

Dabei ist ja nicht mal was auszusetzen an der Tatsache, dass Unternehmen Drittanbieter nutzen, um beispielsweise ihr Rechnungswesen auszulagern. Dann müssen sich die Unternehmen aus Branchen wie dem Gesundheits- oder Finanzsektor, die mit sehr sensiblen, personenbezogenen Daten umgehen, aber unbedingt um die Absicherung der Daten kümmern. Es kann nicht sein, dass solche Informationen ungeschützt an Dienstleister geschickt und dort ebenfalls ungeschützt gespeichert werden. Die Risiken sind – wie man jetzt deutlich sieht – unkontrollierbar. 

Wären die Daten schon verschlüsselt gewesen als sie Quest Diagnostics verlassen haben, hätten Angreifer keine Chance gehabt. Die Sicherheitsmaßnahmen erst einzuführen, wenn das Kind schon in den Brunnen gefallen ist, macht deshalb nur bedingt Sinn. Deswegen ist es wichtig, sich rechtzeitig zu kümmern. Mit einer Verschlüsselungslösung wie dem eperi Gateway behält das Unternehmen von Beginn an die Kontrolle über den gesamten Verschlüsselungsprozess und bestimmt allein, wer Zugriff auf die Daten im Klartext haben darf. Alle anderen sehen die Daten ausschließlich verschlüsselt und Angreifer erbeuten nur unlesbaren Datenmüll.

 

Share Button: Facebook Share Button: Twitter Share Button: LinkedIn Share Button: XING Share Button: Google Plus Share Button: Mail