Cyber-Angriff auf die Krankenversicherung Medibank

Cyber-Angriff auf die Krankenversicherung Medibank

Seit Ende Oktober gibt es immer wieder Artikel zum Cyber-Angriff auf die Krankenversicherung Medibank zu lesen (unter anderem hier). Was war geschehen und gibt es eventuell Parallelen zu Deutschland? Lesen Sie weiter, um weitere Informationen zu erfahren.

Methoden eines Cyber-Angriffes

Es gibt verschiedene Methoden für Cyber-Angriffe: Phishing-Attacken, Installation von Schad-Software, Verbreitung von Würmern, Identitätsdiebstahl durch das Sammeln von Daten im Internet etc. Bei dem Angriff auf Medibank handelt es sich vereinfacht gesagt um einen Ransomware-Angriff. – Oftmals werden Cyber-Angriffe nach ihren Zielen kategorisiert. – Wie der Begriff sagt, ist das Ziel der Angreifer, ein Lösegeld zu erpressen.

1 Dollar für jeden Datensatz eines Kunden

Berichten zufolge kontaktierten die Angreifer die Krankenversicherung, um ein Lösegeld von 9,7 Millionen (australische?) Dollar zu fordern. An sich klingen die 9,7 Millionen Dollar Lösegeld nach viel Geld. Allerdings betrifft dies wohl 9,7 Millionen Kunden, also 1 Dollar für jeden Datensatz eines Kunden. Bisher kam Medibank der Lösegeldforderung nicht nach.

Art der gestohlenen Daten

Die Angreifer erhielten durch eine – scheinbar bisher unbekannte – Sicherheitslücke Zugriff auf personenbezogene Daten und sogar solche besonderer Kategorien! Bei den gestohlenen Daten handelt es sich u. a. um folgende:

1)  Namen,

2)  Geburtsdaten,

3)  Adressen,

4)  Telefonnummern,

5)  E-Mail-Adressen und leider auch

6)  Ausweisnummern,

6)  medizinische Befunde und

7)  Gründe für Therapien (wie Drogenmissbrauch, Schwangerschaftsabbruch – besonders schwerwiegend im aktuellen politischen Klima – etc.)

Deutschland als mögliches zukünftiges Opfer

In Deutschland betreibt die gematik GmbH die Telematikinfrastruktur. Vereinfacht ausgedrückt ist sie Betreiber der IT-Landschaft, über die jegliche personenbezogenen Daten besonderer Kategorien aller Personen, die Gesundheitsdienste in Deutschland in Anspruch nehmen, verarbeitet werden. Umso verwunderlicher erscheint es, dass die gematik GmbH die Sicherheit dieser Daten nicht allzu ernst zu nehmen scheint: Schon mehrmals stand sie aufgrund der mangelhaften Sicherheit der IT-Landschaft im Scheinwerferlicht der Kritik – letztens in Zusammenhang mit dem eRezept (Link 1, Link 2). Folglich erscheint es für Cyber-Angreifer nicht unmöglich, einen erfolgreichen Zugriff auf Millionen von Datensätzen von Gesundheitsdaten auch in Deutschland verzeichnen zu können. Und dabei handelt es sich um Daten, die intimste Geheimnisse einer Person öffentlich machen könnten.

Mögliche Folgen für die Betroffenen

Die Folgen können – je nach den jeweiligen vorhandenen Daten – gravierend sein. Zum einen kann es gesellschaftliche Nachteile für die betroffenen Personen nach sich ziehen, falls beispielsweise eine Diagnose bekannt wird, die als Charakterschwäche verstanden werden könnte. Möglicherweise kann ein Betroffener keinen Kredit erhalten, weil die Bank aufgrund einer bestimmten Diagnose darauf schließt, dass der Kunde den Kredit eventuell nicht abbezahlen wird. Ein möglicher zukünftiger Arbeitgeber lehnt eine betroffene Person als Bewerber ab, weil er aufgrund einer bestimmten Diagnose einen Nachteil für sein Unternehmen befürchtet. Auch Identitätsdiebstahl ist nicht auszuschließen. Es können sich auch „einfach“ finanzielle Nachteile aufgrund von Phishing oder Smishing-Angriffen o. Ä. ergeben.

Welche Lehren können Verantwortliche daraus ziehen?

Nicht nur Medibank selbst sollte nun Maßnahmen ergreifen, um solch einen Vorfall für die Zukunft zu vermeiden. Auch Krankenkassen, Arztpraxen, Therapiestellen etc. müssen sicherstellen, dass sie angemessene Maßnahmen zum Schutz und zur Sicherheit aller personenbezogenen Daten ergriffen haben. Demnach ist es auch sehr wichtig, eine IT-Landschaft zu bauen, die solche Vorfälle möglichst vermeidet. Solche Maßnahmen können folgende sein (keine abschließende Liste):

1)  Automatische Erkennung von Angriffen: Am besten ist es, wenn ein Verantwortlicher einen Schutz implementiert, der mögliche Angriffe schon nur durch verdächtige Zugriffsversuche erkennt und ab einer bestimmten Anzahl an Versuchen, Alarm schlägt oder automatisch blockiert.

2)  Speicherung und Verarbeitung der Daten auf eigenem, hausinternen Server.

3)  Sobald eine Software o. Ä. aktualisierbar ist oder ein SaaS-Dienstleister einen Fehler in einer Software bereinigt, sollte ein Verantwortlicher diese auch wahrnehmen und umsetzen.

4)  Zugriffsprotokollierung: Bemerkt ein Verantwortlicher mehrere Zugriffsversuche innerhalb kürzester Zeit, könnte dies ein Hinweis auf einen bösartigen Angriff sein und der Verantwortliche kann die notwendigen Prüfschritte einleiten.

5)  Prüft ein Verantwortlicher regelmäßig die eigene IT-Landschaft, bemerkt er mögliche Schwachstellen, bevor ein Angriff stattfindet und kann diesen entsprechend vermeiden.

6)  Verschlüsselung der Daten und sichere Verwahrung des Entschlüsselungsschlüssels.

7)  Passwortrichtlinie – eventuell sogar technisch erzwungen (z. B. Passwortlänge von mindestens 20 Zeichen, Groß- und Kleinbuchstaben, Sonderzeichen, Zahlen) – mehr dazu hier.

8)  2- oder sogar Mehr-Faktor-Authentisierung.

9)  Sensibilisierung der Beschäftigten.

Weiterführend sollten Verantwortliche auch unbedingt die Grundsätze der Verarbeitung von personenbezogenen Daten beachten und umsetzen. So sind beispielsweise die Daten nur so lange aufzubewahren, wie es unbedingt nötig ist (Art. 5 Abs. 1 lit. e DSGVO).

Fazit

Dieser Vorfall zeigt, wie ungemein wichtig es ist, dass ein Verantwortlicher – z. B. Versicherungsunternehmen, Arztpraxen, Betreiber von Plattformen für digitale Anwendungen usw. – den Datenschutz und die -sicherheit sowohl bei der technischen als auch bei der organisatorischen Umsetzung umsetzen.

Auch wenn Ihre Einrichtung nicht der Gesundheitsbranche angehört, müssen Sie die Vorgaben der DSGVO beachten, sobald Sie personenbezogene Daten verarbeiten. Dabei können wir Sie unterstützen und beraten. Wir sind nur einen Anruf entfernt – kontaktieren Sie uns also gern.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.