• Group of Corporate People Discussing About Global Internet Secur

    Cybercrime: Wie 80.000.000 Gesundheitsdaten den Besitzer wechselten

Der US-Versicherungskonzern Anthem wurde Opfer des weltweit größten Datendiebstahls von Gesundheitsdaten.  Was man dagegen tun kann und warum der Mensch meist die primäre Fehlerquelle darstellt.

Sie ist die zweitgrößte Krankenversicherung in den USA, mit einem Jahresumsatz von 61,7 Mrd. US-Dollar und mehr als 37.000 Mitarbeitern, jetzt wurde Anthem Inc. zum Ziel der größten Cyberattacke in der Geschichte des US-amerikanischen Gesundheitssystems. Am 4. Februar 2015 musste der CEO des Unternehmens Joseph. R. Swedish bekennen, dass seinem Unternehmen trotz umfassender IT-Sicherheitssysteme Daten von 80 Millionen laufenden und ehemaligen Kunden gestohlen wurden, darunter Millionen von Daten die Kinder betreffen. Der finanzielle Schaden für das Unternehmen und der Folgeschaden für Leben und Gesundheit der Betroffenen sind enorm, die Auswirkungen werden sich über Jahre hinziehen. Medienberichterstattungen zufolge dürften die Angriffe von einer Hackergruppe aus China ausgehen, eine restlose Aufklärung steht noch aus. Aktuelle Cyberattacken betreffen zunehmend die Gesundheitsindustrie.

Die Chronologie der Ereignisse

Würde es in diesem Fall ein funktionierendes Frühwarnsystem geben, wäre der Schaden vermutlich gar nicht eingetreten: Bereits am 10. Dezember 2014 zeigten sich in den Datenbanken von Anthem erste Unregelmäßigkeiten, die allerdings niemanden veranlassten, ernsthaft beunruhigt zu sein. Tatsächlich handelte es sich um Testläufe der Hacker, die sich auf den großen Schlag vorbereiteten. Einige Wochen später, am 27. Jänner 2015 wurde dem Systemadministrator von Anthem klar: der Datendiebstahl von 80 Millionen Kunden erfolgte unter anderem über seinen Account. Erst jetzt realisierte Anthem was geschehen war, schaltete das FBI ein und setzte sich mit einem Spezialisten-Netzwerk, der Health Information Trust Alliance (HITRUST) in Verbindung. Kurz darauf trat Anthem an die Öffentlichkeit heran und informierte seine Mitglieder über das Ausmaß des Cyberangriffs, sowie über die Kategorien der gestohlen Daten. Es handelte sich um Name, Geburtsdatum, Sozialversicherungsnummer, Krankenversicherungsnummer, Adressen, E-Mail-Adressen, Beschäftigung und Einkommensdaten aktueller und ehemaliger Mitglieder.

Die primäre Fehlerquelle ist der Mensch

Großangelegte Cyberattacken gab es in den USA in letzter Zeit viele. So beim Einzelhandelskonzern Stapels (Informationen zu 1,6 Millionen Kreditkarten), der Baumarktkette The Home Depot (56 Millionen Kundenkarten) sowie der Bank JPMorgan Chase (83 Millionen Accounts). Wie die russische IT-Sicherheitsfirma Kaspersky mitteilte, erfolgte im Februar dieses Jahres darüber hinaus ein beispielloser Angriff auf 100 Banken, Bezahldienste und andere Institute in 30 Ländern, bei dem bis zu einer Milliarde Dollar gestohlen wurden. Bei den häufigsten  Cyberattacken werden zunächst die Mitarbeiter von angegriffenen Unternehmen infiltriert. Auch im Fall Anthem hatten sich die Angreifer den Zugang zu den Systemen über die Passwörter von mindestens 5 technischen Angestellten durch Phishing verschafft. Beim Phishing werden gefälschte E-Mails an Mitarbeiter des Unternehmens geschickt. Diese Mails sehen aus, als ob sie von einer Autorität oder einer bekannten Firma kommen, teilweise auch von sozialen Netzwerken wie Facebook. In der E-Mai, die das Interesse des Empfängers wecken sollte, findet sich ein Link zu einem Formular sowie die Drohung, dass der Account bei Nichtausfüllen geblockt wird. Parallel dazu hatten die Angreifer im Fall Anthem Schadsoftware installiert.

Das Geschäft mit Sicherheitslücken: eine neue Branche wächst heran

Längst existieren Unternehmen, die gehackte Daten auf dem online Schwarzmarkt, im sogenannten Darknet, verkaufen. Vereinfacht gesprochen handelt es sich hierbei um jene Bereiche des Internet, die mit traditionellen Suchmaschinen nicht gefunden werden können und wegen der Anonymität die Beteiligten auch von Sicherheitsbehörden nur schwer kontrollierbar sind. Neben dem Handel mit gestohlenen Daten, bieten Hacker dort auch Dienstleistungen an. Sie identifizieren Sicherheitslücken großer Unternehmen und hacken auf Wunsch. Für gestohlene EU- und US-Kreditkarten lassen sich, je nach Qualität, bis zu 150 US-Dollar erzielen. Die Entwicklungen sind rasant. Das französische IT-Sicherheitsunternehmen Vupen  aus Montpellier ist darauf spezialisiert, Sicherheitslücken in Computerprogrammen von Firmen ausfindig zu machen, wobei diese nicht dem betroffenen Unternehmen offengelegt werden, sondern an Interessenten verkauft werden. Noch gibt es keine rechtliche Grundlage dafür, diesen neu aufkommenden  Handel mit Sicherheitslücken (sogenannte Zero-Day-Exploits) zu unterbinden.

Die Kosten für Unternehmen, die einer Cyberattacke zum Opfer fallen sind enorm. In den USA  gilt die Regel, dass die Kosten pro gehacktem Datensatz 200 Dollar betragen können. Diese Kosten betreffen Berichterstattung, Berichtigungen, Verwaltung und Cyber-Untersuchungen. Bei einem Systemangriff auf Target, den größten Einzelhändler der USA, wurden im Jahr 2013 um die 40 Millionen Kreditkartennummern gestohlen, die Folgekosten beliefen sich auf 140 Millionen Dollar, wobei Reputations- und Umsatzverlust nicht eingerechnet sind. Der Angriff auf Anthem gilt in seinem Ausmaß als doppelt so groß.  

Der medizinische Identitätsdiebstahl kann Leben bedrohen

Wozu dienen die Anthem-Daten also? Versicherungsdaten werden von Kriminellen dazu genutzt, in Krankenhäusern und Apotheken auf fremde Kosten Leistungen zu beziehen. „Wer diese Daten hat, kann sie wie eine unlimitierte Kreditkarte benutzen, die freien Zugang zu medizinischen Leistungen und Medikamenten erlaubt“, erklärt Bob Gregg, CEO von IT Experts, eines auf Datensicherheitslücken spezialisierten Unternehmens. Es handelt sich um eine neue Form des Identitätsdiebstahls, das heißt, jemand nutzt missbräuchlich Daten einer Person, um sich durch diese zu bereichern. Über 4 Millionen Amerikaner wurden bereits im Jahr 2013 Opfer eines medizinischen Identitätsdiebstahls.

Der medizinische Identitätsdiebstahl wird doppelt gefährlich, weil neben dem finanziellen Schaden – der für sich genommen schon enorm sein kann – die Krankengeschichte des Opfers durch den „falschen Patienten“ verfälscht wird. Und das kann lebensbedrohliche Folgen haben. Plötzlich findet sich eine falsche Blutgruppe in der Patientenakte oder falsche Befunde, die in Folge zu Behandlungsfehlern führen können. Plätze auf Wartelisten oder lange geplante Operationen könnten konsumiert worden sein. Die Folgen des Verbrechens und das Verbrechen selbst, können sich über Jahre hinziehen. Das Problem bei der Schadensminimierung bleibt, dass man Kreditkartennummern ändern kann, die Sozialversicherungsnummer und das Geburtsdatum nicht.

Da die Anzahl der medizinischen Gesundheitsanbieter überaus breit gestreut ist, kann es extrem lang dauern, bis ein Identitätsdiebstahl erkannt wird. Gesundheitsdaten spielen in Krankenanstalten, Spitalsambulanzen und in der Allgemeinmedizin sowie im Bereich der pflegerischen Betreuung, bei der Verrechnung von Gesundheitsdienstleistungen, bei Optikern und Zahntechnikern eine Rolle. Einen Identitätsdiebstahl nach einem Datenmissbrauch im Ausmaß von Anthem zu verhindern, ist als wollte man ein brennendes Haus mit einer Wasserpistole löschen, wichtige Schritte können jedoch helfen, den Schaden zu minimieren.

Was soll das Opfer im Fall eines medizinischen Identitätsdiebstals tun?

Zunächst muss man erkennen, dass man Opfer eines medizinischen Identitätsdiebstahls geworden ist. Folgende Informationen sind für Opfer eines medizinischen Identitätsdiebstahls relevant:

  • Was steht in der Korrespondenz mit der Krankenversicherung?
  • Welche Leistungen wurden in Anspruch genommen?
  • Prüfen der Auflistung jährlicher Zahlungen und Leistungen der Versicherungen.
  • Patienten wird empfohlen, ihre Krankengeschichte der letzten 5 Jahre zu prüfen und regelmäßig Kopien anzufertigen.
  • Prüfen, was auf den Krankenblättern steht, ob Blutgruppen und Allergien richtig vermerkt sind.
  • E-Card sicher verwahren.

Viele Opfer erkennen das Problem erst, wenn sie die Krankengeschichte genau durchsehen. Wenn Betroffenen dabei etwas merkwürdig oder auffällig vorkommt, sollten sie umgehend ihre Versicherung kontaktieren.

Ist man tatsächlich Opfer eines medizinischen Identitätsdiebstahls geworden, kann es extrem schwierig sein, die eigene Krankengeschichte zu bereinigen. Das Löschen und Richtigstellen von Daten im medizinischen Bereich ist nämlich nicht so ohne weiteres möglich. In Österreich ist mit § 1 DSG 2000 das verfassungsrechtlich gesicherte Recht auf Datenschutz verankert. Darüber hinaus normiert das Gesetz eine Reihe an Instrumenten, die Informationen für Betroffene vorsehen. Dazu zählt die Informationspflicht anlässlich des Ermittelns (§ 24), die Offenlegung nicht meldepflichtiger Daten auf Anfrage (§ 25), das Auskunftsrecht (§ 26) und die grundsätzliche Löschungspflicht nach Zweckerreichung (§ 6 Abs 1 Z 5 DSG). Nicht nur für die betroffenen Patienten ist die Lage schwierig, auch auf Krankenanstalten und Versicherungen kommen gewaltige Themenstellungen zu. Die Daten müssen sicher sein, die Betroffenenrechte wie Auskunft, Richtigstellung, Widerspruch und Löschung müssen umfassend gewahrt sein und ordnungsgemäß durchgeführt werden.

Krisenanalytische Beurteilung

Was hätte Anthem besser machen können?
Bei Cyberattacken fällt eine latente Krisenphase weitgehend weg, die akute Krise kommt unmittelbar zum Ausbruch, oftmals funktionieren Frühwarnsysteme nicht, weil latente Zeichen nicht oder falsch interpretiert werden. Es handelt sich daher um eine klassisch schleichende Krisenentwicklung, deren erste Anzeichen nicht sofort zu einer Reaktion des betroffenen Unternehmens führen. Über den Zeitverlauf werden die Auswirkungen deutlich spürbar, am Anfang jedoch sind kaum Schäden zu erkennen. Das Unternehmen hat nach dem (späten) Entdecken des Datendiebstahls allerdings sofort reagiert und eine proaktive Vorgehensweise gewählt. Umgehend wurden die Sicherheitsbehörden (FBI) informiert und externe Spezialisten auf höchster Ebene eingebunden (Health Information Trust Alliance). Im nächsten Schritt wurden die Mitglieder über eine eigens eingerichtete Website über den externen Cyber-Angriff aufgeklärt. Anthem hat allen Betroffenen ein Monitoring ihrer Versicherungsleistungen für ein Jahr zugesichert. Die genauen Informationen sollen in einer persönlichen E-Mail an die Mitglieder erläutert werden, dies ist bis dato allerdings noch nicht erfolgt. Darüber hinaus wurde eine Telefonhotline für konkrete Fragen eingerichtet. Anthem engagierte für betroffene Mitglieder das Unternehmen AllClear ID zum Schutz von Identitäten, und gibt auf der Website Informationen zur Vermeidung weiterer Gefahren des Identitätsdiebstahls.

Es wird in weiterer Folge zu einer periodischen Krise für das Unternehmen kommen, da sich die Folgeschäden über Jahre hinziehen können. Periodisch wird diese Krise auch, weil Phishing-Versuche weiter gehen, da Hacker die verunsicherten Mitglieder wieder mittels gefakter Aufklärungs-Mails und falscher Websites dazu verleiten, weitere Daten bekannt zu geben. Anthem muss nun auch auf diese Folge-Phishing-Versuche reagieren und die Mitglieder zusätzlich auch über diese Gefahren informieren. Darüber hinaus ist mit umfassenden Rechtsstreitigkeiten, sowie mit Reputations- und Umsatzverlusten zu rechnen.

Gab es eine Möglichkeit, die Krise zu verhindern oder zu entschärfen?
Trotz der state-of-the-art-Informationssicherheitssysteme ist es gelungen, über eine ausgeklügelte Strategie an die Informationen zu kommen. Was die technische Dimension des Angriffs betrifft, so waren die Daten nicht verschlüsselt. Hier wird in aufwändigen Prozessen geklärt werden müssen, inwieweit eine solche Verpflichtung nach der amerikanischen Rechtslage gegeben gewesen wäre. So wird es im Fall Anthem zu Sammelklageprozessen („class action“) gegen das Unternehmen und einzelne Mitglieder kommen. Erste Gerichtsverhandlungen im Fall Anthem wurden bereits festgesetzt. Der Vorwurf lautet, dass Anthem keine adäquaten Maßnahmen zum Schutz der Datensicherheit gesetzt hat. Tatsächlich lag das Problem nicht so sehr in der Frage der Kryptographie, als vielmehr in dem Umstand, dass der Zugang zu den Datenbanken über Passwörter der eigenen Mitarbeiter erfolgte. Die Angreifer hatten sich längst über einen geraumen Zeitraum unbemerkt im System befunden. Wichtiger ist die Frage, auf welche Weise Informationen gestreut wurden. Wenn ein bestimmtes Passwort öfter verwendet wird, besteht die große Gefahr, dass sich das Desaster vergrößert, weil Hacker sämtliche Accounts einer Person mit demselben Passwort testen. Passwortmanager helfen bei der automatischen Passwortgenerierung, die ein höheres Schutzniveau haben und helfen, diese zu verwalten und daher sollte dem Schutz von Online-Identitäten vermehrt Aufmerksamkeit geschenkt werden.

Wie haben die Medien den Vorfall kommentiert?
Das Jahr 2014 war von einer steigenden Anzahl von Attacken und Datendiebstahl gekennzeichnet. Die proaktive Vorgehensweise von Anthem wurde in der medialen Berichterstattung zunächst positiv aufgenommen. Auch auf einschlägigen IT-Sicherheitsportalen in der Online-Berichterstattung wird die Vorgehensweise grundsätzlich als positiv eingestuft, weil umgehend Sicherheitsbehörden und FBI informiert wurden und die Mitglieder sofort in Kenntnis gesetzt wurden. Weiterführende Fragen in den Medien betrafen den allgemeinen Sicherheitsstandard von Systemen im Gesundheitssystem und lösten damit allerdings die Debatte aus, ob die Datensicherheitsarchitektur von Anthem tatsächlich auf dem state-of-the-art-Stand war.

Hat die Kommunikationspolitik die Krise eingedämmt?
Die Erklärung von Anthem hat die Krise minimiert, insbesondere was die Berichterstattung in den Medien betrifft. Bei einem Systemangriff auf Target, den größten Einzelhändler der USA, wurden im Jahr 2013 um die 40 Millionen Kreditkartennummern gestohlen. In der Konsequenz verließ der Chief Information Officer Gregg Steinhafel Target und gab am 5. Mail 2014 seinen Rücktritt bekannt. Betrachtet man die Berichterstattung zu Target in den Medien, so hält der Imageschaden bezüglich des Datenverlustes bis heute an. Der finanzielle Folgeschaden bis heute sind etwa 140 Millionen Dollar. Der Verlust enormer Datenmengen führt zu einem nachhaltigen Krisenszenario für jedes Unternehmen und zu enormen System- und Verfahrenskosten.

Sollte es sich bewahrheiten, dass die Angriffe auf Anthem von chinesischen Hackern durchgeführt wurden, die von der chinesischen Regierung unterstützt wurden, zeigt sich darüber hinaus auch das globale Ausmaß von Cyberattacken. In diesem Fall könnte das Ziel auch der Erkenntnisgewinn aus menschlichen Quellen HUMINT (Human Intelligence) sein, im Fall eines umfassenden Datenhacks wie bei Anthem ist das eine Form der Cyberspionage.

Welche Fehler wurden gemacht?
Intern hätte man die Mitarbeiter besser über Phishing  informieren müssen. Die Vorgehensweise der Hacker läuft meist über soziale Kontakte auf Google, Facebook und LinkedIn. Es ist bekannt, dass das Human Hacking (das Hacken von IT-Systemen über die Schwachstelle Mensch) nach wie vor zum effektivsten Instrumente von Cyberangriffen zählt. Hier sollten Unternehmen gezielte Maßnahmen für Information und Schulung setzen. Cybersicherheitsexperten sind sich einig, dass Verhaltenskontrollen und Monitoringsysteme immer noch die wichtigsten Tools zum Schutz gegen Angreifer darstellen. Auch im Fall Anthem wurde der Hackerangriff schließlich von einem Menschen (Systemadministrator) entdeckt und nicht von einer Virensoftware. Aus diesem Grund ist es allen Unternehmen zu empfehlen, konkrete Risikopläne und Monitoringsysteme zum Schutz und im Umgang mit allfälligen Hackerangriffen zu entwickeln.

Es empfiehlt sich, für Unternehmen und Organisationen ein konkretes Krisen- und Risikomanagement für Datenpannen, Datenverlust und Datenmissbrauch zu entwickeln. Im Entwurf der Datenschutz-Grundverordnung in Europa, die Ende 2015 beschlossen werden soll, sind im Übrigen klare Reglungen für Data-breach-Vorfälle vorgesehen, die insbesondere auch Informationspflichten den Betroffenen gegenüber und Meldepflichten an die Aufsichtsbehörden vorsehen.

Elisabeth Hödl ist Partnerin bei WATCHDOGS – The Data Company und als Chief Scientific Officer für die Entwicklung der Forschungskapazitäten und Forschungsprodukte sowie für die Kommunikation mit der Scientific Community zuständig. WATCHDOGS SCIENCE ist Knotenpunkt für wissenschaftliche, rechtliche und mediale Trends in der Informationsgesellschaft.
Martin Zechner ist Partner und CEO von WATCHDOGS – The Data Company. Seine Beratungsschwerpunkte umfassen Datenverknüpfung, Datenkommunikation und Datenkrisen. Er lehrt an der Montanuniversität Leoben, ist Gründer der Martin Zechner & Partner Strategieberatung und einer der führenden Krisenexperten Österreichs.
Bildnachweis: Thinkstock