Datendiebstahl

Goldgrube Gesundheitsdaten

| Autor / Redakteur: Laurance Dine* / Peter Schmitz

Gesundheitsdaten sind wie Gold für Cyberkriminelle und je mehr IT in den Arzt-, Labor- und Klinik-Alltag Einzug hält, desto mehr sensible Daten entstehen.
Gesundheitsdaten sind wie Gold für Cyberkriminelle und je mehr IT in den Arzt-, Labor- und Klinik-Alltag Einzug hält, desto mehr sensible Daten entstehen. (Bild: Archiv)

Der Diebstahl medizinischer Informationen kann gravierende Folgen für Sicherheit und Wohlergehen der betroffenen Personen haben. Außerdem motivieren solche Daten zunehmend ambitionierte Finanzbetrüger

Vom Diebstahl medizinischer Daten sind 18 von 20 Branchen betroffen. Zu diesem Ergebnis kommt der Verizon 2015 Protected Health Information Data Breach Report (pdf). Der in diesem Jahr erstmalig erschienene Bericht liefert eine detaillierte Analyse bestätigter Datenverletzungen bei geschützten Gesundheitsdaten (Protected Health Information, PHI) in der insgesamt mehr als 392 Millionen Datensätze aus 1.931 Vorfällen in 25 Ländern berücksichtigt werden, darunter auch europäische Märkte wie Deutschland.

Besonders beunruhigend ist, dass beispielsweise allein die Hälfte der US-amerikanischen Bevölkerung seit 2009 von PHI-Datenverletzungen betroffen ist. Darüber hinaus gab das FBI Anfang 2015 eine Warnung an Gesundheitsdienstleister heraus, wonach die Gesundheitsbranche im Vergleich zur Finanzbranche oder dem Einzelhandel keineswegs abwehrbereit aufgestellt ist und daher verstärkte Cybercrime-Aktivitäten wahrscheinlich sind.

Gesundheitsbezogene Daten finden sich nicht nur bei Medizinern

Wir haben PHI-Daten als individuell zuordenbare Gesundheitsinformationen einer Person klassifiziert, die unter mindestens eines der bundesstaatlichen, nationalen oder internationalen Gesetze zur Veröffentlichung von Datenverletzungen fallen. Dies schließt medizinische Datensätze, Zahlungskarteninformationen sowie auf eine Person rückführbare Informationen (z. B. Sozial-/Rentenversicherungsnummer, Name, Geburtsdatum) ein, die von Gesundheitsdienstleistern, Krankenversicherungen, Arbeitgebern, Abrechnungsstellen oder anderen Institutionen erfasst oder generiert werden.

Vor diesem Hintergrund wird klar, dass viele Unternehmen im Rahmen ihrer Geschäftstätigkeit PHI-Daten sammeln, nicht nur von Mitarbeitern, sondern auch von Kunden. Herausragendes Beispiel ist die Versicherungsbranche, wo wir in jüngster Zeit Datendiebstähle im großen Stil beobachten konnten. Die Tatsache, dass eine Organisation nicht in der Gesundheitsindustrie tätig ist, senkt nicht notwendigerweise das Risiko einer Datenverletzung.

Cybercrime schert sich nicht um Standorte

Ein weiterer wichtiger Punkt betrifft das vorherrschende Missverständnis, dass cyberkriminelle Aktivitäten standortbezogen sind. Daten des Verizon Forensik-Teams lassen übereinstimmend erkennen, dass Angreifer sich von den Daten, die sie interessieren, sowie von den Plattformen leiten lassen, auf denen solche Daten verarbeitet und gespeichert werden – und nicht von dem Land, in dem sich die Daten befinden.

Die Angriffsmethoden haben nichts mit dem geografischen Standort zu tun – menschliches Versagen, eine der Hauptursachen für Datenverletzungen, ist ein weltweites Phänomen. Wir haben zudem herausgefunden, dass Cybertrends und Empfehlungen zu ihrer Bekämpfung rund um den Globus universell gleich – also standortunabhängig – sind.

PHI-Datenverletzungen sind anders

Datenverletzungen bei geschützten Gesundheitsdaten unterscheiden sich gleich in mehrfacher Hinsicht. Zum einen sind es die Angreifer. Bei PHI-Datenverletzungen weichen die Zahlen der externen und der internen Täter nur um 5 Prozentpunkte voneinander ab. Das bedeutet: Missbrauch durch Insider kommt oft vor.

Medizinische Daten werden häufig mit böswilliger Absicht entwendet. Die Angreifer sind nur an personenbezogenen Angaben (Personable Identifiable information, PII) wie Kreditkarten- und Sozialversicherungsnummer interessiert, um es bei Finanz- und Steuerbetrug leichter zu haben.

Deutliche Unterschiede gibt es auch bei der Vorgehensweise. Primärer Angriffsweg ist die Nutzung gestohlener oder verlorener portabler Endgeräte (Laptop, Tablet, USB-Stick). An zweiter Stelle folgt menschliches Versagen. Hier genügt schon das Versenden eines Untersuchungsberichts an die falsche Adresse. Die dritte Art von Datenmissbrauch kommt von Mitarbeitern, die widerrechtlich ihre Zugangsrechte für den Zugriff auf solche Informationen nutzen. Zusammen machen diese drei Methoden 86 Prozent aller PHI-Datenverletzungen aus.

Hinzu kommt, dass es bisweilen Monate, manchmal Jahre dauert, bis eine Datenverletzung aufgedeckt wird. In letzterem Fall geht der Angriff mit dreifach höherer Wahrscheinlichkeit von einem Insider aus, der seine LAN-Zugangsprivilegien missbraucht. Mit doppelt hoher Wahrscheinlichkeit war ein Server Ziel des Angriffs und hier speziell eine Datenbank.

Was tun?

Indem detaillierte Gesundheitsdaten es Kriminellen leichter machen, sie sowohl für Identitätsdiebstahl als auch für Abrechnungsbetrug zu nutzen, sind die Medien und Branchenanalysten kontinuierlich bestrebt, die Aufmerksamkeit auf den Verlust streng persönlicher Daten zu lenken, um hier für die dringend notwendige Sensibilisierung zu sorgen.

Im Verizon Data Breach Investigations Report konnte Verizon neun Muster aufzeigen, denen sich die meisten Sicherheitsvorfälle zuordnen lassen und denen Unternehmen in zahlreichen vertikalen Branchen sehr wahrscheinlich ausgesetzt sind. Weiter enthält er spezifische Empfehlungen zu vorbeugenden Maßnahmen, mit denen ein Unternehmen seine sicherheitsstrategischen Ziele einfacher erreicht. Die neun Bedrohungsmuster lassen sich wie folgt unterscheiden: diverse Fehler wie Versenden von E-Mails an den falschen Empfänger, Crimeware (verschiedenartige Malware zur Übernahme der Kontrolle über das System), Missbrauch von Insiderwissen/Privilegien, physischer Diebstahl/Verlust, Angriffe über Web-Apps, DoS-Attacken (Denial of Service), Cyberspionage, Eindringen am Point-of-Sale (PoS) sowie Skimming (Abgreifen von Zahlungskartendaten).

Überraschenderweise entsprechen 96 Prozent der Datenverletzungen im diesjährigen Datensatz diesen Mustern. Wir fanden heraus, dass die Mehrheit dieser Bedrohungen aus lediglich drei Kategorien stammt, die je nach Branche variieren. Da PHI-Daten in den meisten vertikalen Industrien erfasst werden, ist es sinnvoll, sich auf die Muster der Vorfälle zu konzentrieren, die für einzelne vertikale Industrien spezifisch sind, um zusätzliche Sicherheit zu schaffen.

Die Bedrohungen für Daten werden immer komplexer und vielschichtiger, doch mit diesem Ansatz verfügen Unternehmen über die nötigen Informationen, ihre Sicherheitsmaßnahmen wirkungsvoll zu priorisieren und einen stärker fokussierten, effektiveren Ansatz bei deren Bekämpfung zu verfolgen.

Ein näherer Blick auf die grundlegenden Ursachen von Datenverletzungen hat uns gezeigt, dass nahezu 25 Prozent durch Multi-Faktor-Authentifizierung und Patching von über das Internet zugänglichen Web-Services hätten verhindert werden können. Hier muss mehr passieren. Diese sieben einfachen Leitsätze eignen sich gut als Ausgangsbasis für eine umfassende Sicherheitsstrategie:

  • 1. Wachsam sein
  • 2. Menschen als erste Verteidigungslinie
  • 3. Daten nur nach dem Need-to-know-Prinzip bevorraten
  • 4. Patches sofort installieren
  • 5. Sensible Daten verschlüsseln
  • 6. Zweifaktor-Authentifizierung einsetzen
  • 7. Physische Sicherheit nicht vergessen

Eines ist offensichtlich: Viele Firmen und Behörden tun einfach nicht genug, um die hochsensiblen und vertraulichen Daten zu schützen. Es muss mehr geschehen, sonst werden Einzelpersonen und ganze Familien die Konsequenzen zu spüren bekommen. Und die Gesundheitskosten werden steigen – für staatliche Stellen, Organisationen und Einzelpersonen.

* Laurance Dine ist Managing Principal beim Verizon Investigative Response Unit.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43974218 / Sicherheitsvorfälle)