Zweitgrößte US-Krankenversicherung verliert Millionen Kundendaten

Unbekannte Angreifer haben dem zweitgrößten US-Krankenversicherer Anthem persönliche Daten von bis zu 80 Millionen Menschen gestohlen. Das berichtet das Wall Street Journal. Anthem zufolge handelte es sich um Namen, Geburtsdatum, Adresse und Sozialversicherungsnummern. Immerhin: Medizinische Daten scheinen nicht betroffen, ebenso wenig Kreditkartennummern.

Das Unternehmen entdeckte den Vorfall vergangene Woche, als ein Administrator eine laufende Datenbank-Abfrage über sein Konto – aber ohne sein Wissen – bemerkte. Nach US-Gesetz hätte es 60 Tage Zeit gehabt, den Vorfall zu melden, entschied sich aber, möglichst schnell an die Öffentlichkeit zu gehen. Es hat dafür eine eigene Website namens anthemfacts.com eingerichtet. Damit setzt es einen Kontrapunkt etwa zum Elektronikhändler Target, der seine Kunden wochenlang über gestohlene Kreditkartendaten im Dunklen ließ.

Betroffen sind Mitarbeiter von Anthem ebenso wie Versicherte. Das Unternehmen ist in 14 US-Staaten aktiv und versichert dort rund 37,5 Millionen Menschen. Wie viele Daten letztlich abgegriffen wurden, ist laut CIO Thomas Miller unsicher. Auf dem Schwarzmarkt wurden sie bisher nicht gesichtet.

Anthem hat einen externen Dienstleister mit der Untersuchung des Vorfalls beauftragt, nämlich Mandiant. Für diese Firma sagte Managing Director David Damato, es habe sich um einen raffinierten Angriff gehandelt, der komplexe Werkzeuge für seine Zwecke anpasste.

Letztes Jahr war schon die US-Krankenhauskette Community Health Systems einem Angriff zum Opfer gefallen, dessen Urheber in China vermutet werden. Vorfälle mit millionenfachem Datendiebstahl in den USA häufen sich. Unter anderem waren 2014 Adobe, Ebay, Experian und Home Depot betroffen. Auch das staatliche Krankenversicherungsportal Healthcare.gov war im vergangenen Jahr Ziel eines Cyberangriffs, bei dem aber keine Daten abhanden kamen.