US-Krebskliniken verlieren 2,2 Millionen Datensätze

Die auf Krebserkrankungen spezialisierte US-Klinikenkette 21st Century Oncology Holdings informiert, dass bei einem Cyberangriff bis zu 2,2 Millionen Datensätze von Patienten und Mitarbeitern gestohlen worden sein könnten. Es gebe aber kein Anzeichen, dass medizinische Daten darunter waren. Darauf weist Threatpost hin.

Der Vorfall war der Kette bereits am 13. November 2013 vom FBI gemeldet worden, die Polizeibehörde bat aber um Stillschweigen, bis sie ihre Nachforschungen abschließen konnte. Der eigentliche Angriff ereignete sich Anfang Oktober. Die Unbekannten griffen auf eine „Schlüssel-Datenbank“ zu, wo sie die Namen der Patienten und des Pflegepersonals, Sozialversicherungsnummern, Versicherungsdaten, Diagnosen und Behandlungsverlauf einsehen konnten.

Der Kliniken-Betreiber schreibt: „Jetzt da die von den Strafverfolgern erbetene Verzögerung endet, benachrichtigen wir die Patienten so schnell wie möglich. Zusammen mit dem FBI arbeiten wir weiter an einer Aufklärung dieses Eindringens in unser System.“ Unter anderem seien „interne Sicherheitsprotokolle“ verschärft worden, um einen Wiederholungsfall auszuschließen.

21st Century Oncology betreibt 145 Krebsbehandlungszentren in den USA und 36 in Lateinamerika. Seine Zentrale befindet sich in Fort Myers, Florida.

Niederlassungen von 21st Century Oncology (Bild: 21co.com)

Erneut ist damit ein amerikanisches Unternehmen aus dem Medizinbereich einem Angriff zum Opfer gefallen. Die gestohlenen Daten, darunter die in den USA oft als Identitätsnachweis verwendete Sozialversicherungsnummer, können für Phishing genutzt werden. Alternativ bringen sie auf dem Schwarzmarkt hohe Summen. Im vergangenen Jahr waren etwa die Krankenversicherungen Anthem, Premera Blue Cross und CareFirst Opfer von Datendiebstählen geworden.

Letzte Woche meldete zudem eine weitere auf Krebsbehandlung spezialisierte Einrichtung einen Sicherheitsvorfall, nämlich das City of Hope Cancer Treatment Center in Duarte (Kalifornien). Diese Attacke ereignete sich am 18. Januar. Die Angreifer drangen in E-Mail-Konten von vier Mitarbeitern ein, von denen drei auch Patientendaten enthielten.

Zusätzlich wurden in den letzten Wochen auch mehrere Krankenhäuser und Behörden Opfer von Ransomware, die wichtige Daten verschlüsselt und nur gegen Lösegeld herausgibt. Die US-Einrichtung Hollywood Presbyterian Medical Center zahlte die geforderten 17.000 Dollar, um schnell wieder den Betrieb aufnehmen zu können, ebenso wie die unterfränkische Stadt Dettelbach. Dagegen blieben einige Krankenhäuser in Nordrhein-Westfalen, darunter das Lukaskrankenhaus in Neuss, standhaft. Die Patientendaten wurden dort auf Basis eines Backups wiederhergestellt.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit der europäischen Technologie-Geschichte aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.