Pfizer speichert Patientendaten ungeschützt in der Cloud

Der Pharmakonzern Pfizer hat offenbar versehentlich Daten von Patienten in einem ungesicherten Cloudspeicher abgelegt. Entdeckt wurden die vertraulichen Informationen von Forschern des Sicherheitsanbieters vpnMentor. Frei zugänglich waren demnach Hunderte Konversationen zwischen Pfizers automatischer Kundensupport-Software und Nutzern, die verschreibungspflichtige Medikamente des Unternehmens zur Behandlung von Krebs, Epilepsie, Angststörungen und Erektionsstörungen einnahmen.

Abgelegt waren die Daten in der Google Cloud. Neben vertraulichen medizinischen Daten fanden die Forscher auch Namen, Anschriften und E-Mail-Adressen von Patienten.

„Hacker könnten die Opfer leicht austricksen, indem sie als Kundenbetreuungsabteilung von Pfizer auftreten und in den Protokollen auf die stattfindenden Gespräche verweisen“, erklärten die Forscher gegenüber Siliconangle. „Zum Beispiel erkundigten sich viele Leute nach neuen Rezepten und anderen Fragen. Solche Umstände bieten Cyberkriminellen eine großartige Gelegenheit, sich als Pfizer auszugeben und Kartendetails anzufordern.“

Auch sei es möglich, die Daten für Angriffe mit Malware oder Ransomware einzusetzen. Zusammen mit weiteren Daten der Betroffenen spekulierten die Forscher zudem über Straftaten wie Identitätsdiebstahl.

Dem Bericht zufolge benötigte Pfizer mehrere Wochen, um die Daten gegen unbefugte Zugriffe zu sichern. Bereits im Juli hätten die Forscher das Unternehmen zweimal kontaktiert. Ein weiterer Versuch am 22. September habe schließlich dazu geführt, dass Pfizer den Zugang zu den Daten am 23. September gekappt habe. Eine offizielle Stellungnahme oder gar Bestätigung des Sicherheitsvorfalls stehe aber noch aus.

„Was uns der jüngste Sicherheitsbruch bei Pfizer zeigt, ist, dass es selbst für die größten Unternehmen der Welt äußerst schwierig ist, ihre Daten stündlich, täglich und wöchentlich zu sichern. Es ist unerheblich, ob ein interner oder externer Fehler zu dieser Datenverletzung geführt hat, da der digitale Fußabdruck für Unternehmen so schnell wächst, dass Fehler auftreten und Daten offengelegt werden“, kommentierte Sam Curry, Chief Security Officer bei Cybereason. „In diesem Fall kann Pfizer die Opferkarte nicht ausspielen, da es sicherlich keine Kunden gibt, die daran interessiert sind, Ausreden zu hören. Was sie wollen, ist Transparenz und die Garantie, dass das Unternehmen auch weiterhin dafür sorgen wird, dass der Datenschutz für sie oberste Priorität hat.“

Tim Mackay, Principal Security Evangelist bei Synopsis, schließt einen Zusammenhang mit der COVID-19-Pandemie nicht aus. „Da Unternehmen aufgrund der Pandemie Schwierigkeiten haben, ihre Kosten mit geringeren Einnahmen unter Kontrolle zu halten, ist es normal, dass sie sich nach Optionen wie Cloud Hosted Storage umsehen. Die ordnungsgemäße Sicherung dieses Speichers sollte eine Priorität sein, aber es werden immer wieder Vorfälle gemeldet, in denen Cloud-Storage-Buckets und -Datenbanken nicht ordnungsgemäß gesichert wurden. Jeder Cloud-Anbieter bietet APIs an, die zur Automatisierung der Konfiguration seiner Cloud-Storage-Angebote verwendet werden können. Darüber hinaus ist eine Audit-Protokollierung verfügbar, um unerwartete Nutzungsmuster wie erfolgreiche Zugriffsversuche durch Dritte zu überwachen.“

Laut Siliconangle ist es nicht der erste Sicherheitsvorfall bei Pfizer. Drei ähnliche Vorfälle sollen sich bereits 2007 ereignet haben. 2019 soll ein Mitarbeiter zudem eine Sicherungsfestplatte in einer Box vergessen haben, die schließlich entsorgt wurde.