Krankenversicherer UnitedHealth hat kürzlich Millionen von Dollar an Hacker gezahlt, die in eine ihrer Tochtergesellschaften eingedrungen waren und monatelange Störungen bei Gesundheitsdienstleistern im ganzen Land verursacht hatten. Der CEO von UnitedHealth, Andrew Witty, bestätigte dies während einer Anhörung vor dem Finanzausschuss des Senats und erklärte, dass diese Entscheidung eine der schwierigsten war, die er jemals treffen musste.
Im vergangenen Monat hatte UnitedHealth bekannt gegeben, dass sie ein Lösegeld an die Hacker gezahlt haben, die das Change Healthcare-System gehackt hatten. Der genaue Betrag wurde jedoch nicht genannt. Der Angriff wurde der Gruppe BlackCat zugeschrieben, die auch für den Hack des MGM Casinos in Las Vegas verantwortlich gemacht wurde. Berichten zufolge hatte BlackCat eine Transaktion in Höhe von 22 Millionen Bitcoin erhalten. Zuvor hatten sie behauptet, während des Hacks im Februar mehr als sechs Terabyte an sensiblen medizinischen Aufzeichnungen erlangt zu haben.
Während der Anhörung erklärte Witty, dass die Kriminellen kompromittierte Zugangsdaten verwendet hatten, um auf das Change Healthcare Citrix-Portal zuzugreifen. Dieses Portal ermöglicht den Remote-Zugriff auf Desktops und hatte keine Zwei-Faktor-Authentifizierung. Senator Ron Wyden (D-OR), der Vorsitzende des Ausschusses, äußerte sich kritisch und betonte, dass grundlegende Cybersicherheitsmaßnahmen den Hack hätten verhindern können. Er bemängelte, dass es nicht erst des schlimmsten Cyberangriffs in der Geschichte des Gesundheitswesens bedurft hätte, um eine Zwei-Faktor-Authentifizierung einzuführen.
Die Auswirkungen des Hacks waren weitreichend. UnitedHealth schaltete das Change Healthcare-System eine Woche lang ab, nachdem der Angriff entdeckt wurde. Dies führte dazu, dass Krankenhäuser, Kliniken und Apotheken im ganzen Land keine Bezahlungen erhielten. Witty erklärte während der Anhörung, dass das System nun größtenteils wieder normal funktioniere, jedoch warten einige Gesundheitsdienstleister immer noch auf Zahlungen.
Senator Wyden informierte Witty darüber, dass einigen Anbietern mitgeteilt wurde, dass sie bis Juni warten müssten, um ihre Zahlungen zu erhalten. Die American Hospital Association schrieb im März einen Brief an das Gesundheits- und Sozialministerium und wies darauf hin, dass UnitedHealth für die Verwaltung von über einem Drittel aller Patientenakten in den USA verantwortlich ist und jeden zehnten Arzt im ganzen Land überwacht.
Es bleibt abzuwarten, wie sich dieser Vorfall auf UnitedHealth und das Vertrauen der Patienten in die Sicherheit ihrer medizinischen Daten auswirken wird. Es ist jedoch klar, dass Unternehmen im Gesundheitswesen ihre Sicherheitsmaßnahmen verstärken müssen, um solche Angriffe in Zukunft zu verhindern. Die Einführung von Zwei-Faktor-Authentifizierung und anderen grundlegenden Cybersicherheitsmaßnahmen ist ein wichtiger erster Schritt, um solche Vorfälle zu vermeiden. Wir können nur hoffen, dass andere Unternehmen aus diesem Vorfall lernen und ihre Sicherheitsvorkehrungen entsprechend verbessern.
Schlagwörter: Andrew Witty + UnitedHealth + BlackCat
Wie bewerten Sie den Schreibstil des Artikels?