Die digitale Transformation hilft Gesundheitsdienstleistern weltweit, Kosten zu senken und die Patientenversorgung zu verbessern. Doch die Digitalisierung von Gesundheitsdaten birgt erhebliche Cyberrisiken. Wenn Ihre Daten auf IT-Systemen gespeichert werden, die über das Internet erreichbar sind, könnten sie versehentlich offengelegt oder von böswilligen Dritten abgerufen werden.

Medizinische Daten gehören zu den sensibelsten Informationen, die wir mit Organisationen teilen. Deshalb genießen sie einen besonderen Schutzstatus gemäß der Datenschutzgrundverordnung (DSGVO). Zu 100 Prozent ist jedoch niemand vor Datenpannen sicher. Daher ist es umso wichtiger, einen Ablaufplan für den Fall der Fälle zu besitzen. Nur so lässt sich der Schaden minimieren, wenn Ihre Daten kompromittiert wurden.

Das Worst-Case-Szenario

In den ersten 10 Monaten des Jahres 2023 wurden beispielsweise in den USA laut Regierungsangaben medizinische Daten von über 88 Millionen Menschen offengelegt. Diese Zahl könnte noch höher sein, wenn man Organisationen berücksichtigt, die nicht durch das HIPAA-Gesetz („Health Insurance Portability and Accountability Act“) geregelt sind.

Zu den bekanntesten Vorfällen der letzten Jahre gehören:

  • Change Healthcare: Im Februar 2024 erlitt der US-Gesundheitsdienstleister einen massiven Ransomware-Angriff. Die Angreifer (Black Cat/ALPHV) behaupteten, 6 TB Daten gestohlen zu haben. Obwohl die Gruppe nach einer angeblichen Lösegeldzahlung von 22 Millionen Dollar aufgelöst wurde, versuchten Einzelne erneut, das Unternehmen zu erpressen. Sie drohten, die Daten an den Höchstbietenden zu verkaufen.
  • Cerebral: Das Mental-Health-Startup leakte versehentlich hochsensible medizinische Informationen von 3,1 Millionen Menschen online. Das Unternehmen gab letztes Jahr zu, dass es über drei Jahre hinweg unabsichtlich Daten an „Drittanbieter-Plattformen“ und „Subunternehmer“ weitergegeben hatte.

Was steht auf dem Spiel?

Zu den potenziell gefährdeten medizinischen Daten gehören:

  • Vertragsnummern von Versicherungspolicen
  • Persönlich identifizierbare Informationen (PII) wie Sozialversicherungsnummer, Adresse und Geburtsdatum
  • Passwörter für medizinische, Versicherungs- und Finanzkonten
  • Krankengeschichte einschließlich Behandlungen und Verschreibungen
  • Rechnungs- und Zahlungsinformationen wie Kredit- und Debitkartendetails

Diese Informationen könnten von Bedrohungsakteuren auf viele Weise genutzt werden: um Ihre Kreditkarten zu belasten, neue Kreditlinien zu eröffnen, Ihr Bankkonto zu plündern oder sich medizinische Dienstleistungen und Medikamente zu erschleichen. In den USA könnten Gesundheitsdaten sogar verwendet werden, um betrügerische Steuererklärungen einzureichen und mögliche Rückerstattungen zu erhalten. Wenn sensible Informationen über Behandlungen oder Diagnosen vorliegen, besitzen Cyberkriminelle ein finanziell teures Druckmittel in der Hand.

8 Schritte nach einer Datenpanne

Wenn Sie sich in einem Worst-Case-Szenario befinden, bewahren Sie einen kühlen Kopf und arbeiten Sie systematisch die folgenden Schritte durch:

1) Benachrichtigung überprüfen

Lesen Sie die E-Mail sorgfältig, suchen Sie nach Anzeichen eines potenziellen Betrugs. Achten Sie auf Rechtschreibfehler und dringende Anfragen nach persönlichen Informationen. Überprüfen Sie auch die Absenderadresse und klicken Sie nicht auf eingebettete Links. Laden Sie keine Anhänge herunter.

2) Was genau ist passiert?

Verstehen Sie Ihr Risiko. Welche Informationen wurden kompromittiert? War der Vorfall eine versehentliche Datenoffenlegung oder haben böswillige Dritte Ihre Daten gestohlen? War die Information verschlüsselt? Wenn Ihr Anbieter diese Fragen nicht ausreichend beantwortet, rufen Sie ihn an.

3) Konten überwachen

Überwachen Sie verdächtige Aktivitäten wie medizinische Rechnungen für Behandlungen, die Sie nicht erhalten haben. Achten Sie auf ungewöhnliche Banktransaktionen und nutzen Sie kostenlose Kreditüberwachungsdienste.

4) Verdächtige Aktivitäten melden

Melden Sie verdächtige Aktivitäten oder Abrechnungsfehler sofort dem entsprechenden Anbieter. Dokumentieren Sie dies schriftlich und informieren Sie Ihren Versicherer per E-Mail oder Telefon.

5) Sperren Sie Ihren Kredit und Ihre Karten

Sperren Sie gegebenenfalls die betroffenen Konten, damit Hacker keinen Zugang erhalten. Erwägen Sie, Ihre Bankkarten „einzufrieren“ oder neu ausstellen zu lassen. Dies kann oft über Ihre Banking-App erfolgen.

6) Passwörter ändern

Wenn Ihre Logins kompromittiert wurden, sollten Sie diese manuell ändern. Vertrauen Sie nicht darauf, dass der Anbieter Zugangsdaten automatisch zurücksetzt. Nutzen Sie unbedingt Zwei-Faktor-Authentifizierung für zusätzlichen Schutz.

7) Wachsam bleiben

Betrüger werden versuchen, Ihre persönlichen und medizinischen Informationen für Phishing-Angriffe zu nutzen. Bleiben Sie wachsam und melden Sie versuchte Erpressungen sofort der Polizei.

8) Rechtliche Schritte in Erwägung ziehen

Wenn Ihre Daten durch Fahrlässigkeit Ihres Gesundheitsdienstleisters kompromittiert wurden, könnten Sie Anspruch auf Entschädigung geltend machen. Konsultieren Sie einen Rechtsanwalt und beraten Sie, ob eine Einzel- oder Sammelklage möglich ist.

Kein Ende in Sicht

Da medizinische Daten im Untergrund des Cybercrime-Marktes 20-mal mehr wert sind als Kreditkartendaten, werden Cyberkriminelle weiterhin Gesundheitsorganisationen ins Visier nehmen. Mit Ransomware Millionen Euros erpressen zu können, macht den Sektor noch attraktiver. Daher sollten Sie auf das Schlimmste vorbereitet sein und wissen, wie Sie den Schaden für Ihre mentale Gesundheit, Privatsphäre und Finanzen minimieren können.

LESEN SIE WEITER: