Die Zahlung eines Lösegelds wird Ihre Datenverletzung nicht beheben

Druckfreundlich, PDF & E-Mail

Der 1996 verabschiedete Health Insurance Portability and Accountability Act (HIPAA) soll verhindern, dass sensible Gesundheitsinformationen von Patienten ohne deren Zustimmung oder Wissen weitergegeben werden. Leider werden diese personenbezogenen Daten trotzdem „weitergegeben“, nämlich wenn die jeweiligen Gesundheitsorganisationen Ransomware-Angriffen zum Opfer fallen. Ist dies der Fall, greifen die HIPAA-Benachrichtigungsregeln. Meistens tun die Unternehmen, die dem HIPAA unterliegen, ihr Bestes, um diese Regeln zu befolgen und die betroffenen Personen angemessen zu benachrichtigen. Doch was passiert, wenn ein Unternehmen nicht einmal bemerkt hat, dass es von einer Datenschutzverletzung betroffen ist?

Genau diese Erfahrung musste das Arizona Asthma and Allergy Institute machen. Das Institut war vor Kurzem in den Schlagzeilen, da es im Jahr 2020 angeblich Opfer eines Datenschutzverstoßes wurde, bei dem die Daten von 50.000 Patienten, die zwischen dem 1. Oktober 2015 und dem 15. Juni 2020 Dienstleistungen von dem Institut erhielten, kompromittiert wurden. Der Verstoß wurde den Behörden am 3. Mai 2021 gemeldet. Letzte Woche berichtete das Institut, dass mindestens weitere 20.000 Patientendatensätze kompromittiert worden sind. Das Institut wurde auf die Datenschutzverletzung aufmerksam, nachdem Forscher von DataBreaches.net es darüber informierten, dass seine Daten auf der Ransomware-Website von Maze gefunden wurden.

Die Methode der doppelten Erpressung und das Schicksal kompromittierter Daten

Die Initiatoren der Maze-Ransomware waren die Ersten, die die Ransomware-Methode der „doppelten Erpressung“ einsetzten. Dabei drohen Angreifer damit, die Daten der Opfer zu veröffentlichen, wenn diese das Lösegeld nicht bezahlen. Wenn Opfer von Maze das Geld nicht zahlten, posteten die Angreifer einige oder alle Daten auf ihrer Ransomware-Website. Forscher fanden die Daten des Instituts auf der Maze-Website bereits im Jahr 2020, ordneten sie damals jedoch fälschlicherweise den Daten von Medical Management Inc zu:

Irgendwann (Datum ist DataBreaches.net unbekannt) wurden Daten von Medical Management, Inc. zu der Maze-Website hinzugefügt. Bei der Überprüfung wurde festgestellt, dass die betroffenen Dateien Informationen zu elektronischen Verfahren für Krankenversicherungsansprüche enthielten, die wiederum ePHI (elektronische geschützte Gesundheitsinformationen) inklusive Krankenversicherungsdaten umfassten. DataBreaches.net konnte weder eine Medienberichterstattung zu diesem Angriff noch Benachrichtigungen an das amerikanische Gesundheitsministerium (HHS) ausfindig machen. Am 3. November, mehr als vier Monate nach dem wahrscheinlichen Datum der Datenschutzverletzung, wandte sich DataBreaches.net an MedMan, um sich nach der Incident Response des Unternehmens zu erkundigen und zu erfahren, ob die betroffenen Personen benachrichtigt wurden – erhielt jedoch keine Antwort.

Irgendwann nach der Veröffentlichung dieses Artikels im November 2020 wurden die Forscher von DataBreaches.net darüber informiert, dass die Daten dem Institute und nicht MedMan gehörten. DataBreaches.net setzte das Institut dann am 5. Januar 2021 über die Datenschutzverletzung in Kenntnis. Am 8. März 2021 bestätigte das Institute, dass folgende Daten von dieser Datenschutzverletzung betroffen waren:

… die Vor- und Nachnamen in Kombination mit der Patienten-Identifikationsnummer, dem Anbieternamen, den Krankenversicherungsinformationen und den Behandlungskosten.

Daten, die einmal kompromittiert wurden, bleiben es auch

Es ist nicht ungewöhnlich, dass Monate oder sogar Jahre vergehen, bis eine Datenschutzverletzung erkannt, vollständig untersucht und den Betroffenen offengelegt wird. Daten können lange Zeit im Dark Web liegen, bevor ein Unternehmen überhaupt bemerkt hat, dass sie gestohlen wurden. Deshalb kann man es gar nicht oft genug sagen: Daten, die einmal offengelegt wurden, sind für immer kompromittiert.

Das Ransomware-Team von Maze ist Ende vergangenen Jahres in den Ruhestand getreten, doch niemand weiß wirklich, wo sich die gestohlenen Daten befinden. Wir haben einfach keine Möglichkeit herauszufinden, ob sie auf einer anderen Website veröffentlicht oder privat an andere Kriminelle verkauft wurden oder ob sie im Rahmen einer zukünftigen Datenschutzverletzung wieder auftauchen werden. Was wir mit Sicherheit wissen, ist, dass durch die Zahlung eines Lösegelds die Kompromittierung Ihrer Daten nicht rückgängig gemacht werden kann.

Die wichtigste Lektion dieses Vorfalls ist also, dass Sie Ihre Daten sichern müssen. Das tun Sie, indem Sie 1) Ihre Zugangsdaten schützen, 2) Ihre Web-Applikationen schützen und 3) Ihre Daten an einem Ort sichern, den Ransomware-Viren nicht erreichen können. Dabei kann Barracuda Ihnen helfen. Weitere Informationen dazu finden Sie auf unserer Website.

 

Schützen Sie Ihr Unternehmen vor Ransomware-Angriffen.

 

Nach oben scrollen
Twittern
Teilen
Teilen