Datendiebstahl Goldgrube Gesundheitsdaten

Der Diebstahl medizinischer Informationen kann gravierende Folgen für Sicherheit und Wohlergehen der betroffenen Personen haben. Außerdem motivieren solche Daten zunehmend ambitionierte Finanzbetrüger

Anbieter zum Thema

Kodak Alaris Germany GmbH

Net at Work GmbH

Fujitsu Technology Solutions GmbH

Verizon Deutschland GmbH

Vom Diebstahl medizinischer Daten sind 18 von 20 Branchen betroffen. Zu diesem Ergebnis kommt der Verizon 2015 Protected Health Information Data Breach Report (pdf). Der in diesem Jahr erstmalig erschienene Bericht liefert eine detaillierte Analyse bestätigter Datenverletzungen bei geschützten Gesundheitsdaten (Protected Health Information, PHI) in der insgesamt mehr als 392 Millionen Datensätze aus 1.931 Vorfällen in 25 Ländern berücksichtigt werden, darunter auch europäische Märkte wie Deutschland.

Besonders beunruhigend ist, dass beispielsweise allein die Hälfte der US-amerikanischen Bevölkerung seit 2009 von PHI-Datenverletzungen betroffen ist. Darüber hinaus gab das FBI Anfang 2015 eine Warnung an Gesundheitsdienstleister heraus, wonach die Gesundheitsbranche im Vergleich zur Finanzbranche oder dem Einzelhandel keineswegs abwehrbereit aufgestellt ist und daher verstärkte Cybercrime-Aktivitäten wahrscheinlich sind.

Gesundheitsbezogene Daten finden sich nicht nur bei Medizinern

Wir haben PHI-Daten als individuell zuordenbare Gesundheitsinformationen einer Person klassifiziert, die unter mindestens eines der bundesstaatlichen, nationalen oder internationalen Gesetze zur Veröffentlichung von Datenverletzungen fallen. Dies schließt medizinische Datensätze, Zahlungskarteninformationen sowie auf eine Person rückführbare Informationen (z. B. Sozial-/Rentenversicherungsnummer, Name, Geburtsdatum) ein, die von Gesundheitsdienstleistern, Krankenversicherungen, Arbeitgebern, Abrechnungsstellen oder anderen Institutionen erfasst oder generiert werden.

Vor diesem Hintergrund wird klar, dass viele Unternehmen im Rahmen ihrer Geschäftstätigkeit PHI-Daten sammeln, nicht nur von Mitarbeitern, sondern auch von Kunden. Herausragendes Beispiel ist die Versicherungsbranche, wo wir in jüngster Zeit Datendiebstähle im großen Stil beobachten konnten. Die Tatsache, dass eine Organisation nicht in der Gesundheitsindustrie tätig ist, senkt nicht notwendigerweise das Risiko einer Datenverletzung.

Cybercrime schert sich nicht um Standorte

Ein weiterer wichtiger Punkt betrifft das vorherrschende Missverständnis, dass cyberkriminelle Aktivitäten standortbezogen sind. Daten des Verizon Forensik-Teams lassen übereinstimmend erkennen, dass Angreifer sich von den Daten, die sie interessieren, sowie von den Plattformen leiten lassen, auf denen solche Daten verarbeitet und gespeichert werden – und nicht von dem Land, in dem sich die Daten befinden.

Die Angriffsmethoden haben nichts mit dem geografischen Standort zu tun – menschliches Versagen, eine der Hauptursachen für Datenverletzungen, ist ein weltweites Phänomen. Wir haben zudem herausgefunden, dass Cybertrends und Empfehlungen zu ihrer Bekämpfung rund um den Globus universell gleich – also standortunabhängig – sind.

PHI-Datenverletzungen sind anders

Datenverletzungen bei geschützten Gesundheitsdaten unterscheiden sich gleich in mehrfacher Hinsicht. Zum einen sind es die Angreifer. Bei PHI-Datenverletzungen weichen die Zahlen der externen und der internen Täter nur um 5 Prozentpunkte voneinander ab. Das bedeutet: Missbrauch durch Insider kommt oft vor.

Medizinische Daten werden häufig mit böswilliger Absicht entwendet. Die Angreifer sind nur an personenbezogenen Angaben (Personable Identifiable information, PII) wie Kreditkarten- und Sozialversicherungsnummer interessiert, um es bei Finanz- und Steuerbetrug leichter zu haben.

Bitte lesen Sie auf der nächsten Seite weiter.

(ID:44001426)