U.S. Community Health Center gehackt – Daten von 1 Million Patienten gestohlen

„Das in Connecticut ansässige Community Health (CHC) Center gab im Februar 2025 bekannt, dass es Opfer eines Cyberangriffs geworden war. Heute sieht sich die Organisation weiterhin mit Prozessen, Vertrauensverlust und möglichen HIPAA-Verstößen konfrontiert.

Der Diebstahl von elektronischen Krankenakten (EMR) ist im Dark Web weitaus mehr wert als der Diebstahl von Sozialversicherungsnummern, Kreditkarten und Führerscheinen. „Die durchschnittliche Krankenakte ist mehr als 250,00 US-Dollar wert, während eine Kreditkarte weniger als 10,00 US-Dollar wert ist.

Gesundheitsdienstleister, die mit Budgetkürzungen, Gerichtsverfahren und Wettbewerb konfrontiert sind, betrachten den Schutz der Cybersicherheit immer noch als zweitrangig gegenüber einkommensgenerierenden Aktivitäten, einschließlich elektiver Operationen.

Hintergrund der Cybersecurity-Datenpanne

Wie bei vielen anderen Anbietern des Gesundheitswesens kam es auch bei CHC zu einem Datendiebstahl bei medizinischen Aufzeichnungen.

Der Gesundheitsdienstleister meldete dem Büro des Generalstaatsanwalts, dass keine personenbezogenen Daten aus seinem elektronischen Krankenaktensystem (EMR) gelöscht worden waren und die Hacker die Informationen nicht verschlüsselt hatten. „Die gestohlenen Daten enthielten personenbezogene Daten (PII), darunter die Namen der Patienten , Geburtsdaten, Adressen, Telefonnummern, Behandlungsinformationen, Testergebnisse, Sozialversicherungsnummern und Krankenversicherungen.“

CHCs Krisenmanagement-Schritte

Als CHC die schurkische Verbindung in sein Gesundheitsnetzwerk entdeckte, sperrte es den Hacker sofort für weitere kriminelle Aktivitäten. Nachdem der Gesundheitsdienstleister den Hacker blockiert hatte, konzentrierte sich ein externes Expertenteam für Cybersicherheit darauf, festzustellen, ob Informationen gestohlen, gelöscht oder verschlüsselt worden waren.

Das externe Team begann daraufhin, CHC bei der Einführung fortschrittlicher Überwachungslösungen, bei der Anwendung von Sicherheitstools für Endgeräte und bei der Verbesserung der Zugangskontrollfunktionen zu unterstützen.

Benachrichtigung der betroffenen

CHC hat alle betroffenen Patienten im Rahmen des Reaktionsplans über die Verletzung der Cybersicherheit informiert. CHC-CEO Mark Masselli drückte allen Betroffenen sein Bedauern über den Vorfall aus und versprach, dass sein Team in aktualisierte Cybersicherheitstools investieren werde, um einen solchen Vorfall in Zukunft zu vermeiden.

Überwachung von Kreditberichten und Konten

Ein weiterer wichtiger Schritt, den die CHC-Führung nach der Aktion unternahm, war die kostenlose 24-monatige Bereitstellung von Kreditberichten, Scans und Überwachung für alle COVID-19-Dienstleistungsempfänger, deren Sozialversicherungsnummern kompromittiert worden waren.

„CHC hat auch Zugang zu einem Versicherungsrückerstattungsbonus in Höhe von 1.000.000 Dollar und Hilfe bei der Wiederherstellung der Identität aufgrund dieses Cyber-Datenverstoßes.“

Schwachstellen bei Gesundheitsdaten verstehen

Wie andere regulierte Branchen stehen auch Gesundheitsdienstleister vor finanziellen Herausforderungen, wenn es darum geht, verschiedene gesetzliche Vorschriften einzuhalten und gleichzeitig wirtschaftlich solvent zu bleiben. Patientenklagen, Angriffe auf die Cybersicherheit, Angriffe auf die medizinische Versorgungskette, während die Betriebskosten weiter steigen.

Letztlich muss jeder Gesundheitsdienstleister entscheiden, wie er seine Patientendaten, seine Netzwerk- und Cloud-Architekturen und seine Benutzergemeinschaft schützen will. Plattformen des Gesundheitswesens, einschließlich EMR, haben mehrere Verbindungen zwischen Ärzten, Apotheken, internen und externen Labors und Versicherungsabrechnungsunternehmen. Hacker wissen um die Existenz dieser Verbindungen zu den EMR-Systemen der Gesundheitsdienstleister. Diese Verbindungen weisen auch mehrere Schwachstellen auf.

Schwachstellen bestehen in den verschiedenen API-Konnektoren, der föderierten Authentifizierung und den Datenaustauschprotokollen. Eine Datenpanne bei einem Krankenversicherer führt zu mehreren nachgelagerten Angriffen auf mehrere Gesundheitsdienstleister.

Selbst wenn Gesundheitsdienstleister wie CHC in zusätzliche Verteidigungsinstrumente für die Cybersicherheit wie Firewalls, Zero-Trust und Cloud-Sicherheit investieren, wird es zu Cyberangriffen und Datenschutzverletzungen kommen, weil die Überwachung und die Reaktion auf Vorfälle nicht im Mittelpunkt stehen.

Häufige Schwachstellen in der Cybersicherheit im Gesundheitswesen

Angriffe auf Gesundheitsdienstleister erfolgen über mehrere Vektoren. Hacker scannen ihre neuesten Ziele kontinuierlich und suchen nach Schwachstellen, um auf möglichst unkomplizierte und unentdeckte Weise in die verschiedenen Systeme der Anbieter einzudringen.

Gesundheitsdienstleister haben eine Vielzahl von Schwachstellen, die sie für Cyberangriffe anfällig machen. Viele dieser Schwachstellen bestehen in älteren Plattformen, die von den Gesundheitsdienstleistern noch unterstützt werden, bis neue Systeme in Betrieb genommen werden. Oft wird die Unterstützung zweier Systeme zu einem Sicherheitsproblem für sich selbst.

Ältere Gesundheitssysteme

Gesundheitsdienstleister transformieren ihr Servicemodell, senken die Kosten und erhöhen die Patientenzufriedenheit durch den Einsatz von Chatbots mit künstlicher Intelligenz (KI) für den Kundenservice. Die Umstellung auf Cloud-basierte Anwendungen für medizinische Dienstleistungen und die Ausweitung der Nutzung von sicheren Online-Portalen für Patienten zur Terminvereinbarung schafft Komfort und Cyber-Sicherheitsrisiken.

Die Umstellung auf neue Systeme erfordert Zeit, Geld und erweiterte Ressourcen zur Unterstützung beider Systeme. Nicht alle Gesundheitsdienstleister verfügen über die gleichen finanziellen Mittel, um dies zu bewerkstelligen. Einige kleinere Anbieter haben entweder ihre Pforten geschlossen oder wurden von einem großen Anbieter aufgekauft, um einen kostspieligen Verstoß gegen die Vorschriften infolge eines Cyberangriffs zu vermeiden.

Unsichere Daten

Gesundheitsdienstleister generieren täglich mehrere Datenquellen und greifen darauf zu. Zu diesen Datenquellen gehören Informationen von Apothekern, von Dritten gehostete radiologische Daten, EMR-Datensätze und medizinische Transkriptionen von einem externen Schreiber. Je nach Host verfügen diese Datenquellen über verschiedene Stufen des Datenschutzes.

Diese Ungereimtheiten beim Sicherheitsschutz führen zu den folgenden Angriffen auf die Cybersicherheit:

• Ein unabhängiger Schreiber, der Notizen eines Arztes transkribiert, vergisst, seine endgültige Dokumentation zu verschlüsseln, bevor er sie zur Überprüfung versendet. Die in das Dokument eingebetteten Informationen enthalten oft personenbezogene Daten zu einem bestimmten Patienten, der von dem Arzt behandelt wird.
• Die Benutzerkonten des ausgelagerten Blutlabors wurden kompromittiert, wodurch der Zugang zum Portal der Gesundheitsdienstleister zum Hochladen von Testergebnissen erweitert wurde.
• Wenn Ärzte ihre Laptops oder Telefone an einem öffentlichen Ort unbeaufsichtigt lassen, bietet sich für manche die Gelegenheit, mit ihren Fotohandys Bilder vom Bildschirm zu machen.
• Bei der Abrechnungsgesellschaft für Krankenversicherungen kam es zu einem Sicherheitsverstoß, der sich auf alle Kunden auswirkte.

Unsichere medizinische Geräte und Ausrüstungen

Das begrenzte Cybersicherheitsrisiko, das von älteren medizinischen Geräten wie OP-Ausrüstung, Radiologie, Medikamentenausgabegeräten und Herzmonitoren ausging, resultierte daraus, dass viele von ihnen nicht mit dem Krankenhausnetzwerk verbunden waren. Je mehr diese Geräte zu medizinischen Internet-of-Things (IoT)-Geräten wurden, desto höher war das Risiko.

Diese medizinischen IoT-Geräte, einschließlich ferngesteuerter Kameras in der Chirurgie, ferngesteuerter Herzüberwachungsgeräte und robotergestützter Chirurgiegeräte, werden jetzt über IP-Adressierung und Routing verbunden. Diese zusätzliche Konnektivität kommt zwar den Gesundheitsdienstleistern zugute, gefährdet aber die Patienten für Hacker.

Jedes IP-fähige Gerät kann Opfer eines Cyberangriffs werden. Denial-of-Service (DoS) gegen das gemeinsame Gerät ist ein gutes Beispiel.

Gesundheitsdienstleister, die in medizinische Geräte der nächsten Generation investieren, müssen ebenso in fortschrittliche Cybersicherheitsfunktionen investieren, einschließlich fortschrittlicher Netzwerk-Firewalls, Intrusion Prevention und Multi-Faktor-Authentifizierung. Ohne diese fortschrittlichen Sicherheitstools werden die medizinischen Geräte der nächsten Generation gefährdet sein.

Lösungen für E-Mail-Sicherheit außerhalb der Daten

E-Mail-Phishing-Angriffe auf Ärzte, Mediziner, Krankenschwestern und medizinisches Hilfspersonal sind zu einem häufigen Angriffsvektor geworden. Hacker nutzen E-Mail-Phishing, um Fachkräfte im Gesundheitswesen dazu zu verleiten, auf bösartige Links zu klicken, die sie dazu auffordern, ihre Passwörter zu ändern oder einen bösartigen Anhang mit Ransomware zu akzeptieren.

Die Aufrüstung auf eine E-Mail-Sicherheitsplattform der nächsten Generation, die auf KI und maschinellem Lernen, Data Loss Prevention (DLP) und E-Mail-Verschlüsselung basiert, hilft Gesundheitsdienstleistern, ihre Patientendaten und IP-fähigen medizinischen Geräte vor Angriffen durch vorgeschaltete medizinische Partner zu schützen.

Fehlende Überwachungs- und Reaktionsmöglichkeiten bei Zwischenfällen

Gesundheitsdienstleister, die in Cybersicherheitsfunktionen der nächsten Generation investieren, müssen auch sicherstellen, dass sie das Sicherheitsteam mit erfahrenen Technikern besetzen, die Cyberangriffe rund um die Uhr überwachen und darauf reagieren können.

Gesundheitsdienstleister, die nur wenig in die Überwachung und Reaktion auf Vorfälle investieren, werden mit ähnlichen Datenschutzverletzungen konfrontiert wie CHC.

Ein weiterer kritischer Faktor, mit dem Gesundheitsdienstleister konfrontiert sind, sind die steigenden Kosten für Cyberversicherungen. Sicherheitsverletzungen, wie sie CHC erlebt hat, passieren aufgrund fehlender proaktiver Sicherheitskontrollen, reaktiver Überwachung und Reaktion auf Vorfälle oder geringer oder fehlender Investitionen in Schulungen zum Thema Cybersicherheit.

Cyber-Versicherungsunternehmen verlangen von allen Endnutzern kontinuierliche Schulungen zum Sicherheitsbewusstsein. Sie verlangen auch, dass alle Kunden ihre Fähigkeiten zur Reaktion auf Vorfälle nachweisen, insbesondere wenn ein Unternehmen während der vorherigen Vertragslaufzeit einen Schaden gemeldet hat.

Gesundheitsdienstleister müssen mit einer Erhöhung ihrer Cyber-Versicherungsprämien rechnen, wenn sie nicht in der Lage sind, ihre wichtigsten Anlagen zu überwachen, um proaktiv die ersten Anzeichen von Cyber-Angriffen zu erkennen.

Welche Rolle spielt die MDR für das Gesundheitswesen?

Managed Detection and Response (MDR) für das Gesundheitswesen hilft bei der Lösung mehrerer Probleme, die bei der CHC-Datenpanne aufgedeckt wurden. MDR bietet 24×7-Überwachung, automatische Reaktion auf Vorfälle und Compliance-Berichte. Die meisten MDR-Anbieter bieten auch Endpunkt-Sicherheitsüberwachung und Protokollverwaltung, insbesondere von Microsoft M365 und Azure Cloud-basierten Anwendungen.

Die künftige Cybersicherheitsstrategie von CHC muss MDR-Fähigkeiten umfassen. Gesundheitsdienstleister, die mit internen SecOps-Ressourcen zu kämpfen haben, sollten eine ausgelagerte Partnerschaft mit MDR-Anbietern in Betracht ziehen.