Der US-amerikanische Krankenversicherer Premera Blue Cross ist Opfer eines Hackerangriffs geworden. Den unbekannten Tätern gelang es, Zugriff auf 11 Millionen Kundendaten zu erhalten.
Besondere Brisanz erhält der Fall dadurch, dass auch konkrete medizinische Kundeninformationen unter den erbeuteten Datensätzen sein könnten und Premera den Datendiebstahl eine ganze Weile geheim gehalten hat.
Datendiebstahl monatelang geheimgehalten
Wie jetzt bekannt wurde, hat man den Datendiebstahl bereits am 29. Januar registriert. Der erste Angriff sei zudem bereits am 5. Mai 2014 erfolgt, so die Bundespolizei FBI im Gespräch mit dem privaten Sicherheitsdienstleister FireEyd Mandiant. Schon damals war es Unbekannten gelungen, Namen, Geburtsdaten, Sozialversicherungsnummern und Versicherungskonditionen einzusehen. Wie der Versicherer bekannt gab, seien auch E-Mail-Adressen, Telefonnummern und konkrete Kontoinformationen unter den Daten gewesen. Bislang habe man allerdings noch keinen Fall von Missbrauch der Daten feststellen können.
Betroffen sind die Versicherungsprogramme Premera Blue Cross, Premera Blue Cross Blue Shield of Alaska, Vivacity und Connexion Insurance Solutions.
Datenverschlüsselung unklar
Bisher hat sich der Versicherer noch nicht dazu geäußert, ob die Daten verschlüsselt oder im Klartext abgespeichert waren. Bisher sind US-amerikanische Versicherer nicht verpflichtet, Kundendaten verschlüsselt auf ihren Servern zu hinterlegen.
Ein ähnlicher Angriff auf den Versicherer Anthem wenige Wochen zuvor dürfte eine Diskussion um das US-Bundesgesetz Health Insurance Portability and Accountability Act nun erneut anheizen. Eigenen Angaben zufolge hatte Anthem seine Daten nicht verschlüsselt, um selbst schneller darauf zugreifen zu können. Bei Anthem wurden sogar 80 Millionen Datensätze gestohlen.
Begonnen hatte die Debatte um strengere Richtlinien bei der Speicherung von Kundendaten im Jahr 2014. Damals hatten Cyberkriminelle die Krankenhauskette Community Health Systems angegriffen. Die Verantwortlichen hatten dabei die Heartbleed-Lücke in Open SSL ausgenutzt. Das FBI habe damals darauf hingewiesen, dass es den Tätern vor allem um die auf den Servern der Versicherer gespeicherten Sozialversicherungsnummern gehe.
