OCR Bericht deckt Rekord-Datenlecks im US-Gesundheitswesen 2023 auf

Zusammenfassung des Vorfalls

Das Office for Civil Rights (OCR) des US-Gesundheitsministeriums (HHS) hat dem Kongress seine Jahresberichte für das Kalenderjahr 2023 vorgelegt. Diese Berichte zeichnen ein besorgniserregendes Bild der Einhaltung des Health Insurance Portability and Accountability Act (HIPAA) und der Datenlecks. Laut dem Bericht war 2023 ein Rekordjahr für die Anzahl großer Datenlecks, von denen mehr als 500 Personen betroffen waren. Insgesamt wurden 725 große Sicherheitsverletzungen gemeldet, die zur Offenlegung von geschützten Gesundheitsinformationen (PHI) von fast 135 Millionen Menschen führten. Diese Zahl stellt einen schockierenden Anstieg von 141 % bei der Anzahl der betroffenen Personen im Vergleich zu 2022 dar.

Geleakte Daten und Umfang

Die bei Datenlecks im Gesundheitswesen kompromittierten Daten umfassen geschützte Gesundheitsinformationen (Protected Health Information, PHI), die äußerst sensibel und persönlich sind. Diese durch HIPAA geschützten Daten enthalten private Details zur Krankengeschichte, Diagnosen, Behandlungen und Versicherungsinformationen einer Person. Die Arten von Daten, die bei den Verstößen im Jahr 2023 offengelegt wurden, umfassen typischerweise:

• Persönlich identifizierbare Informationen (PII): Vollständiger Name, Geburtsdatum, Adresse und Sozialversicherungsnummer.
• Medizinische Informationen: Diagnosen, Behandlungsunterlagen, Verschreibungsinformationen, Laborergebnisse und Arztnotizen.
• Krankenversicherungsinformationen: Versicherungsnummern, Gruppennummern und Daten zu Versicherungsansprüchen.
• Finanzielle Informationen: Rechnungsinformationen im Zusammenhang mit medizinischen Dienstleistungen und manchmal Kreditkartennummern.

Der Umfang dieser Sicherheitsverletzungen ist enorm. Der Bericht gibt an, dass 725 große Sicherheitsverletzungen aufgetreten sind; der Begriff "groß" wird verwendet, um Vorfälle zu beschreiben, die 500 oder mehr Personen betreffen. Die alarmierendste Statistik ist jedoch, dass die Gesamtzahl der betroffenen Personen 134.834.163 erreichte. Dies bedeutet, dass die sensiblen Gesundheitsdaten eines erheblichen Teils der US-Bevölkerung in die Hände von Cyberkriminellen gelangt sein könnten. Diese Situation verdeutlicht die Schwachstellen in der Cybersicherheitsstrategie des Gesundheitssektors und die wachsenden Bedrohungen, denen er ausgesetzt ist.

Technische Aspekte des Angriffs

Der OCR-Bericht beschreibt auch die Hauptursachen für diese Datenlecks. Die überwiegende Mehrheit der Vorfälle im Jahr 2023 war auf externe Cyberangriffe zurückzuführen. Technisch gesehen sind die Hauptfaktoren hinter den Ereignissen folgende:

Hacking und IT-Vorfälle: Der Bericht zeigt, dass 80 % der fast 135 Millionen betroffenen Personen im Jahr 2023, also etwa 108 Millionen Menschen, Opfer von Hacking und IT-Vorfällen wurden. Diese Kategorie umfasst das aktive Eindringen von Cyberkriminellen in die Netzwerke und Systeme von Gesundheitsorganisationen. Zu den häufigsten Angriffsvektoren gehören Ransomware-Angriffe, Phishing-Kampagnen und die Ausnutzung von Software-Schwachstellen. Bei Ransomware-Angriffen verschlüsseln die Angreifer Daten auf den Systemen, machen sie unzugänglich und fordern dann ein Lösegeld für die Wiederherstellung des Zugriffs oder um die Veröffentlichung der Daten zu verhindern.

Unbefugter Zugriff und Offenlegung: Die zweithäufigste Ursache ist der unbefugte Zugriff oder die unbefugte Offenlegung. Diese Art von Vorfällen ist oft intern bedingt. Ein Beispiel wäre ein Mitarbeiter, der auf Patientenakten zugreift, für die er keine Berechtigung hat, oder die versehentliche Zusendung sensibler Daten per E-Mail an die falsche Person. Obwohl solche Vorfälle häufiger sind, betreffen sie im Allgemeinen eine geringere Anzahl von Personen im Vergleich zu groß angelegten Cyberangriffen.

Der Bericht gibt an, dass Netzwerkserver der häufigste Ort für kompromittierte Daten waren. Dies deutet darauf hin, dass die Angreifer auf die zentralen Systeme abzielen, auf denen alle Daten einer Organisation gespeichert sind, und nicht auf einzelne Computer. Dies erklärt, wie ein einziger erfolgreicher Angriff die Daten von Millionen von Menschen kompromittieren kann. Aktuelle Datenleck Nachrichten berichten oft über solche groß angelegten Serverangriffe.

Wer sind die betroffenen Benutzer

Die von den in diesem Bericht beschriebenen Datenlecks betroffenen Personen sind Patienten, die im Jahr 2023 Dienstleistungen von verschiedenen US-amerikanischen Gesundheitsdienstleistern, Krankenversicherungen oder deren Geschäftspartnern erhalten haben. Kurz gesagt, Millionen von Menschen, die in den USA leben und medizinische Behandlung erhielten, versichert waren oder eine Gesundheitsdienstleistung in Anspruch nahmen, sind potenziell betroffen. Die Opfer sind nicht Kunden eines einzelnen Krankenhauses oder einer Versicherungsgesellschaft, sondern Patienten und Mitglieder von 725 verschiedenen Organisationen im ganzen Land. Die Auswirkungen sind daher weit verbreitet und nicht auf eine bestimmte geografische Region oder demografische Gruppe beschränkt.

Was sollten Sie tun

Es ist schwierig, sicher zu wissen, ob Ihre Daten bei einem dieser Verstöße kompromittiert wurden. Nach den HIPAA-Regeln müssen betroffene Personen von der jeweiligen Gesundheitseinrichtung benachrichtigt werden. Als allgemeine Vorsichtsmaßnahme wird jedoch allen Personen empfohlen, die folgenden Schritte zu unternehmen:

• Überwachen Sie Ihre Kontoauszüge: Überprüfen Sie regelmäßig Ihre Bank- und Kreditkartenabrechnungen, um verdächtige Transaktionen sofort zu erkennen.
• Überprüfen Sie Ihre Leistungsabrechnungen (EOB): Untersuchen Sie sorgfältig die EOB-Dokumente Ihrer Krankenversicherung. Ansprüche für medizinische Leistungen, die Sie nicht erhalten haben, könnten ein Zeichen für medizinischen Identitätsdiebstahl sein.
• Seien Sie vorsichtig bei Phishing-Angriffen: Cyberkriminelle können gestohlene persönliche Informationen verwenden, um Ihnen gezielte Phishing-E-Mails zu senden. Klicken Sie nicht auf Links in verdächtigen E-Mails, die nach persönlichen Informationen oder Passwörtern fragen.
• Überwachen Sie Ihre Kreditauskünfte: Überprüfen Sie regelmäßig Ihre Kreditauskünfte bei den drei großen Kreditauskunfteien (Equifax, Experian, TransUnion), um nach unbekannten Konten zu suchen, die in Ihrem Namen eröffnet wurden. Erwägen Sie bei Bedarf eine Kreditsperre.

Stellungnahme der Organisation

In diesem Fall ist die "Organisation" die Regulierungs- und Aufsichtsbehörde, das Office for Civil Rights (OCR). In seinem Bericht legte das OCR die Situation transparent dar und informierte über seine Aktivitäten zur Sicherstellung der HIPAA-Konformität. Das OCR gab an, im Jahr 2023 34.747 neue Beschwerden im Zusammenhang mit HIPAA-Verstößen erhalten und insgesamt 34.879 Beschwerden, einschließlich derer aus den Vorjahren, beigelegt zu haben. 98 % dieser Beschwerden wurden durch freiwillige Einhaltung durch die Einrichtungen gelöst, ohne dass eine formelle Untersuchung erforderlich war.

Darüber hinaus führte das OCR im Jahr 2023 19 HIPAA-Durchsetzungsmaßnahmen durch, die zu Geldstrafen in Höhe von insgesamt 4.176.500 US-Dollar führten. Der Bericht erwähnte auch, dass gemäß dem HITECH Act ein Teil dieser eingenommenen Strafen künftig an die Opfer von Datenlecks verteilt werden soll, obwohl dieser Mechanismus noch nicht vollständig umgesetzt ist. Der Bericht des OCR zielt darauf ab, die Ernsthaftigkeit der Lage zu unterstreichen und gleichzeitig zu zeigen, dass seine Aufsichts- und Durchsetzungsmechanismen aktiv sind.

Kaynak

https://www.hipaajournal.com/ocr-reports-congress-hipaa-compliance-data-breaches-2023/