Datavant einigt sich auf 900.000-Dollar-Vergleich bei Datenpanne – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

Datavant zahlt $900.000 in Datenpannen-Vergleich

Der Gesundheitsdaten-Riese Datavant Group hat einem Vergleich in Höhe von 900.000 US-Dollar zugestimmt, um eine Sammelklage im Zusammenhang mit einer Datenpanne beizulegen, bei der geschützte Gesundheitsinformationen (PHI) von Tausenden von Patienten offengelegt wurden.

Das Logo der Datavant Group im Zusammenhang mit dem Vergleich über 900.000 Dollar wegen einer Datenpanne.

Was ist passiert

Die Datavant Group, ein wichtiger Akteur im Bereich Gesundheitstechnologie und Datenanalyse, hat ihre Brieftasche geöffnet, um eine lästige Sammelklage zu beenden. Das Unternehmen stimmte einem Vergleichsfonds in Höhe von 900.000 US-Dollar mit den Klägern in einem Fall zu, der aufgrund einer Datenpanne eingereicht wurde, die angeblich zur Offenlegung sensibler Gesundheitsdaten von Tausenden von Patienten führte. Dieser Schritt wird als Versuch gesehen, einen langen und potenziell kostspieligeren Rechtsstreit zu vermeiden. Obwohl die Vereinbarung noch der endgültigen gerichtlichen Genehmigung bedarf, deutet die grundsätzliche Einigung der Parteien darauf hin, dass der Vorfall für die Opfer zu einem Abschluss kommt.

Wie sind wir also hierhergekommen? Alles begann mit einer in den Systemen von Datavant identifizierten Sicherheitslücke. Die Kläger warfen dem Unternehmen vor, keine angemessenen Cybersicherheitsmaßnahmen ergriffen zu haben, um zu verhindern, dass Cyberangreifer in ihr Netzwerk eindringen und auf streng persönliche geschützte Gesundheitsinformationen (PHI) zugreifen. Solche Klagen beinhalten typischerweise Vorwürfe der Fahrlässigkeit, des Vertragsbruchs und der ungerechtfertigten Bereicherung. Nach Ansicht der Kläger hat Datavant seine Pflicht gegenüber den Personen, deren Daten es schützen sollte, verletzt. Das Unternehmen bestreitet diese Vorwürfe jedoch. In ihrer Erklärung gaben sie an, dass sie ihre Sicherheitssysteme für ausreichend hielten, sich aber für diesen Vergleich entschieden hätten, um den Zeit- und Kostenaufwand eines Rechtsstreits zu vermeiden. Dies ist eine übliche rechtliche Haltung in solchen Fällen; Unternehmen ziehen es vor, die Angelegenheit abzuschließen, ohne ein Schuldgeständnis abzugeben. Dieser Fonds in Höhe von 900.000 US-Dollar wird verwendet, um Einzelpersonen für Auslagen zu entschädigen, die ihnen direkt durch die Panne entstanden sind, und um sie für die Zeit zu entschädigen, die sie mit der Bewältigung der Folgen verbracht haben. Wenn Sie also aufgrund dieses Vorfalls einen Kreditüberwachungsdienst kaufen oder stundenlang mit Ihrer Bank telefonieren mussten, könnten Sie einen Teil dieses Fonds erhalten.

Kompromittierte Daten

Wonach suchten die Cyberangreifer? Kurz gesagt, nach unseren privatesten Informationen. Laut Gerichtsakten umfassen die gestohlenen Daten eine breite Palette persönlicher und medizinischer Informationen, die unter dem HIPAA (Health Insurance Portability and Accountability Act) geschützt sind. Dies ist weit mehr als ein einfacher E-Mail-Leak. Werfen wir einen Blick darauf, wie sensibel die Liste ist:

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →
  • Vollständige Namen und Adressen: Die Grundpfeiler Ihrer Identität.
  • Geburtsdaten: Ein weiteres wichtiges Puzzlestück, das häufig beim Identitätsdiebstahl verwendet wird.
  • Sozialversicherungsnummern (SSNs): Vielleicht der kritischste Datenpunkt. Sobald Ihre SSN kompromittiert ist, können auf Ihren Namen Kreditkarten eröffnet und betrügerische Steuererklärungen eingereicht werden.
  • Krankenaktennummern: Ihre eindeutige Kennung im Gesundheitssystem.
  • Krankenversicherungsinformationen: Einschließlich Vertragsnummern und Gruppeninformationen. Damit können Betrüger unter Ihrer Versicherung falsche Leistungsanträge stellen.
  • Diagnose- und Behandlungsinformationen: Dies ist vielleicht der intimste Teil. Extrem persönliche Daten wie Krankheiten, die Sie hatten, Behandlungen, die Sie erhalten haben, und Medikamente, die Sie einnehmen. Die Offenlegung dieser Art von Informationen kann verheerende Folgen haben, nicht nur finanziell, sondern auch für Ihr Privat- und Berufsleben.

Die Kombination dieser Daten ist eine Fundgrube für Cyberkriminelle. Dies ist als „medizinischer Identitätsdiebstahl“ bekannt. Jemand könnte Ihre Informationen verwenden, um medizinische Leistungen in Ihrem Namen zu erhalten, Rezepte zu bekommen, und all das würde in Ihrer Akte landen. Diese Situation könnte Ihre zukünftige medizinische Versorgung gefährden; zum Beispiel könnte sie dazu führen, dass Ihre Blutgruppe oder Allergien falsch erfasst werden. Deshalb birgt diese Datenpanne tiefgreifende und dauerhafte Risiken, die nicht mit einem einfachen Passwortwechsel behoben werden können.

Wie der Angriff geschah

Datavant hat sich zu den technischen Details des Angriffs sehr bedeckt gehalten. Gerichtsdokumente und öffentliche Erklärungen geben keine klare Auskunft darüber, wie genau die Cyberangreifer in ihr Netzwerk eingedrungen sind. Dies ist oft Teil einer Strategie, um laufende Sicherheitsverbesserungen oder den Ruf des Unternehmens zu schützen. Basierend auf unserer Erfahrung in der Cybersicherheitswelt und ähnlichen Fällen können wir jedoch einige wahrscheinliche Szenarien bewerten.

Eines der häufigsten Szenarien ist ein Phishing-Angriff. Ein Mitarbeiter, der auf einen Link in einer legitim aussehenden gefälschten E-Mail klickt oder einen Anhang öffnet, kann Angreifern den ersten Zugangspunkt zum Netzwerk verschaffen. Nach diesem ersten Schritt bewegen sich Angreifer lateral innerhalb des Netzwerks, um mehr Privilegien und Datenzugriff zu erlangen. Unternehmen im Gesundheitssektor können aufgrund ihrer geschäftigen Arbeitsabläufe besonders anfällig für solche Social-Engineering-Angriffe sein.

Eine weitere starke Möglichkeit ist eine ungepatchte Schwachstelle. In von Unternehmen genutzter Software oder auf Servern entdeckte Sicherheitslücken lassen eine offene Tür für Angreifer. Wenn Datavant eine bekannte Schwachstelle in einer Drittanbietersoftware oder in seinen eigenen Systemen nicht rechtzeitig geschlossen hat, könnten Angreifer dies ausgenutzt haben. Wir sollten nicht vergessen, wie Schwachstellen in Dateiübertragungssoftware wie MOVEit in den letzten Jahren zu massiven Datenpannen geführt haben. Unternehmen wie Datavant, die große Datenmengen verarbeiten, nutzen solche Übertragungstools ausgiebig.

Schließlich sind auch falsch konfigurierte Cloud-Server ein häufiges Problem. Das Belassen von Daten in einem öffentlichen Cloud-Speicherbereich ohne Verschlüsselung oder Passwortschutz kann dazu führen, dass sie bereits mit einem einfachen Internet-Scan zugänglich sind. Obwohl dies kein direkter „Hack“ ist, handelt es sich um eine Datenoffenlegung aufgrund von Fahrlässigkeit, die ebenso schwerwiegende rechtliche Konsequenzen hat. Die Zurückhaltung von Datavant, genau zu erklären, wie das Ereignis stattgefunden hat, deutet darauf hin, dass jedes dieser Szenarien oder eine Kombination davon plausibel sein könnte.

Wer ist betroffen

Die Opfer dieser Datenpanne sind keine direkten Kunden von Datavant. Dies ist ein sehr wichtiger Punkt. Datavant ist ein B2B-Unternehmen (Business-to-Business), das Datenmanagement- und Analysedienste für Krankenhäuser, Kliniken, Versicherungsgesellschaften und andere Organisationen im Gesundheitswesen anbietet. Sie haben also wahrscheinlich noch nie den Namen Datavant gehört, aber die Praxis Ihres Arztes oder Ihre Versicherungsgesellschaft hat deren Dienste zur Verarbeitung Ihrer Daten genutzt.

Daher sind die Betroffenen die Patienten dieser Gesundheitsorganisationen, die die Dienste von Datavant in Anspruch genommen haben. Diese Situation ist ein perfektes Beispiel für das, was in der Cybersicherheit als „Lieferkettenrisiko“ bekannt ist. Sie vertrauen Ihre Daten Ihrem Krankenhaus an, aber dieses Krankenhaus arbeitet mit einem anderen Unternehmen zusammen, um diese Daten zu verarbeiten. Wenn dieses Drittunternehmen eine Panne erleidet, sind auch Ihre Daten gefährdet. Aus diesem Grund besteht die Klasse für diese Klage aus Patienten, die in einem bestimmten Zeitraum Dienstleistungen von Gesundheitsdienstleistern erhalten haben, die Kunden von Datavant waren. Wenn Sie per Post oder E-Mail eine Benachrichtigung über diese Klage erhalten haben, gehören Sie wahrscheinlich zu dieser Gruppe. Die Vergleichsdokumente definieren klar, wer anspruchsberechtigt ist, und umfassen im Allgemeinen Personen, deren Daten zum Zeitpunkt der Panne in den Systemen von Datavant gespeichert waren.

Was Sie tun können

Wenn Sie glauben, von dieser Datenpanne betroffen zu sein, oder eine Benachrichtigung erhalten haben, gibt es konkrete Schritte, die Sie unternehmen können, anstatt nur abzuwarten. Hier ist, was Sie tun sollten, jenseits des klischeehaften Ratschlags „Ändern Sie Ihr Passwort“, das spezifisch für diese Situation ist:

  1. Überprüfen Sie die Vergleichs-Website: Sammelklagenvergleiche haben in der Regel eigene offizielle Websites. Über diese Seite können Sie prüfen, ob Sie zur Klasse gehören, und auf die erforderlichen Formulare zur Geltendmachung eines Anspruchs zugreifen. Sie können diese Seite finden, indem Sie nach etwas wie „Datavant class action settlement“ suchen.
  2. Einen Anspruch geltend machen (Anspruchsformular ausfüllen): Um einen Anteil am Vergleichsfonds zu erhalten, müssen Sie vor Ablauf der Frist ein Anspruchsformular ausfüllen. In diesem Formular werden Sie möglicherweise aufgefordert, Ihre Ausgaben aufgrund der Panne zu dokumentieren. Sie können beispielsweise eine Erstattung für Gebühren zur Sperrung Ihrer Kreditauskünfte, für Anwälte oder Berater zur Lösung von Identitätsdiebstahl oder für die Zeit, die Sie mit diesen Problemen verbracht haben (normalerweise zu einem bestimmten Stundensatz), beantragen. Bewahren Sie Ihre Unterlagen (Rechnungen, Quittungen) auf.
  3. Überprüfen Sie Ihre Krankenakten und Versicherungsauszüge: Dies ist der wichtigste Schritt. Überprüfen Sie sorgfältig die „Leistungserklärungen“ (Explanation of Benefits - EOB) Ihrer Versicherungsgesellschaft. Gibt es Behandlungen, die Sie nicht erhalten haben, Ärzte, die Sie nicht besucht haben, oder Medikamente, die Ihnen nicht verschrieben wurden? Wenn Sie verdächtige Einträge in Ihren eigenen Krankenakten sehen, wenden Sie sich sofort an Ihren Gesundheitsdienstleister und Ihre Versicherungsgesellschaft. Medizinischer Identitätsdiebstahl ist ein schwer zu behebendes Problem.
  4. Legen Sie eine Sicherheitssperre für Ihre Kreditauskünfte fest (Credit Freeze): Dies ist eine stärkere Maßnahme als ein Betrugsalarm. Sie können sich an die drei großen Kreditauskunfteien (in den USA: Equifax, Experian, TransUnion) wenden, um eine Sperre für Ihre Auskünfte zu veranlassen. Dies macht es nahezu unmöglich, dass jemand ohne Ihre Erlaubnis ein neues Kreditkonto in Ihrem Namen eröffnet. Dieser Vorgang ist in der Regel kostenlos, und Sie können ihn bei Bedarf vorübergehend aufheben.

Was das Unternehmen sagt

Die Datavant Group hat während des gesamten Rechtsstreits und in der Vergleichsankündigung eine konsequente Haltung eingenommen. Das Unternehmen bestreitet vehement alle Vorwürfe des Fehlverhaltens oder der Fahrlässigkeit. Dies ist ein Standardverfahren bei Sammelklagenvergleichen und wird als „Klausel ohne Schuldeingeständnis“ bezeichnet. Mit dieser Klausel können Unternehmen den Rechtsstreit beenden und gleichzeitig verhindern, dass der Vergleich in zukünftigen potenziellen Fällen als Beweismittel gegen sie verwendet wird.

Ein Unternehmenssprecher erklärte: „Datensicherheit und die Privatsphäre unserer Kunden haben für uns höchste Priorität. Wir sind davon überzeugt, dass unsere Systeme stets robust und branchenüblich waren. Angesichts der Ablenkungen und Kosten, die ein fortgesetzter Rechtsstreit mit sich bringen würde, haben wir jedoch entschieden, dass eine Einigung mit den Klägern der konstruktivste Weg für alle Parteien ist. Dieser Vergleich stellt kein Eingeständnis eines Fehlers dar.“ Sie fügten hinzu, dass sie seit dem Vorfall zusätzliche Investitionen getätigt haben, um ihre Cybersicherheitsinfrastruktur weiter zu stärken und ihre Audit-Prozesse verschärft haben. Solche Erklärungen sind sorgfältig formuliert, um sowohl ihre rechtliche Position zu schützen als auch aktuellen und potenziellen Kunden zu signalisieren, dass sie die Sicherheit ernst nehmen.

Quelle

https://www.hipaajournal.com/datavant-group-class-action-data-breach-settlement/

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag Private Geheimdienstfirma leakt 48 Millionen Datensätze Nächster Beitrag → Wie die Daten von einer Million Menschen offengelegt wurden

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.