Bericht: Gehackter US-Krankenversicherer nutzte keine Verschlüsselung

Daten wie Sozialversicherungsnummern waren im Klartext gespeichert. Hashes oder Verschlüsselung hätten einem Informanten des WSJ zufolge Recherchen in der Datenbank und die Weitergabe erschwert. CrowdStrike verdächtigt die chinesische Gruppe Deep Panda hinter dem Angriff.

Mangelnde Sicherheit beim US-Krankenversicherer Anthem macht möglicherweise den gestern gemeldeten Hack von dessen Datenbank wertvoller. Einem Bericht des Wall Street Journal zufolge waren die Daten von 80 Millionen Personen unverschlüsselt und nicht gehasht. Wie viele davon die Kriminellen herunterladen konnten, ist unklar.

Logo der zweitgrößten US-Krankenversicherung (Bild: Anthem)

Die Wirtschaftszeitung zitiert einen Informanten, Datenschutz sei „ein schwieriger Balance-Akt“, weshalb man auf eine Verschlüsselung oder Hashes der Daten verzichtet habe. Es wäre sonst für die Angestellten von Anthem schwieriger gewesen, etwa medizinische Trends durch Datenbankabfragen zu ermitteln oder Daten an Bundesstaaten oder Gesundheitsdienste weiterzugeben.

Unter den Daten waren Namen, Adressen und die in den USA oft als Identitätsnachweis genutzten Sozialversicherungsnummern, und zwar von Versicherten, deren Familienangehörigen und Anthems Personal. Anthem zufolge gibt es keine Hinweise, dass die Angreifer auch medizinische Unterlagen einsehen konnten.

Hätten die Kriminellen nur Hashes oder verschlüsselte Daten erhalten, hätten sie immerhin Zeit, Ressourcen und Energie auf die Entschlüsselung aufwenden müssen – wenn sie ihnen denn überhaupt gelungen wäre. So bekamen sie Daten in die Hand, die auf dem Schwarzmarkt unmittelbar bares Geld bringen dürften.

President und CEO Joseph R. Swedish schreibt an die Versicherten: „Während dieser Sicherheitslücke wurde auch auf die Daten von Anthems Mitarbeitern – einschließlich meiner – zugegriffen. Wir teilen Ihre Sorge und Frustration, und ich sichere Ihnen zu, dass wir rund um die Uhr daran arbeiten, Ihre Daten so weit wie möglich abzusichern.“

Swedish zufolge handelte es sich um eine „äußerst raffinierte Cyberattacke von außen“. Der LA Times zufolge vermutet der Sicherheitsanbieter CrowdStrike die chinesische Hackergruppe Deep Panda hinter dem Angriff. „Wir haben schon früher erlebt, dass Deep Panda auf die Medizinbranche abzielte, und sie haben auch schon Websites von Gesundheitsdiensten nachgebaut“, sagte CrowdStrike-Vizepräsident Adam Meyers der Publikation. Mit der Untersuchung des Vorfalls bei Anthem ist aber nicht seine Firma betraut, sondern das Mandiant-Team von FireEye.

„Fortune-500-Firmen geben weiter Millionen Dollar für Firewalls zur Abgrenzung ihres Netzwerks, Intrusion Prevention und Sicherheitstechnik auf Host-Level aus, aber wie die Vorfälle bei Anthem, Sony, Target und JP Morgan zeigen, kommen die Bösewichter immer noch hinein“, kommentierte Carl Wright, der frühere Sicherheitsverantwortliche der US-Marines und heutige General Manager von TrapX, gegenüber ZDNet.com. „Noch mehr Grund zur Sorge ist, dass Kriminelle jetzt auf Gesundheitsdaten gehen, die auf dem Schwarzmarkt bis zu zehnmal so viel Wert wie einfache Kreditkartennummern haben. Anders als eine Kreditkarte, die schnell gesperrt und neu ausgegeben werden kann, enthalten Krankenakten Sozialversicherungsnummern, Heimadresse, Angaben zum Gesundheitszustand und Kontaktdaten von Familienangehörigen. Das sind die Daten, die man braucht, um jemandes Identität zu stehlen.“

[mit Material von Charlie Osborne, ZDNet.com]

Themenseiten: Anthem, Crowdstrike, Cybercrime, FireEye, Hacker, Medizin, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Bericht: Gehackter US-Krankenversicherer nutzte keine Verschlüsselung

Kommentar hinzufügen
  • Am 7. Februar 2015 um 0:06 von punisher

    Ciao…die werden hoffentlich richtig tief in die Tasche greifen müssen, für diese Dummheit.

  • Am 7. Februar 2015 um 9:43 von Frank Furter

    So viel zum Vertrauen in Unternehmen (in den USA?), die personenbezogen Daten erheben, sammeln und speichern…
    Hauptsache, die Qurtalszahlen sind beeindrucken – da muss man ja nicht jeden Cent in Datensicherheit investieren…

  • Am 7. Februar 2015 um 9:49 von Nu is zu spät

    Nun kann er sich das Gerede schenken: „Wir teilen Ihre Sorge und Frustration, und ich sichere Ihnen zu, dass wir rund um die Uhr daran arbeiten, Ihre Daten so weit wie möglich abzusichern.”“

    Die Gangster haben die Beute, die Opfer sind die Versicherten, und der zweite Schuldige – neben den Gangstern – ist wohl er, weil er VORHER nichts für die Sicherheit getan hat. Der ‚Balance-Akt‘ nutzt den Versicherten überhaupt nicht, Verschlüsselung schon.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *