Bericht: Gehackter US-Krankenversicherer nutzte keine Verschlüsselung

Mangelnde Sicherheit beim US-Krankenversicherer Anthem macht möglicherweise den gestern gemeldeten Hack von dessen Datenbank wertvoller. Einem Bericht des Wall Street Journal zufolge waren die Daten von 80 Millionen Personen unverschlüsselt und nicht gehasht. Wie viele davon die Kriminellen herunterladen konnten, ist unklar.

Die Wirtschaftszeitung zitiert einen Informanten, Datenschutz sei „ein schwieriger Balance-Akt“, weshalb man auf eine Verschlüsselung oder Hashes der Daten verzichtet habe. Es wäre sonst für die Angestellten von Anthem schwieriger gewesen, etwa medizinische Trends durch Datenbankabfragen zu ermitteln oder Daten an Bundesstaaten oder Gesundheitsdienste weiterzugeben.

Unter den Daten waren Namen, Adressen und die in den USA oft als Identitätsnachweis genutzten Sozialversicherungsnummern, und zwar von Versicherten, deren Familienangehörigen und Anthems Personal. Anthem zufolge gibt es keine Hinweise, dass die Angreifer auch medizinische Unterlagen einsehen konnten.

Hätten die Kriminellen nur Hashes oder verschlüsselte Daten erhalten, hätten sie immerhin Zeit, Ressourcen und Energie auf die Entschlüsselung aufwenden müssen – wenn sie ihnen denn überhaupt gelungen wäre. So bekamen sie Daten in die Hand, die auf dem Schwarzmarkt unmittelbar bares Geld bringen dürften.

President und CEO Joseph R. Swedish schreibt an die Versicherten: „Während dieser Sicherheitslücke wurde auch auf die Daten von Anthems Mitarbeitern – einschließlich meiner – zugegriffen. Wir teilen Ihre Sorge und Frustration, und ich sichere Ihnen zu, dass wir rund um die Uhr daran arbeiten, Ihre Daten so weit wie möglich abzusichern.“

Swedish zufolge handelte es sich um eine „äußerst raffinierte Cyberattacke von außen“. Der LA Times zufolge vermutet der Sicherheitsanbieter CrowdStrike die chinesische Hackergruppe Deep Panda hinter dem Angriff. „Wir haben schon früher erlebt, dass Deep Panda auf die Medizinbranche abzielte, und sie haben auch schon Websites von Gesundheitsdiensten nachgebaut“, sagte CrowdStrike-Vizepräsident Adam Meyers der Publikation. Mit der Untersuchung des Vorfalls bei Anthem ist aber nicht seine Firma betraut, sondern das Mandiant-Team von FireEye.

„Fortune-500-Firmen geben weiter Millionen Dollar für Firewalls zur Abgrenzung ihres Netzwerks, Intrusion Prevention und Sicherheitstechnik auf Host-Level aus, aber wie die Vorfälle bei Anthem, Sony, Target und JP Morgan zeigen, kommen die Bösewichter immer noch hinein“, kommentierte Carl Wright, der frühere Sicherheitsverantwortliche der US-Marines und heutige General Manager von TrapX, gegenüber ZDNet.com. „Noch mehr Grund zur Sorge ist, dass Kriminelle jetzt auf Gesundheitsdaten gehen, die auf dem Schwarzmarkt bis zu zehnmal so viel Wert wie einfache Kreditkartennummern haben. Anders als eine Kreditkarte, die schnell gesperrt und neu ausgegeben werden kann, enthalten Krankenakten Sozialversicherungsnummern, Heimadresse, Angaben zum Gesundheitszustand und Kontaktdaten von Familienangehörigen. Das sind die Daten, die man braucht, um jemandes Identität zu stehlen.“

[mit Material von Charlie Osborne, ZDNet.com]