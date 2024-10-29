Eine Datenschutzverstoß beim virtuellen medizinischen Dienstleister Confidant Health legt den großen Unterschied zwischen personenbezogenen Daten (PII) einerseits und sensiblen Daten auf der anderen Seite offen.

Die Geschichte begann, als der Sicherheitsforscher Jeremiah Fowler eine ungesicherte Datenbank mit 5,3 Terabytes an ungeschützten Daten entdeckte, die mit Confidant Health in Verbindung standen. Das Unternehmen bietet Hilfe bei der Suchtbekämpfung und Behandlung psychischer Erkrankungen in Connecticut, Florida, Texas und anderen Bundesstaaten an.

Der Datenverstoß, über den zuerst WIRED berichtete, betraf personenbezogene Daten wie Patientennamen und Adressen, aber auch sensible Daten wie Audio- und Videoaufzeichnungen von Therapiesitzungen, detaillierte psychiatrische Aufzeichnungen und umfassende Anamnesen.

Der Artikel zeigte, wie erschreckend kompromittierend einige der Informationen waren: „Eine siebenseitige psychiatrische Anamnesedatei … enthält detaillierte Angaben zu Problemen mit Alkohol und anderen Substanzen, darunter auch, dass der Patient angab, … Betäubungsmittel aus dem Hospizvorrat seiner Großeltern genommen zu haben, bevor das Familienmitglied verstarb“, heißt es in dem Artikel. „In einem anderen Dokument beschreibt eine Mutter das ‚konfliktreiche‘ Verhältnis zwischen ihrem Ehemann und ihrem Sohn. Unter anderem schildert sie, wie ihr Sohn, während er Stimulanzien konsumierte, ihren Partner des sexuellen Missbrauchs beschuldigte.“

Der Data Breach Kostenreport 2024 von IBM hebt hervor, dass 46 % der Verstöße personenbezogene Daten von Kunden betrafen. Der Bericht weist außerdem auf einen signifikanten Anstieg der Kosten pro Datensatz für Daten zum geistigen Eigentum (IP) hin, die von 156 USD auf 173 USD gestiegen sind.

Das Ausmaß der Offenlegung im Fall Confidant Health stellt jedoch eine erhebliche Eskalation des potenziellen Schadens für die betroffenen Personen dar und geht weit über die Risiken hinaus, die mit bloßen Datenschutzverletzungen verbunden sind.