Eine Datenschutzverstoß beim virtuellen medizinischen Dienstleister Confidant Health legt den großen Unterschied zwischen personenbezogenen Daten (PII) einerseits und sensiblen Daten auf der anderen Seite offen.
Die Geschichte begann, als der Sicherheitsforscher Jeremiah Fowler eine ungesicherte Datenbank mit 5,3 Terabytes an ungeschützten Daten entdeckte, die mit Confidant Health in Verbindung standen. Das Unternehmen bietet Hilfe bei der Suchtbekämpfung und Behandlung psychischer Erkrankungen in Connecticut, Florida, Texas und anderen Bundesstaaten an.
Der Datenverstoß, über den zuerst WIRED berichtete, betraf personenbezogene Daten wie Patientennamen und Adressen, aber auch sensible Daten wie Audio- und Videoaufzeichnungen von Therapiesitzungen, detaillierte psychiatrische Aufzeichnungen und umfassende Anamnesen.
Der Artikel zeigte, wie erschreckend kompromittierend einige der Informationen waren: „Eine siebenseitige psychiatrische Anamnesedatei … enthält detaillierte Angaben zu Problemen mit Alkohol und anderen Substanzen, darunter auch, dass der Patient angab, … Betäubungsmittel aus dem Hospizvorrat seiner Großeltern genommen zu haben, bevor das Familienmitglied verstarb“, heißt es in dem Artikel. „In einem anderen Dokument beschreibt eine Mutter das ‚konfliktreiche‘ Verhältnis zwischen ihrem Ehemann und ihrem Sohn. Unter anderem schildert sie, wie ihr Sohn, während er Stimulanzien konsumierte, ihren Partner des sexuellen Missbrauchs beschuldigte.“
Der Data Breach Kostenreport 2024 von IBM hebt hervor, dass 46 % der Verstöße personenbezogene Daten von Kunden betrafen. Der Bericht weist außerdem auf einen signifikanten Anstieg der Kosten pro Datensatz für Daten zum geistigen Eigentum (IP) hin, die von 156 USD auf 173 USD gestiegen sind.
Das Ausmaß der Offenlegung im Fall Confidant Health stellt jedoch eine erhebliche Eskalation des potenziellen Schadens für die betroffenen Personen dar und geht weit über die Risiken hinaus, die mit bloßen Datenschutzverletzungen verbunden sind.
Cyberkriminelle und andere Kriminelle interessieren sich für sensible Daten, darunter auch medizinische Daten, weil diese für Social-Engineering-Angriffe, gezielte Erpressung oder sogar den Verkauf an unethische Konkurrenten oder Gegner genutzt werden können. Gerade die Sensibilität der Daten macht sie für böswillige Ausbeutung wertvoll.
Um es klarzustellen: Die Offenlegung sensibler Daten wie medizinischer Informationen stellt nicht nur für die Zielperson selbst, sondern auch für deren Arbeitgeber ein Risiko dar. Mithilfe dieser Daten kann der Mitarbeiter erpresst werden, Passwörter und andere Daten preiszugeben, die den Angreifern bei einem Einbruch in das Unternehmen des Mitarbeiters helfen können.
Zu den möglichen Angriffsvektoren gehören:
Der jüngste Vorfall verdeutlicht auf drastische Weise die dringende Notwendigkeit robuster Datenschutzmaßnahmen, insbesondere im Gesundheitswesen. Die Schlüssel liegen in Gründlichkeit und ständiger Wachsamkeit.
Der Schutz sensibler Daten im Gesundheitswesen und anderen Einrichtungen erfordert einen umfassenden Ansatz.
Die Implementierung robuster Zugriffskontrollen und Authentifizierung ist entscheidend. Dazu gehört die Bereitstellung von Multi-Faktor-Authentifizierung für alle Benutzerkonten und der Aufbau rollenbasierter Zugriffskontrollen, um den Datenzugriff basierend auf Jobfunktionen zu begrenzen. (Regelmäßige Audits und Reviews der Benutzerberechtigungen sollten durchgeführt werden, um ein ordnungsgemäßes Zugriffsmanagement sicherzustellen.)
Die Verschlüsselung spielt eine wichtige Rolle beim Schutz sensibler Daten. Es ist wichtig, die Daten sowohl im Ruhezustand als auch bei der Übertragung zu verschlüsseln und für die gesamte Kommunikation und Datenübertragung eine End-to-End-Verschlüsselung zu verwenden. Geräteverschlüsselung sollte für mobile Geräte und Laptops implementiert werden, um Daten im Falle von Verlust oder Diebstahl zu schützen.
Netzwerksicherheit ist ein weiterer kritischer Aspekt des Datenschutzes. Die Bereitstellung von Firewalls der nächsten Generation und Eindringungserkennungs-/Präventionssystemen trägt zum Schutz vor externen Bedrohungen bei. Netzwerksegmentierung kann sensible Daten isolieren, während virtuelle private Netzwerke sicheren Remote-Zugriff bieten.
Datenschutzmaßnahmen sollten die Implementierung von Lösungen für die Verhinderung von Datenverlust zur Überwachung und Kontrolle der Datenbewegung beinhalten. Durch Datenmaskierung und Tokenisierung lassen sich sensible Daten schützen, und regelmäßige Backups mit getesteten Wiederherstellungsverfahren gewährleisten die Datenverfügbarkeit im Falle von Vorfällen.
Endpunktsicherheit ist wichtig, um sich gegen Malware und andere Bedrohungen zu schützen. Pflegen Sie aktuelle Antiviren- und Anti-Malware-Software, implementieren Sie Lösungen für Endpoint Detection and Response (EDR) und nutzen Sie Mobile Device Management für unternehmenseigene Geräte.
Aus organisatorischer Sicht ist die Entwicklung und Durchsetzung umfassender Datenschutzrichtlinien von grundlegender Bedeutung. Dazu gehört die Umsetzung eines formellen Notfallplans sowie die Festlegung klarer Verfahren zur Datenspeicherung und -entsorgung. Regelmäßige Schulungen zum Sicherheitsbewusstsein für alle Mitarbeiter, mit speziellen Schulungen für diejenigen, die mit sensiblen Daten umgehen, tragen dazu bei, eine Kultur des Sicherheitsbewusstseins im gesamten Unternehmen zu fördern.
Risikomanagement ist ein fortlaufender Prozess, der die Durchführung regelmäßiger Risikobewertungen und Schwachstellenanalysen umfasst. Ein formales Risikomanagementprogramm sollte implementiert werden, mit regelmäßigen Updates und Patches auf alle Systeme und Software.
Das Management von Drittanbieterrisiken ist ebenso wichtig. Dazu gehören die Implementierung strenger Risikomanagementverfahren für Lieferanten, die Sicherstellung, dass alle Verträge mit Dritten Datenschutzklauseln enthalten und die regelmäßige Überprüfung des Zugriffs auf und der Datenverarbeitung von Dritten.
Compliance und Auditing sind kritische Komponenten eines soliden Sicherheitsprogramms. Unternehmen müssen die Einhaltung relevanter Gesundheitsvorschriften, wie beispielsweise HIPAA, sicherstellen. Regelmäßige interne und externe Sicherheitsaudits sollten durchgeführt und detaillierte Protokolle aller Datenzugriffe und Systemaktivitäten sollten geführt werden.
Data Governance ist für einen effektiven Datenschutz unerlässlich. Dazu gehören die Implementierung eines formellen Datenklassifizierungssystems, die Festlegung von Dateneigentums- und Datenverwaltungsrollen sowie die regelmäßige Inventarisierung und Kartierung aller sensiblen Daten.
Die Fähigkeiten zur Reaktion auf Sicherheitsvorfälle und zur Wiederherstellung sind entscheidend, um die Auswirkungen von Sicherheitsverletzungen zu minimieren. Unternehmen sollten einen Notfallplan entwickeln und regelmäßig testen, ein dediziertes Notfallteam einrichten und automatisierte Bedrohungserkennungs- und Reaktionsfunktionen implementieren.
Physical-Security-Maßnahmen sollten nicht vernachlässigt werden. Die Sicherung des physischen Zugangs zum Rechenzentrum und zu sensiblen Bereichen, die Durchführung geeigneter Entsorgungsverfahren für physische Datenträger und der Einsatz von Überwachungs- und Zugangskontrollsystemen in kritischen Bereichen sind allesamt wichtige Aspekte einer umfassenden Sicherheitsstrategie.
Durch die Umsetzung dieser Maßnahmen können Unternehmen ihre Datensicherheit erheblich verbessern. Es ist jedoch wichtig zu bedenken, dass Cybersicherheit ein fortlaufender Prozess ist, der ständige Wachsamkeit erfordert. Regelmäßige Bewertungen und Verbesserungen des Sicherheitsprogramms sind unerlässlich, um sensible Daten in der sich ständig weiterentwickelnden Geschäftswelt der Cyberbedrohungen zuverlässig zu schützen.
In einer zunehmend digitalisierten Geschäftswelt verdeutlicht dieser Vorfall die dringende Notwendigkeit eines Paradigmenwechsels im Umgang mit sensiblen Daten und deren Schutz. Es genügt nicht mehr, sich ausschließlich auf den Schutz personenbezogener Daten zu konzentrieren. Unternehmen müssen einen ganzheitlichen Ansatz verfolgen, der den einzigartigen Wert und die Verletzlichkeit sensibler personenbezogener Daten anerkennt.