Das FBI bezifferte im vergangenen Jahr den Wert eines gestohlenen Datensatzes im Gesundheitswesen auf 50 Dollar. Dagegen wirken die erzielbaren Erträge je gestohlener Kreditkarteninformation von 5 Dollar nahezu wie Ramschware. Nimmt man diese Zahlen zugrunde dann beläuft sich der Schwarzmarktwert für die 10 Millionen betroffenen Patientendatensätze des amerikanischen Versicherers Excellus auf stattliche 500 Millionen Dollar. Das Datenleck bei der Anthem Versicherung, das im Februar letzten Jahres entdeckt wurde, betraf sogar 78 Millionen Versicherte.
Warum sind Daten aus dem Gesundheitswesen so viel lukrativer als Kreditkarteninformationen?
Ein Grund ist sicherlich die unterschiedliche Lebensdauer. Während Kreditkartennummern oder Konten schnell gesperrt werden können, nachdem der Diebstahl entdeckt wurde, lassen sich Sozialversicherungsnummern nicht einfach „entwerten“.
Darüber hinaus sind letztere auch deutlich „gehaltvoller“ an zusätzlichen Informationen wie Name, Geburtsdatum, Postanschrift, Telefonnummer, Mitgliedsnummer, Konto- und Abrechnungsdaten und nicht selten auch Medikationen, Behandlungen und Verschreibungen.
Sicherlich eine Ursache dafür, dass diese Daten nicht in den einschlägigen Foren zum Kauf angeboten werden, sondern eher auf spezialisierten Plattformen für die unterschiedlichsten „Nutzungen“ angeboten werden. So können mithilfe gestohlener Identitäten teure Medikamente bestellt, Verschreibungen manipuliert und kostenspielige Behandlungen erschlichen werden.
Steigende Gesundheitskosten tun das Ihrige, um die Kreativität der Cyberkriminellen sowohl bei der illegalen Beschaffung wie Vermarktung der wertvollen Daten zu fördern.
Erschwerend kommt hinzu, dass Experten davon ausgehen, dass die Taten nicht das Werk von „normalen“ Cyberbanden sind, sondern von gut finanzierten und staatlich geförderten Gruppen begangen werden. So wird allgemein angenommen, dass der Datendiebstahl „Community Health Hack“ aus dem Jahre 2014 von einer staatlichen chinesischen Spionagegruppe durch geführt wurde.
Wenn man sich unter diesen Gesichtspunkten die jüngsten Schlagzeilen über die Cyberangriffe auf Kliniken in NRW in Erinnerung ruft, kann man durchaus berechtigt die Frage stellen: Ist unser Gesundheitswesen, Kostenträger und Leistungsanbieter gleichermaßen, auf diese Bedrohungen vorbereitet?
Neueste Kommentare