Der Anbieter von Herzüberwachungsgeräten iRhythm wurde Opfer eines Datendiebstahls, auf den ein Erpressungsversuch folgte.
In einer Meldung an die US-Börsenaufsichtsbehörde (SEC) gab iRhythm bekannt, dass das Unternehmen am 9. Juni von einer Person kontaktiert wurde, die behauptete, vertrauliche Informationen gestohlen zu haben, darunter firmeneigene Daten, geschützte Patientendaten (PHI) und andere personenbezogene Daten. Diese Person forderte eine Zahlung als Gegenleistung dafür, die Daten nicht zu veröffentlichen.
iRhythm bietet ambulante Herzüberwachung und -analyse an (beispielsweise mithilfe des Zio-Pflasters) und hat Berichten zufolge bereits über zwei Milliarden Stunden Herzschlagdaten von mehr als zwölf Millionen Patienten ausgewertet.
In der Meldung erklärte das Unternehmen, die Daten seien durch Social Engineering erlangt worden und stammten aus „bestimmten, von Dritten gehosteten Geschäftsanwendungen“, ohne jedoch weitere Einzelheiten zum Umfang der Daten preiszugeben.
Auch auf seiner eigenen Website macht iRhythm nicht viele Angaben zur Art der gestohlenen Daten, scheint jedoch anzudeuten, dass keine Finanzdaten betroffen waren:
„Wir haben keine Auswirkungen auf unsere Produkte, unsere klinischen Systeme oder Medizinprodukte, unsere Kundenbeziehungen, unsere Fertigungs- und Vertriebsabläufe, die Patientensicherheit oder unsere Fähigkeit, den Bedürfnissen der Patienten gerecht zu werden, festgestellt. Darüber hinaus speichern oder bewahren wir keine individuellen Finanzkontodaten oder Zahlungskartendaten auf.“
„Während wir den Vorfall aktiv untersuchen, werden wir die von diesem Vorfall betroffenen Personen gemäß den geltenden Rechtsvorschriften benachrichtigen und gegebenenfalls Maßnahmen ergreifen, um sie zu schützen und die ihnen entstandenen Nachteile auszugleichen.“
In der SEC-Meldung heißt es jedoch weiter, dass iRhythm den Vorfall „angesichts des Umfangs der potenziell betroffenen Daten“ als schwerwiegend eingestuft habe. In Verbindung mit den Behauptungen der Erpresser, im Besitz von Patientendaten zu sein, ist dieser Datenverstoß für Sie von Bedeutung, falls Sie die Dienste von iRhythm in Anspruch genommen haben.
Auch ohne Zahlungsdaten haben Datenschutzverletzungen im Gesundheitswesen schwerwiegende Folgewirkungen:
- Angreifer können äußerst überzeugende E-Mails, SMS oder Anrufe verfassen, in denen sie auf bestimmte Abläufe oder Überwachungsvorgänge Bezug nehmen (zum Beispiel: „Bezüglich Ihrer jüngsten Zio-Patch-Aufzeichnung“), um Patienten dazu zu verleiten, weitere Daten preiszugeben oder gefälschte Rechnungen zu bezahlen.
- Die gestohlenen Daten können dazu missbraucht werden, eine falsche Identität anzulegen, Versicherungsbetrug zu begehen oder medizinischen Identitätsdiebstahl zu begehen.
- Die Offenlegung von Herzdaten und anderen gesundheitsbezogenen Informationen kann äußerst sensibel sein und Auswirkungen auf das Arbeitsverhältnis oder die Versicherung haben, insbesondere wenn die Daten öffentlich zugänglich gemacht oder an Datenhändler verkauft werden.
Daten aus Datenschutzverletzungen im Gesundheitswesen kursieren oft noch jahrelang, und die Betroffenen können noch lange nach dem Abklingen der Schlagzeilen mit vereinzelten Betrugs- und Phishing-Versuchen konfrontiert sein.
Wie man sicher bleibt
Falls Sie die Dienste von iRhythm genutzt haben, achten Sie bitte auf Ihre Post, Ihre E-Mails und Ihre Patientenportale, um offizielle Benachrichtigungen über den Datenschutzverstoß von iRhythm oder Ihrem Gesundheitsdienstleister zu erhalten.
In den USA müssen Verstöße gegen den Schutz personenbezogener Gesundheitsdaten, die bestimmte Kriterien erfüllen, den Patienten und den Aufsichtsbehörden gemeldet werden. iRhythm hat zugesagt, „die von diesem Vorfall betroffenen Personen gemäß den geltenden Rechtsvorschriften zu benachrichtigen und die erforderlichen Maßnahmen zu ergreifen, um sie zu schützen und die Folgen für sie zu beheben.“
So schützen Sie sich vor Phishern und Betrügern:
- Wenn Sie eine Mitteilung über die Datenpanne erhalten, überprüfen Sie über andere Kanäle, ob diese tatsächlich von iRhythm stammt. Besuchen Sie direkt die offizielle Website oder das Patientenportal von iRhythm oder rufen Sie eine Ihnen bekannte Telefonnummer an, um sicherzustellen, dass die Mitteilung echt ist.
- Seien Sie besonders misstrauisch gegenüber E-Mails oder SMS, in denen Entschädigungen, Rückerstattungen oder andere finanzielle Vorteile im Zusammenhang mit diesem Vorfall angeboten werden.
- Ändern Sie die Passwörter für Ihre mit iRhythm verknüpften Portale sowie für die Portale Ihrer Kardiologie oder Ihres Krankenhauses, insbesondere wenn Sie diese Passwörter auch an anderer Stelle verwendet haben.
- Melden Sie sich im Portal Ihrer Krankenkasse an und überprüfen Sie regelmäßig Ihre Leistungsabrechnungen.
- Sollten Sie etwas Verdächtiges bemerken, melden Sie dies bitte umgehend Ihrem Versicherer und Ihrem Anbieter und bitten Sie diese, Ihr Konto wegen eines möglichen Identitätsdiebstahls zu sperren.
- Geben Sie keine persönlichen oder finanziellen Daten am Telefon preis, nur weil der Anrufer Einzelheiten über Sie weiß, die er möglicherweise aus den gestohlenen Daten entnommen hat.
Seien wir ehrlich: Ein Inkognito-Fenster hat seine Grenzen.
Datenlecks, Handel im Dark Web, Kreditbetrug. Malwarebytes Identity Theft überwacht all das, benachrichtigt Sie umgehend und beinhaltet eine Versicherung gegen Identitätsdiebstahl.
