Der Krankenversicherer UnitedHealth zahlte ein Lösegeld in Höhe von mehreren Millionen Dollar an Hacker, die in eine seiner Tochtergesellschaften eindrangen und dadurch die Gesundheitsversorgung im ganzen Land monatelang lahmlegten, wie sein CEO Andrew Witty am Mittwoch bestätigte.
In einer Anhörung vor dem Finanzausschuss des Senats sagte Witty, die Entscheidung, das Lösegeld in Höhe von 22 Millionen US-Dollar zu zahlen, sei allein seine Entscheidung gewesen. „Es war eine der schwersten Entscheidungen, die ich je treffen musste“, sagte er. UnitedHealth gab letzten Monat zu, ein Lösegeld an Hacker gezahlt zu haben, die in das Change Healthcare-System eingedrungen waren, das sich im Besitz von UnitedHealth befindet, gab den Betrag jedoch nicht bekannt. Im März schrieb das Unternehmen den Verstoß BlackCat zu, der gleichen Organisation, die für den Hackerangriff auf das MGM-Casino in Las Vegas verantwortlich war. Im selben Monat Verdrahtet berichtete, dass BlackCat, auch bekannt als ALPHV, am 1. März eine Bitcoin-Transaktion im Wert von 22 Millionen US-Dollar erhalten hat.
BlackCat behauptete zuvor, bei dem im Februar dieses Jahres durchgeführten Hackerangriff mehr als sechs Terabyte an Daten wiederhergestellt zu haben. Laut CBS News gab die Ransomware-Bande an, dass die Daten „sensible“ Krankenakten enthielten.
„Kriminelle nutzten kompromittierte Zugangsdaten, um aus der Ferne auf das Citrix Change Healthcare Portal zuzugreifen, eine Anwendung, die den Fernzugriff auf Desktop-Computer ermöglicht“, sagte Witty in seiner Aussage und fügte hinzu, dass das Portal „keine Multi-Faktor-Authentifizierung“ verfüge.
„Dieser Hack hätte mit Cybersicherheit 101 gestoppt werden können“, sagte Senator Ron Wyden (D-OR), Vorsitzender des Ausschusses. Nachdem Witty bestätigt hatte, dass United nun eine unternehmensweite Multi-Faktor-Authentifizierung verlangen würde, sagte Wyden, es hätte „nicht den schlimmsten Cyberangriff, den es im Gesundheitswesen je gegeben hat, hinnehmen müssen, um dieses absolute Minimum zu erreichen.“
Die Auswirkungen des Hacks waren weitreichend. Nachdem der Verstoß entdeckt wurde, schloss United das Change Healthcare-System für eine Woche und verhinderte so, dass Krankenhäuser, Kliniken und Apotheken im ganzen Land Zahlungen erhalten. Während der Anhörung sagte Witty, das System sei nun „im Großen und Ganzen wieder normal“. Einige Senatoren erklärten Witty jedoch, dass Krankenhäuser und andere Gesundheitsdienstleister immer noch auf ihre Zahlungen warten. Wyden (D-OR) teilte Witty mit, dass einigen Anbietern, die im Februar Ansprüche eingereicht hatten, mitgeteilt wurde, dass sie bis Juni warten müssten, um bezahlt zu werden.
UnitedHealth verwaltet mehr als ein Drittel aller Patientenakten in den Vereinigten Staaten und beaufsichtigt jeden zehnten Arzt im ganzen Land, heißt es in einem Brief, den die American Hospital Association im März an das Ministerium für Gesundheit und menschliche Dienste sandte. In seiner Eröffnungsrede nannte Wyden United einen „Leviathan im Gesundheitswesen“ und beschrieb den Hack als „düstere Warnung vor den Folgen von Megakonzernen, die zu groß sind, um scheitern zu können“.