Der Vorstandsvorsitzende der UnitedHealth Group erschien am Mittwoch vor zwei Kongressausschüssen und musste unbequeme Fragen dazu beantworten, wie das Unternehmen mit dem umgegangen ist, der als der schlimmste bösartige Ransomware-Angriff in der Geschichte der Gesundheitsbranche beschrieben wird – dem Ausfall bei Change Healthcare hatte weitreichende Auswirkungen auf Anbieter und Patienten und musste dafür 22 Millionen US-Dollar an die Kriminellen zahlen, die seinen ungeschützten Server gehackt hatten. Es war bemerkenswert zu sehen, wie Andrew Witty – der CEO sowohl der größten Versicherungsgesellschaft als auch des größten Arbeitgebers von Ärzten – fast jeder Antwort die ehrerbietige Bemerkung voranstellte: „Herr Vorsitzender, vielen Dank für diese Frage.“ Auf einem Video der Anhörung war zu sehen, wie Witty den reuigen Manager genau betrachtete, der zu einer Aussage zu einem Thema herangezogen wurde, das parteiübergreifenden Zorn hervorgerufen hat.
Hier sind die wichtigsten Momente und Erkenntnisse aus der mehr als zweistündigen Anhörung im Finanzausschuss des Senats:
„Praktisch jeder Anbieter, den ich treffe, wartet auf seine Bezahlung“
In seiner direkten Befragung verschwendete Senator Ron Wyden (D-Oregon) keine Zeit mit der Frage, wie lange Anbieter, die im Februar klinische Dienstleistungen erbracht hatten, auf ihre Bezahlung warten müssten, da die Beseitigung des Rückstands Zeit in Anspruch nehmen würde. Witty antwortete ruhig, dass sich der Schadenfluss im ganzen Land „weitgehend wieder normalisiert“ habe, und stellte fest, dass UnitedHealth die Ansprüche so schnell wie möglich bezahle, andere Versicherungsgesellschaften jedoch möglicherweise nicht.
Wyden war nicht bereit, einen Unterschied zu machen, ob UnitedHealth im Vergleich zu anderen Versicherungsgesellschaften, deren Ansprüche sie ebenfalls bearbeiten, pünktlich zahlt, und forderte Witty auf, sich einfach zu beeilen und zu zahlen. Witty wiederholte, dass seiner Meinung nach die Schadensregulierung im Großen und Ganzen wieder normal sei, bat Wyden jedoch, ihn an alle Anbieter in den Bundesstaaten zu verweisen, die noch warten.
Worauf Wyden antwortete: „Praktisch jeder Anbieter, dem ich begegne, wartet auf seine Bezahlung.“ Er beendete diese Frage, indem er Witty aufforderte, schriftlich zu übermitteln, wie er Anbieter und Versicherungspläne „sinnvoll entschädigen“ werde, deren Geschäft infolge des Change Healthcare-Angriffs und des anschließenden Ausfalls gestört wurde.
Später in der Anhörung äußerte Senatorin Marsha Blackburn (R-Tennessee) ihre Empörung darüber, dass es „neun Wochen“ dauert, bis die Anbieter ihre Zahlungen erhalten, und bezweifelte ernsthaft Wittys Beschreibung, dass die Schadensbearbeitung „wieder normal“ sei.
„Seit das Problem zurückgekommen ist, wurden wir absolut mit Telefonanrufen überschwemmt“, sagte Blackburn darüber, dass das System von Change Healthcare wieder online sei, die Anbieter jedoch nicht bezahlt würden. „Die Dinge sind völlig anders als das rosige Bild, das Sie gemalt haben.“
Als Witty zu antworten versuchte, unterbrach ihn Blackburn mit der Bemerkung, dass Anbieter eine Kreditlinie in Anspruch nehmen müssten, um betriebsfähig zu bleiben.
„Werden Sie diese Zinsen zahlen?“ Sie fragte: „Wirst du das erstatten?“
Witty antwortete, dass UnitedHealth zinslose Kredite anbietet, aber Blackburn entgegnete: „Ich habe gefragt, ob Sie die Zinskosten zahlen werden?“
Witty konnte nicht beantworten, wie viele Menschen von dem Angriff betroffen waren oder welche Daten gestohlen wurden
Zweieinhalb Monate nach der ersten Entdeckung des Angriffs konnte Witty keine Frage beantworten – wie viele Menschen genau von dem Verstoß betroffen waren. Der Geschäftsführer behauptete zwar, dass seiner Meinung nach bislang keine Krankenakten oder Krankengeschichten gestohlen wurden, sondern nur Behauptungen, Wyden glaubte dies jedoch nicht.
„Aber Sie haben keine Protokolle, aus denen hervorgeht, welche Daten ausgegeben wurden, denn wir haben daran gearbeitet, sie zu bekommen, und wir haben sie nicht gesehen“, schoss Wyden zurück.
Mehrere Senatoren drängten Witty darauf, wann Patienten benachrichtigt werden, und sagten, dass er möglicherweise gegen die HIPAA-Regeln bezüglich der Benachrichtigung verstoße. Aber er würde nur sagen, dass sie mit den Regulierungsbehörden zusammenarbeiten, um das herauszufinden.
„Ich denke, das wird in den nächsten Wochen der Fall sein“, gab Witty jedes Mal zu, wenn die Frage gestellt wurde. Senator Bob Casey Jr. (D-Pennsylvania) stellte jedoch fest, dass auf der Website des Unternehmens angegeben ist, dass der Benachrichtigungsprozess „mehrere Monate“ dauern wird.
„Wie um Himmels Willen hatten Sie nicht die nötigen Entlassungen?“
Als Senator Michael Crapo (R-Idaho) Witty fragte, welche Schritte zur Stärkung des Systems unternommen würden, räumte der Chef von UnitedHealth ein, dass die Multifaktor-Authentifizierung nun in allen externen Systemen im gesamten Unternehmen implementiert sei. [There was a policy that was there in place to have multifactor authentication, only the policy was not being followed, Wyden later pointed out.] Witty fügte hinzu, dass das Unternehmen auch Dritte beauftragt hat, als weitere Schutzebene „doppelte oder dreifache Scans unserer Systeme“ durchzuführen. Unitedhealth hat Mandiant Consulting damit beauftragt, die Art des Angriffs zu verstehen und die Cybersicherheit zu überwachen.
„Sie sind Vorstandsberater geworden …“, sagte Witty über das Beratungsunternehmen für Cybersicherheit.
Crapo, der gegenüber Witty einen sanfteren Ton annahm als Wyden, fragte, ob diese Ansätze und noch stärkeren Abwehrmaßnahmen als die, die UnitedHealth seit dem Verstoß übernommen hat, zum Branchenstandard werden sollten.
„Dem würde ich zustimmen“, sagte Witty. „Was wir bei Change Healthcare gesehen haben, einem Unternehmen, das erst vor etwas mehr als anderthalb Jahren in unsere Gruppe aufgenommen wurde, war ein älteres Unternehmen, das über ältere Legacy-Technologien verfügte, aber meiner Meinung nach sehr typisch für viele kleine Unternehmen ist.“ – bis hin zu mittelgroßen Organisationen in unserem Gesundheitsumfeld, und daher wird es zwangsläufig viel zu tun geben, um diese Standards zu verbessern …“
Die Frage ist natürlich: Wenn ein Angriff dieser Größenordnung nötig wäre, um die finanzstarke UHC dazu zu bringen, die Bedrohung der Cybersicherheit ernst zu nehmen, kann man dann hoffen, dass kleinere Unternehmen entweder über die finanziellen Mittel oder den Willen verfügen, in stärkere Systeme zu investieren?
Witty machte für den Angriff einen Server verantwortlich, der nicht über eine Multifaktor-Authentifizierung verfügte, und die Tatsache, dass Change Healthcare über alte Legacy-Systeme verfügte, wurde jedoch von Wyden und anderen Senatoren wiederholt für diesen Fehler gerügt. Senator Blackburn äußerte seine Ungläubigkeit darüber, dass das Unternehmen nicht über die Cybersicherheitsinfrastruktur verfügte, da der Umsatz von UnitedHealth höher ist als das BIP einiger kleiner Länder.
„Wie um Himmels Willen konnten Sie nicht über die nötigen Entlassungen verfügen, sodass Sie diesen Angriff nicht miterlebt haben und sich so verletzlich gefühlt haben?“ fragte sie ungläubig.
Witty antwortete, dass Change Healthcare erst seit kurzer Zeit Teil der UnitedHealth Group sei und gerade dabei sei, ihre Systeme zu aktualisieren. Er fügte hinzu, dass einer der Gründe, warum es so lange gedauert habe, bis es wieder online sei, darin liege, dass UnitedHealth eine neue technische Umgebung von Grund auf aufgebaut habe, um sicherzustellen, dass sie modern sei und nicht durch den Angriff „infiziert“ werde.
Ein weiterer wichtiger Leckerbissen: Die Hacker waren neun Tage, bevor UnitedHealth den Verstoß entdeckte, in das System eingedrungen.
Die finanzielle Unterstützung im Wert von 6,5 Milliarden US-Dollar reicht einfach nicht aus
In seiner Eröffnungsrede sagte Witty, dass das Unternehmen Tausenden betroffenen Anbietern finanzielle Unterstützung im Wert von 6,5 Milliarden US-Dollar in Form von beschleunigten Zahlungen und zins- und gebührenfreien Darlehen gewährt habe.
Aber Senator Bob Menendez (D-New Jersey) sagte, dass der Rückstand an Forderungen „auf leicht über 14 Milliarden US-Dollar geschätzt wird“, bevor er anmerkte, dass die tatsächliche Zahl „viele Vielfache davon“ betragen könnte. Er fügte hinzu, dass das Unternehmen auf den Cent genau wisse, wie viel Zahlung ein durchschnittlicher Anbieter an einem bestimmten Tag erhält, aber Witty wies dies zurück und erklärte, dass UnitedHealth nicht wisse, welche Zahlungen andere Versicherer an Anbieter in ihrem Netzwerk leisten, und das sei der Grund, warum es so sei Es dauert lange, den Anbietern die richtigen Bedingungen für die finanzielle Unterstützung zu vermitteln.
Menendez fragte dann, ob Witty sich verpflichten würde, von den Anbietern keine Kreditrückzahlung zu verlangen, bis der Rückstand bei den Forderungen behoben sei.
„… wir haben den Anbietern bereits mitgeteilt, dass sie diese zinslosen Kredite erst 45 Tage nach der Rückkehr zur Normalität zurückzahlen müssen“, antwortete Witty.
„Macht es alle kaputt, United durcheinander zu bringen?“
Obwohl Senator Bill Cassidy (R-Louisiana) Witty für seine harte Arbeit bei der Bewältigung der Folgen des Cyberangriffs von Change Healthcare lobte, scheute er nicht davor zurück, nach dem Elefanten im Raum zu fragen: Unter Berufung auf einen Artikel der Washington Post, der 5 Prozent des US-BIP fließen täglich durch UnitedHealth, erklärte er:
„Die Tatsache, dass man so groß und so dominant ist, stellt eine besondere Verletzlichkeit dar. Und ja, Sie haben genug Geld, um dieses Problem anzugehen, aber allein die Tatsache, dass Sie so groß sind, bedeutet, dass es einen weitreichenden Welleneffekt hatte, der übergroß war. Für uns müssten wir uns also fragen: Ist die dominante Rolle von United zu dominant, weil sie auf alles steht und United durcheinander bringt, bringt es alle durcheinander?“
Witty versuchte, dieser Fragestellung entgegenzutreten, indem er darauf hinwies, dass Change Healthcare heute denselben Fußabdruck hat wie vor der Übernahme durch UnitedHealth, aber Cassidy sagte, dass die Sorge über Change Healthcare hinausgeht, da ein zukünftiger Angriff, der über den Fußabdruck von Change hinausgeht, das Unternehmen gefährden könnte sogar ein größerer Aspekt der Gesundheitsversorgung.
Die spätere Senatorin Elizabeth Warren bezeichnete UnitedHealth als „Monopolist auf Steroiden“.
An dieser Stelle ist es wichtig anzumerken, dass das Justizministerium laut einem Artikel im Wall Street Journal Ende Februar eine Kartelluntersuchung gegen den Versicherungsriesen eingeleitet hat.
Wir „kontrollieren“ sie nicht, sie „entschließen“ sich, mit uns zusammenzuarbeiten
Aus semantischer Sicht sind diese Anhörungen faszinierend. Warren, die als Verfechterin des Verbraucherschutzes bekannt ist und den Großunternehmen ein Dorn im Auge ist, begann ihre Befragung mit der Beschreibung, wie gigantisch der Konzern aus Minnesota sei. Es ist der größte Versicherer, der größte Schadensabwickler, der drittgrößte Anbieter von Apothekenleistungen im Land, Eigentümer einer riesigen Apothekenkette und mit mindestens 90.000 Ärzten der größte Arbeitgeber und Controller des Landes.
„Das ist einer von zehn Ärzten im Land“, sagte Warren, bevor sie ihn bat, die Richtigkeit ihrer Beschreibungen zu bestätigen.
Witty antwortete, dass UnitedHealth „weniger als 10.000“ Ärzte beschäftige und der Rest „angeschlossen“ sei, worauf Warren antwortete, dass sie genau deshalb den Begriff „kontrolliert von“ verwendet habe. Witty antwortete dann mit diesem Juwel:
„Nicht kontrolliert. Sie entscheiden sich für die Zusammenarbeit mit uns.“
Unabhängig davon, ob sie von UnitedHealth kontrolliert werden oder nicht, befürchteten mehrere Senatoren, dass das Unternehmen noch mehr Ärztegruppen kaufen würde. Warum? Da das Unternehmen den Anbietern zinslose Kredite gewährt, erhalten sie Informationen über die Finanzlage jeder Gruppe und erhalten so reichlich Gelegenheit, angeschlagenere Praxen aufzukaufen.
„Ich würde mir wünschen, dass zumindest eine Firewall eingerichtet wird [that] Sie können die Daten dieser Ärzte im Rahmen des Kreditprozesses nicht nutzen, um mehr Ärzte aufzukaufen, denn das ist das Letzte, was wir in Amerika brauchen“, sagte Wyden. „Werden Sie das unterstützen?“
Witty antwortete, dass er es für eine gute Idee halte.
Es ist nicht alles im Großen und Ganzen wieder normal
Mehrere Senatoren bestritten die Vorstellung, dass alles im Großen und Ganzen wieder normal sei, wie Witty es beschrieb. Senatorin Catherine Cortez Masto (D-Nevada) zitiert die Erfahrungen der Nevada Health Centers, einem FQHC (staatlich qualifiziertes Gesundheitszentrum) in ihrem Bundesstaat. Dieses Zentrum verlässt sich bei der Überprüfung der Patientenberechtigung in Echtzeit auf Change Healthcare, sagte Cortez Masto.
„Obwohl die Portale wieder online sind, höre ich, dass wichtige Anbieter- und Patienteninformationen häufig fehlen oder nicht übereinstimmen und fast 50 Prozent der Kostenträgerinformationen ungenau sind“, sagte sie auf die Frage, wann diese Probleme behoben werden.
Witty sagte, er verfüge nicht über die Informationen, werde sich aber noch am selben Tag mit aktualisierten Informationen bei ihr melden.
Bei der Anhörung ging es um mehr als nur den jüngsten Cyberangriff
Während sich die meisten an Witty gerichteten Kommentare und Fragen der Senatoren um den Cyberangriff von Change Healthcare drehten, nahmen sich einige Senatoren die Zeit, den Zustand des Gesundheitswesens insgesamt zu beklagen und UnitedHealthcare die Schuld zuzuschieben. Senator James Lankford (R-Oklahoma) sprach über ungenaue Anbieterverzeichnisse, die Patienten belasten, und darüber, dass Krankenhäuser Medicare-Advantage-Patienten nicht mehr aufnehmen, weil die Tarife niedriger waren als die Medicare-Tarife und es häufig zu Verweigerungen der Pflege kam.
Senator Sherrod Brown (D-Ohio) erläuterte, wie örtliche, unabhängige Apotheken in Ohio wegen schlechter PBM-Praktiken geschlossen wurden, und erklärte, dass die Unterdrückung dieser „Unternehmenszwischenhändler“ Priorität habe.
Foto: Screenshot der Videoaufzeichnung der Anhörung vom 1. Mai
