Vier Monate nach dem Cyberangriff auf Change Healthcare am 21. Februar sind die Schlagzeilen über den Hackerangriff langsam wieder verschwunden, während die Folgen des Angriffs gerade erst richtig beginnen. Aktuelle Berichte bestätigen, dass durch den Angriff sensible medizinische und finanzielle Daten von 110 bis 130 Millionen Amerikanern offengelegt wurden. Noch beunruhigender ist, dass diese Daten vermutlich schon jetzt im Darknet zum Verkauf stehen – von umfassenden Krankengeschichten über Diagnosen bis hin zu Finanzunterlagen. Kriminellen, Arbeitgebern, Feinden und jedem, der die Mittel und Motivation hat, sie auszunutzen, werden detaillierte Dossiers über Millionen von Leben zur Verfügung gestellt.
Dies ist nicht nur ein weiterer Datendiebstahl. Es ist eine Katastrophe im Gesundheitswesen. Und sie wird unerklärlicherweise heruntergespielt. Als Veteran der Finanztechnologie, der jetzt im Bereich der Gesundheitsinnovation arbeitet, bin ich schockiert über die mangelnde Aufmerksamkeit und Maßnahmen, die dieser Krise entgegengebracht werden. Denken Sie an das Ausmaß: Change Healthcare, eine Tochtergesellschaft der UnitedHealth Group, verarbeitet jährlich 15 Milliarden Transaktionen im Gesundheitswesen. Es ist das Rückgrat des amerikanischen Gesundheitszahlungssystems. Als es kompromittiert wurde, war dies ein direkter Schlag gegen die kritische Infrastruktur unseres Landes. Die Folgen dieses Hacks beginnen sich gerade erst zu entfalten und bedrohen Patienten, Anbieter, Versicherer und Regierungsbehörden gleichermaßen.
Der Umfang dieser Enthüllung ist beispiellos
Zu den kompromittierten Informationen gehören über Namen und Geburtsdaten hinaus:
Krankenversicherungsdaten (einschließlich Mitglieds-IDs und staatlicher Zahlernummern) Umfassende Krankenakten (Diagnosen, Behandlungen, Testergebnisse) Finanz- und Zahlungsdaten (Anspruchsnummern, Kontodetails, Zahlungsverlauf) Sozialversicherungsnummern, Führerschein- und Passnummern
Dieses Ausmaß an Enthüllung? Absolut erstaunlich. Es ist, als ob die intimsten Details der Gesundheit und des Finanzlebens von 110 Millionen Amerikanern plötzlich auf Plakatwänden im ganzen Land prangen. In Kombination mit öffentlich verfügbaren Informationen aus sozialen Medien können Kriminelle vollständige Profile von Einzelpersonen und ihren Familien erstellen.
Die Antwort von UnitedHealth: Ein Papierschirm bei einem Hurrikan der Kategorie 5
Die Reaktion von UnitedHealth auf diesen monumentalen Datendiebstahl ist nicht nur unzureichend; sie ist ein Schlag ins Gesicht von Millionen von uns, deren sensibelste Daten nun offengelegt sind. Ihre große Geste: Sie haben den Opfern Briefe geschickt (wobei sie zugeben, dass sie nicht einmal alle Adressen haben) und zwei Jahre lang kostenlose Kreditüberwachung und Schutz vor Identitätsdiebstahl angeboten. Um es klar zu sagen: Die Kreditüberwachung leistet keinen Schutz vor den komplexen und verheerenden Formen des Betrugs, die dieser Datendiebstahl ermöglicht. Es ist, als würde man einen Rauchmelder installieren, nachdem das eigene Haus bereits abgebrannt ist. Die betroffenen Amerikaner sind nun einer Reihe von potenziell lebensverändernden Betrugsfällen ausgesetzt, die kein Kreditüberwachungsdienst verhindern oder rückgängig machen kann.
Fünf mögliche Betrugsszenarien
Aufgrund der Art der offengelegten Daten und der aktuellen Betrugstrends sind hier die fünf größten Bedrohungen aufgeführt, die meiner Ansicht nach in den nächsten neun Monaten auftreten werden:
Erstellung synthetischer Identitäten: Kriminelle könnten neue Identitäten fabrizieren, indem sie Fragmente der Informationen echter Menschen kombinieren. Diese „synthetischen Identitäten“ könnten verwendet werden, um Kreditkonten zu eröffnen, Kredite zu sichern und sogar medizinische Behandlung zu erhalten. Anbieterbetrug: Kriminelle könnten synthetische Arztprofile erstellen, indem sie gestohlene Steueridentifikationsnummern (TINs) und Patientendaten verwenden. Ausgestattet mit den Besuchshistorien, Medikamenten und Testergebnissen der Patienten könnten sie äußerst überzeugende betrügerische Ansprüche bei Medicare und Medicaid einreichen. Identitätsdiebstahl bei Kindern: Kriminelle könnten auch synthetische Identitäten für Minderjährige erstellen, indem sie gestohlene Gesundheitsdaten mit Informationen aus sozialen Medien kombinieren. Indem sie die saubere Kredithistorie junger Opfer ausnutzen, könnten sie Konten eröffnen oder Kredite sichern, die jahrelang unentdeckt bleiben könnten. KI-gestützter Gesundheitsbetrug: Diese Daten könnten KI trainieren, sich als Patienten oder Anbieter auszugeben, was zu beispiellosem Betrug führen würde, der Einzelpersonen und Gesundheitsdienstleister in den Bankrott treiben könnte. Pharmabetrug: Kriminelle könnten sich als Patienten ausgeben, um kontrollierte Substanzen wie Adderall zu erhalten, und so im Laufe der Zeit möglicherweise einen Schwarzmarkt aufbauen.
Die Anatomie einer Katastrophe: Wie sind wir hierher gekommen?
Um das Ausmaß dieses Verstoßes wirklich zu verstehen, müssen wir die Schwachstellen untersuchen, die ihn möglich gemacht haben. Im Kern leidet die Gesundheitsbranche unter drei miteinander verbundenen Problemen: veraltete Technologie, mangelnde Kontrolle und monopolistische Kontrolle.
Erstens ist die Abhängigkeit der Gesundheitsbranche von Altsystemen nicht nur ineffizient, sondern auch gefährlich. Diese Infrastruktur war schon veraltet, als das iPhone auf den Markt kam, und dennoch werden damit immer noch unsere sensibelsten Daten verarbeitet. Im Jahr 2024 ist die Verwendung von Faxgeräten und CSV-Dateien zur Übermittlung von Gesundheitsinformationen ein anachronistisches Sicherheitsrisiko, das nur darauf wartet, ausgenutzt zu werden.
Auch die Governance ist veraltet. Während andere Branchen ihre Datenschutzpraktiken modernisiert haben, stützt sich das Gesundheitswesen immer noch auf den Health Insurance Portability and Accountability Act (HIPAA) – ein Gesetz aus dem Jahr 1996, als das Internet noch in den Kinderschuhen steckte. Aufgrund dieser Regulierungsverzögerung ist die Branche nicht auf die sich heute entwickelnden Cyberbedrohungen vorbereitet.
Verschärft werden diese Probleme durch die monopolistische Kontrolle der Gesundheitsverwaltung. Die Dominanz von UnitedHealth, die durch Übernahmen wie Change Healthcare gefestigt wurde, hat ein Quasi-Monopol in der Verarbeitung von Gesundheitsdaten geschaffen. Das Ergebnis? Eine Machtkonzentration, die so intensiv ist, dass ein einzelner Ausfallpunkt das gesamte System lahmlegen kann – genau das erleben wir jetzt. Wir haben in Amerika kein Einheitskassensystem, aber wir haben einen einzigen Verwalter, und das ist eine katastrophale Schwachstelle.
Weit verbreitete Selbstzufriedenheit angesichts des Scheiterns
Die verhaltene Reaktion auf diese Krise ist rätselhaft und macht wütend. UnitedHealth Group scheint ungestraft zu agieren, was eine gefährliche Realität unterstreicht: Ihre Dominanz hat sie scheinbar unantastbar gemacht.
Ein Grund, warum wir keine große Empörung erleben, ist die Komplexität des Gesundheitssystems. Die Rolle von Change Healthcare ist schwer zu verstehen, und viele Menschen haben noch nicht einmal von diesem Unternehmen gehört, das zu einem der größten Krankenversicherer gehört. Diese Komplexität rechtfertigt jedoch keine Untätigkeit.
Wir sind gegenüber Cyberangriffen abgestumpft, aber die Kosten sind zu hoch, um sie zu ignorieren. Während ich der Bevölkerung ihre mangelnde Empörung verzeihen kann, kann ich Politiker und Branchenführer nicht entschuldigen. Dies ist ihre Verantwortung, und ihr Schweigen ist ohrenbetäubend.
Die Straße entlang
Unsere aktuellen Systeme sind nicht darauf vorbereitet, mit dem historischen Betrug fertig zu werden, den wir in den kommenden Monaten wahrscheinlich erleben werden. Der Hack von Change Healthcare hat die Fäulnis im Kern unserer Gesundheitsdatensysteme offengelegt, und dieses Problem lässt sich nicht mit halben Sachen lösen.
Was wir brauchen, ist eine grundlegende Neugestaltung der Art und Weise, wie wir Gesundheitsdaten sammeln, speichern und verwenden. Dies erfordert das engagierte Engagement von Marktteilnehmern und politischen Entscheidungsträgern, um diese Probleme direkt anzugehen. Wir müssen fragen: Welche Infrastrukturänderungen sind notwendig, um diese Schwachstellen wirklich zu beheben?
Die Betrugsszenarien, die ich skizziert habe, sind keine hypothetischen, sondern Blaupausen für drohendes Chaos. Die Zeit für schrittweise Veränderungen ist vorbei. Wir müssen mutig und entschlossen handeln, um das Vertrauen in unser Gesundheitssystem wiederherzustellen und die Amerikaner vor den verheerenden Folgen dieses Verstoßes zu schützen. Es steht viel auf dem Spiel, und die Uhr tickt.
Foto: traffic_analyzer, Getty Images
Boe Hartman ist Mitbegründer und Chief Technology Officer (CTO) von Nomi Health. Er bringt fast 30 Jahre Erfahrung in den Bereichen globale Technologie und Bankwesen von einigen der innovativsten Unternehmen der Welt mit, darunter Capital One, Barclays und Goldman Sachs.
Dieser Beitrag erscheint im Rahmen des MedCity Influencers-Programms. Über MedCity Influencers kann jeder seine Sichtweise zu Wirtschaft und Innovation im Gesundheitswesen auf MedCity News veröffentlichen. Klicken Sie hier, um zu erfahren, wie.
