2024: Datenschutzverletzungen im Gesundheitswesen legten bei 720 Vorfällen 186 Millionen Datensätze offen
Im Jahr 2024 wurde der US-Gesundheitssektor mit sage und schreibe 720 gemeldeten Datendiebstählen konfrontiert, bei denen schätzungsweise 186 Millionen Benutzerdatensätze kompromittiert wurden. Diese Verstöße, die dem Office for Civil Rights (HHS OCR) des Gesundheitsministeriums und der Sozialen Dienste gemeldet wurden, verdeutlichen die wachsenden Cybersicherheitsrisiken, denen Gesundheitsorganisationen ausgesetzt sind. Obwohl die Zahl der offengelegten Datensätze enorm ist , ist die tatsächliche Zahl der betroffenen Personen möglicherweise geringer, da einige von mehreren Verstößen betroffen sein könnten.
Zu den kompromittierten Daten gehörten sensible persönliche und medizinische Informationen wie Namen, Kontaktdaten, Sozialversicherungsnummern, Geburtsdaten, Versicherungsdaten, Krankenakten und Finanzinformationen. Am häufigsten wurden Gesundheitsdienstleister angegriffen , auf die etwa 520 Vorfälle entfielen. Auch Geschäftspartner von Gesundheitsorganisationen waren stark betroffen, hier wurden 120 Verstöße gemeldet. Fast 100 Vorfälle betrafen Krankenkassen.
Inhaltsverzeichnis
Hackerangriffe und IT-Vorfälle sind die Hauptursache
Die Mehrheit der gemeldeten Verstöße – fast 600 – wurde als Hackerangriff oder IT-Vorfälle eingestuft, zu denen häufig Ransomware-Angriffe gehören. Unbefugter Zugriff oder unbefugte Offenlegung waren die zweithäufigste Ursache für Verstöße. Netzwerkserver waren bei etwa 450 Vorfällen das Hauptziel, während E-Mail-Systeme – die häufig für Phishing und die Verbreitung von Malware verwendet werden – an 160 Verstößen beteiligt waren.
Aufschlüsselung der Verstöße nach Bundesstaaten
Aus der HHS OCR-Datenbank geht hervor, dass Texas und Kalifornien mit jeweils rund 60 Verstößen die meisten Vorfälle verzeichneten. Weitere Bundesstaaten mit erheblichen Verstößen waren New York (46), Illinois (43), Florida (37), Pennsylvania (31), Ohio (29), Massachusetts (29), Tennessee (25) und Michigan (22).
Aufsehenerregende Datenschutzverletzungen im Jahr 2024
Unter den gemeldeten Verstößen war ein Ransomware-Angriff auf Change Healthcare der größte, von dem etwa 100 Millionen Menschen betroffen waren. Allein dieser Verstoß machte mehr als die Hälfte der im Jahr 2024 gemeldeten kompromittierten Datensätze aus.
Zu den weiteren nennenswerten Verstößen zählen:
- Kaiser Permanente : 13,4 Millionen Datensätze kompromittiert
- Ascension Health : 5,5 Millionen Datensätze
- HealthEquity : 4,3 Millionen Datensätze
- Concentra Health Services : 3,9 Millionen Datensätze
- Centers for Medicare & Medicaid Services : 3,1 Millionen Datensätze
- Acadian Ambulance Service : 2,8 Millionen Datensätze
- Sav-Rx (A&A Services) : 2,8 Millionen Datensätze
- WebTPA : 2,5 Millionen Datensätze
- Integris Health : 2,3 Millionen Datensätze
Auch bei anderen Gesundheitsorganisationen kam es zu Sicherheitsverletzungen, von denen über eine Million Menschen betroffen waren, darunter die Medical Management Resource Group (2,3 Millionen), Summit Pathology (1,8 Millionen) und Geisinger (1,2 Millionen).
Die wachsende Bedrohung für das Gesundheitswesen
Die Gesundheitsbranche bleibt aufgrund der dort gespeicherten sensiblen und wertvollen Daten ein Hauptziel für Cyberkriminelle. Ransomware -Angriffe, Phishing-Kampagnen und die Ausnutzung von IT-Schwachstellen sind nach wie vor die Hauptmethoden, mit denen Angreifer Zugriff auf Gesundheitssysteme erhalten. Diese Vorfälle unterstreichen die dringende Notwendigkeit robuster Cybersicherheitsmaßnahmen in diesem Sektor, darunter verbesserte Netzwerksicherheit, Schulungen der Mitarbeiter zum Schutz vor Phishing und strengere Authentifizierungsprotokolle.
Da Gesundheitsorganisationen ihre Abläufe immer stärker digitalisieren und sich auf Cloud-basierte Plattformen verlassen, wird das Risiko von Datenschutzverletzungen voraussichtlich zunehmen. Dies unterstreicht die Notwendigkeit proaktiver Sicherheitsmaßnahmen, Bedrohungsüberwachung und schneller Reaktionspläne, um den durch Cyberangriffe verursachten Schaden zu mildern.
Die Verstöße im Jahr 2024 sind eine deutliche Erinnerung daran, dass selbst bekannte Organisationen Opfer von Angriffen werden können, die weitreichende Folgen für Patienten und Anbieter haben können. Da so viel auf dem persönlichen und finanziellen Spiel steht, muss die Gesundheitsbranche dem Datenschutz Priorität einräumen, um Cyberkriminellen in den kommenden Jahren immer einen Schritt voraus zu sein.