iRhythm meldet Datenabfluss bei Patienteninformationen nach Erpressungsversuch

Zusammenfassung

iRhythm Holdings hat einen Datenschutzvorfall bei seinem digitalen Gesundheitsgeschäft offengelegt. Nach Angaben des Unternehmens entwendeten Angreifer persönliche Daten und geschützte Gesundheitsinformationen von Patienten aus geschäftlichen Anwendungen, die bei einem Drittanbieter gehostet wurden. iRhythm erklärte in einer Einreichung bei der US-Börsenaufsicht SEC, der Vorfall sei am Vortag entdeckt worden; daraufhin habe das Unternehmen mit externen Cybersicherheitsexperten eine Untersuchung gestartet und seinen Reaktionsplan aktiviert, um den Vorfall einzudämmen. Zuvor hatten sich die Angreifer beim Unternehmen gemeldet und Geld verlangt, damit die gestohlenen Gesundheitsdaten nicht im Internet veröffentlicht werden. iRhythm zufolge gibt es bislang keine Hinweise darauf, dass Produkte, klinische oder medizinische Gerätesysteme, die Patientensicherheit, Fertigungs- und Vertriebsabläufe oder Systeme für die Finanzberichterstattung betroffen sind.

iRhythm betreibt einen Dienst zur Herzüberwachung, der nach Unternehmensangaben bereits mehr als 2 Milliarden Stunden kuratierter Herzschlagdaten von über 12 Millionen Patienten ausgewertet hat. Nun hat das Unternehmen einen Sicherheitsvorfall publik gemacht, bei dem Angreifer auf sensible Daten in Drittanbieter-Anwendungen zugriffen.

In der Mitteilung an die SEC erklärte iRhythm, es habe den Vorfall einen Tag zuvor entdeckt. Das Unternehmen habe daraufhin externe Cybersicherheitsexperten eingeschaltet und seinen Reaktionsplan aktiviert, um die Auswirkungen zu begrenzen. Eine Woche zuvor hätten sich die Angreifer gemeldet und behauptet, über sensible Informationen zu verfügen, darunter geschützte Gesundheitsdaten von Patienten, weitere personenbezogene Daten sowie proprietäre Informationen. Zugleich verlangten sie eine Zahlung, damit diese Informationen nicht öffentlich gemacht werden.

Wie iRhythm weiter mitteilte, konnte das Unternehmen seit Eingang dieser Nachricht bestätigen, dass tatsächlich bestimmte Daten aus den betroffenen Anwendungen exfiltriert wurden. Am folgenden Tag stufte iRhythm den Vorfall angesichts des Umfangs der potenziell betroffenen Daten als wesentlich ein. Einen bestimmten Bedrohungsakteur oder eine bekannte Erpressergruppe nannte das Unternehmen nicht.

Nach Unternehmensangaben verschafften sich die Täter über Social Engineering Zugang zu den Daten. Zugleich betonte iRhythm, es gebe keine Hinweise darauf, dass der Vorfall Auswirkungen auf Produkte, klinische oder medizinische Gerätesysteme, die Patientensicherheit, Fertigungs- und Vertriebsprozesse oder Systeme für die Finanzberichterstattung habe. Auch seien weder klinische noch medizinische Gerätesysteme Teil des Vorfalls.

Außerdem erklärte iRhythm, keine Zahlungskarten- oder Kontodaten von Patienten zu speichern. Offen blieb zunächst, wie viele Personen konkret von dem Abfluss persönlicher und medizinischer Daten betroffen sind. Eine von BleepingComputer angefragte Stellungnahme eines Unternehmenssprechers lag zunächst nicht vor.

Der Bericht verweist zudem auf einen weiteren Vorfall im Gesundheitssektor: Novo Nordisk, nach eigenen Angaben der weltweit größte Insulinhersteller, hatte kürzlich ebenfalls eine Datenschutzverletzung offengelegt. Dort wurden Patienteninformationen aus einigen klinischen Studien entwendet; betroffen waren kompromittierte interne IT-Systeme.

iRhythm meldet Datenabfluss bei Patienteninformationen nach Erpressungsversuch

Ähnliche Artikel

Neueste Artikel