Forscher von Intels IT-Sicherheitstochter Intel Security haben sich im Netz auf die Suche nach gestohlenen Patientendaten gemacht. Was sie gefunden haben, erschreckt: Millionen von Patientendatensätzen vor allem von US-Krankenhäusern stehen im Darknet zum Verkauf.
Auf der Darknet-Handelsplattform „The Real Deal“ fanden die Intel-Forscher komplette Datenbanken von US-Krankenversicherern mit jeweils mehreren Hunderttausend Datensätzen von Versicherten.
Die Intel-Forscher nahmen Kontakt mit den Hackern auf, welche die Daten zum Verkauf anboten, und ließen sich Beispiel-Datensätze schicken. Dabei konnten sie verifizieren, dass die Daten erstens echt und zweitens zum Teil erst wenige Tage alt waren. Ein Hacker sandte den Forschern sogar einen Screenshot aus dem internen Datenmanagement-System einer US-Krankenversicherung, um die Authentizität seiner Ware zu beweisen.
Er wies damit unfreiwillig auch nach, wie weit die Täter die Systeme der Versicherer infiltriert hatten. Sie konnten mitunter sogar auf dieselbe komfortable Software-Arbeitsoberfläche zugreifen, die auch die Versicherungsmitarbeiter für ihre Arbeit nutzten.
Einzelne Verkäufer boten sogar als Dienstleistung an, auf Bestellung spezifische Datensätze zu klauen, und bekamen im internen Verwertungssystem der Handelsplattform gute Noten für ihren hervorragenden Kundenservice.
Ein einzelner Datensatz für wenige Dollar
„Es war bemerkenswert, welch florierender Handel dort mit den Daten der Versicherten getrieben wird“, kommentiert Studienautor Raj Samani von Intel Security. „Wir konnten beobachten, wie dieselben Täter auf dem Marktplatz erst Malware zum Stehlen von Daten einkauften und dann später Datensätze anboten.“
Wie viel Geld die Täter für den Verkauf der Daten einnehmen können, variiert. Laut Angaben der US-Bundespolizei FBI können bis zu 50 Dollar pro Datensatz erzielt werden. Intels Forscher fanden jedoch auch Massendatensätze, bei denen ein einzelner Datensatz nur noch etwa zwei Dollar kostete. Manchmal splitten die Täter ihre Beute auf, extrahieren Finanzdaten wie etwa Kontonummern aus den Datenbanken und verkaufen diese separat.
„Das große Problem aus Sicht der Opfer: Wenn eine Kreditkarte geklaut wird, kann man sich eine neue schicken lassen, und die Bank storniert die Buchungen“, kommentiert Samani. „Doch medizinische Daten sind sehr viel länger wertvoll als Kreditkartennummern. Die Opfer haben keinerlei Möglichkeit, ihre persönliche Krankheitshistorie ungültig zu machen.“
Täter können die Daten vielfältig für Verbrechen nutzen: Patienten mit Infektionskrankheiten oder psychischen Erkrankungen, die ein soziales Stigma mit sich bringen, könnten mit der Drohung eines Outings in sozialen Medien erpresst werden.
Die Täter können die Daten zudem für Identitätsdiebstahl nutzen oder mithilfe der gewonnenen Informationen besonders glaubwürdig Rechnungen vom Krankenhaus oder Schreiben von der Krankenkasse fälschen oder Arzneirezepte im Namen der Opfer einlösen. „Die Möglichkeiten sind vielfältig – und sie bestehen meist noch nach Jahren, wenn das Opfer nicht mehr damit rechnet“, weiß Samani.
Auch Deutschland im Visier der Hacker
Die Hackerszene entdeckt aktuell die komplette Medizin- und Pharmabranche für sich. Auch deutsche Krankenhäuser wurden bereits mit dem Diebstahl oder der Verschlüsselung von Patientendatenbanken erpresst.
„Die Täter stehlen die Daten, verschlüsseln sie dann und kassieren für die Entschlüsselung. Dann können sie mit dem Verkauf der Daten oder der Drohung der Veröffentlichung ein zweites Mal Kasse machen“, erklärt Samani.
Eine Hackergruppe namens Rex Mundi etwa erpresste im vergangenen Jahr das französische Bluttest-Laborunternehmen Labio damit, gestohlene Patientendaten einfach ins Netz zu stellen. Als die Firma nicht zahlte, verbreiteten die Hacker Download-Links zu den Daten über Twitter.
Ein Großteil der Attacken auf Patientendatenbanken kommt allerdings gar nicht erst zutage, warnen die Intel-Sicherheitsforscher: Patientendaten aus Medikamentenstudien etwa können für Insiderdeals mit Aktien der Pharmahersteller genutzt werden.
Der Handel mit Insiderinformationen aus Hacks lohnt in der Pharma- und Medizintechnikszene besonders, da bei Bekanntwerden von Studienergebnissen oder potenziellen Produktproblemen Milliarden auf dem Spiel stehen – große Kursgewinne lassen sich erzielen.
In einem aktuellen Fall verkauften Hacker der IT-Beratung Bishop Fox der Investmentfirma Muddy Waters Informationen über eine Sicherheitslücke in Herzschrittmachern des US-Herstellers St. Jude. Muddy Waters kaufte erst Verkaufsoptionen für Aktien des Herstellers ein und veröffentlichte dann die Information über die angeblichen Sicherheitslücken. Nun klagt St. Jude gegen Muddy Waters, US-Behörden prüfen zudem aktuell, ob Insiderhandel vorliegt.
Hacker können Tempo-Blitzer problemlos manipulieren
Forscher der IT-Sicherheitsfirma Kaspersky konnten auf Netzwerke von Geschwindigkeitsüberwachungs-Kameras zugreifen. Diese sind online zugänglich und wurden nicht mit Passwörtern geschützt.
Quelle: Die Welt
