Die beiden Pharmafirmen Quest Diagnostics und LabCorp haben in Berichten an die US-Börsenaufsicht SEC (Securities and Exchange Commission) zugegeben, über einen externen Inkasso-Dienstleister die Daten von Millionen von Patienten verloren zu haben. Quest und LabCorp sind die beiden größten Betreiber klinischer Labore in den USA. Zusammen führen beide Unternehmen Blut-Tests und andere diagnostische Verfahren für hunderte von Krankenhäusern und unzählige niedergelassene Ärzte in den USA, in Südamerika, in Großbritannien, in Indien und in Kanada durch. Die Patientendaten sind beim Inkasso-Unternehmen American Medical Collection Agency (AMCA) abgegriffen worden, das für beide Unternehmen unbezahlte Rechnungen eintreibt.

Bei Quest sind annähernd 12 Millionen Patienten betroffen, LabCorp hat der SEC 7,7 Millionen betroffene Kunden gemeldet. Laut der Berichte sollen Unbekannte Angreifer von mindestens dem 1. August 2018 bis zum 30. März 2019 Zugriff auf Computersysteme bei der AMCA gehabt haben. Abhandengekommen sind Klarnamen, Adressen, Kreditkarten- und Bankinformationen, medizinische Befunde und Sozialversicherungsnummern der Betroffenen. Die betroffenen Firmen berichten gegenüber der SEC, dass AMCA ihnen bisher kaum spezifische Informationen zu den betroffenen Patienten genannt hat und sie sich deswegen schwer damit tun, ihre Kunden zu informieren. Da die Patienten in der Regel mit den Auftraggebern der Laboruntersuchungen, also Krankenhäusern oder Ärzten, zu tun haben, sind sich manche von ihnen vielleicht gar nicht bewusst, dass ihre Daten bei dem Inkasso-Dienstleister gelandet und dort geleakt sind.

Quest hat mittlerweile die Geschäftsbeziehungen zu AMCA abgebrochen und wirft dem Anbieter vor, Details zu dem Hackerangriff zurückgehalten zu haben. Man habe eine IT-Sicherheitsfirma engagiert, um den Vorfall eingehend zu prüfen, so Quest. Auch AMCA hat laut einer Pressemitteilung externe Sicherheitsberater mit einer Untersuchung beauftragt.

Nur die Spitze des Hacker-Eisbergs?

Der unabhängige IT-Sicherheits-Journalist Brian Krebs schreibt in einer Analyse der Angriffe, dass er vermutet, dass weitere Firmen (und deren Kunden) betroffen sein könnten. Er vermutet, dass beim Einbruch in die AMCA-Server auch die Daten der anderen Kunden der Inkasso-Firma abhandengekommen sind. Außerdem hat er recherchiert, dass AMCA ebenfalls unter dem Namen Retrieval-Masters Credit Bureau firmiert. Diese Sparte der Firma hat laut Krebs einen äußerst schlechten Ruf in der an sich schon nicht für ihre Zimperlichkeit bekannten US-Inkassobranche. Berichten zufolge setzt die Firma Schuldner massiv unter Druck und wird von Verbraucherorganisationen äußerst kritisch gesehen. Krebs vermutet, dass noch etliche Millionen Kunden anderer Firmen betroffen sind, für die AMCA Schulden eingetrieben hat.

Riesige Datenlecks wie bei der AMCA sind mittlerweile fast an der Tagesordnung. Betroffen sind nicht nur große, multinationale Konzerne, sondern auch immer wieder kleinere Firmen und Organisationen. Vor allem Online-Shops und andere Systeme, auf denen Zahlungsdaten verarbeitet werden, werden gerne von Kriminellen geknackt. Die Hacker verwenden die Daten entweder selber für Phishing-Angriffe oder Betrugsversuche oder verkaufen sie weiter. Oft werden solche Datensätze mittlerweile auch in Sammlungen zusammentragen, die sich immer wieder zu Geld machen lassen. So kommen schnell riesige Listen mit hunderten Millionen Datensätzen von Betroffenen zusammen. (fab)