Welche Art von Daten wurde bei der Datenpanne offengelegt?

Bei der Datenpanne wurden geschützte Gesundheitsinformationen (PHI) offengelegt, darunter Daten aus Kundensupport-Tickets wie Details zu Rezepten, medizinischen Konsultationen und persönlichen Gesundheitszuständen.

Wie haben die Angreifer Zugang zu den Kundendaten von Hims erlangt?

Bedrohungsakteure erlangten unbefugten Zugriff auf eine Drittanbieter-Plattform für den Kundensupport, die von Hims genutzt wird, anstatt die Kerninfrastruktur des Unternehmens direkt anzugreifen.

Was sollten Hims-Kunden als Reaktion auf diese Datenpanne tun?

Kunden von Hims und Hims & Hers sollten davon ausgehen, dass Informationen, die über Kundensupport-Kanäle geteilt wurden, möglicherweise offengelegt wurden – darunter ihr Name, ihre Kontaktdaten sowie Details zu medizinischen Konsultationen oder Rezepten.

Hims-Datenpanne legt sensible Gesundheitsdaten offen

Telemedizin-Riese Hims von Datenpanne betroffen – Patientendaten offengelegt

Das Telemedizin-Unternehmen Hims & Hers Health hat eine Datenpanne bestätigt, bei der einige der sensibelsten Kategorien personenbezogener Daten offengelegt wurden, die ein Unternehmen verwahren kann: geschützte Gesundheitsinformationen (Protected Health Information, PHI). Der Vorfall ereignete sich, nachdem Bedrohungsakteure unbefugten Zugriff auf eine Drittanbieter-Plattform für den Kundensupport erlangt haben, die vom Unternehmen genutzt wird. Zu den offengelegten Daten gehören Informationen aus Kundensupport-Tickets, was im Telemedizin-Kontext Details zu Rezepten, medizinischen Konsultationen und persönlichen Gesundheitszuständen bedeutet.

Die Hackergruppe ShinyHunters hat die Verantwortung für den Angriff übernommen. Die Gruppe ist in Cybersicherheitskreisen für groß angelegte Datendiebstahl-Operationen bekannt und wurde in den vergangenen Jahren mit mehreren aufsehenerregenden Datenpannen in Verbindung gebracht. Ihre Beteiligung wirft sofortige Fragen darüber auf, was als Nächstes mit den gestohlenen Daten geschieht – darunter das Potenzial für Erpressung, den Weiterverkauf auf Dark-Web-Märkten oder gezielte Phishing-Kampagnen gegen betroffene Nutzer.

Warum Drittanbieter eine Schwachstelle in der Gesundheitsdatensicherheit darstellen

Eines der wichtigsten Details bei dieser Datenpanne ist der Ort des Geschehens: nicht innerhalb der Kerninfrastruktur von Hims, sondern über eine Drittanbieter-Plattform für den Kundensupport. Dieses Muster ist zunehmend verbreitet und zunehmend folgenreich.

Große Unternehmen lagern regelmäßig Funktionen wie Kundensupport, Abrechnung und Datenspeicherung an spezialisierte Anbieter aus. Jeder dieser Anbieter wird zu einer Erweiterung der Angriffsfläche des Unternehmens. Wenn sich ein Nutzer bei einem Telemedizin-Dienst anmeldet, vertraut er nicht nur diesem Unternehmen seine Daten an. Er vertraut auch jedem Anbieter, Auftragnehmer und Softwareanbieter, mit dem dieses Unternehmen zusammenarbeitet.

Dies ist besonders problematisch im Gesundheitswesen. Nach US-amerikanischem Recht sind Unternehmen, die PHI verarbeiten, verpflichtet sicherzustellen, dass ihre Geschäftspartner und Anbieter die HIPAA-Compliance-Standards erfüllen. Doch Compliance auf dem Papier bedeutet nicht immer effektive Sicherheit in der Praxis. Ein gut aufgestelltes Unternehmen wie Hims kann erheblich in seine eigenen Abwehrmaßnahmen investieren und dabei dennoch durch einen Anbieter mit schwächeren Kontrollen angreifbar bleiben.

Die Datenpanne bei Hims ist kein Einzelfall. Gesundheits- und Telemedizin-Unternehmen sind zu bevorzugten Angriffszielen geworden, eben weil die Daten, die sie verwahren, so wertvoll sind. Medizinische Akten erzielen auf kriminellen Märkten deutlich höhere Preise als Kreditkartennummern, da sie Informationen enthalten, die sich nicht ohne Weiteres ändern lassen und für Versicherungsbetrug, Identitätsdiebstahl und gezieltes Social Engineering genutzt werden können.

Was das für Sie bedeutet

Wenn Sie Kunde von Hims oder Hims & Hers sind, sollten Sie davon ausgehen, dass Informationen, die Sie über Kundensupport-Kanäle geteilt haben, möglicherweise offengelegt wurden. Dazu könnten Ihr Name, Ihre Kontaktdaten sowie Details zu medizinischen Konsultationen oder Rezepten gehören, die Sie mit dem Support-Team besprochen haben.

Generell ist diese Datenpanne eine nützliche Erinnerung an die Risiken, die mit der Speicherung sensibler personenbezogener Daten in zentralisierten Systemen einhergehen. Telemedizin-Plattformen sind auf Komfort ausgerichtet, und dieser Komfort bedeutet oft, dass Ihre Gesundheitsdaten auf eine Weise gebündelt werden, die attraktive Angriffsziele für Angreifer schafft. Je mehr Daten ein Unternehmen hält und je mehr Anbieter es diese Daten teilen lässt, desto größer ist der potenzielle Schaden, wenn etwas schiefgeht.

Das bedeutet nicht, dass Sie Telemedizin-Dienste meiden sollten. Für viele Menschen bieten sie Zugang zu Versorgungsleistungen, die sonst schwer oder kostspielig zu erhalten wären. Es bedeutet jedoch, dass Sie sorgfältig darüber nachdenken sollten, welche Informationen Sie über digitale Gesundheitsplattformen teilen – einschließlich über Support-Tickets und Chat-Funktionen, die möglicherweise außerhalb der primären Systeme des Unternehmens gespeichert und verarbeitet werden.

Konkrete Schritte nach einer Datenpanne mit Gesundheitsdaten

Wenn Sie Hims & Hers oder eine ähnliche Telemedizin-Plattform nutzen, sind hier einige konkrete Maßnahmen, die es sich lohnt, jetzt sofort zu ergreifen:

Achten Sie auf Phishing-Versuche. Angreifer, die gesundheitsbezogene Daten erlangen, nutzen diese oft, um äußerst überzeugende Phishing-Nachrichten zu verfassen. Seien Sie skeptisch gegenüber unaufgeforderten E-Mails oder Nachrichten, die auf Ihre Gesundheitszustände, Medikamente oder frühere Interaktionen mit der Plattform Bezug nehmen.
Überprüfen Sie Ihre Konten. Kontrollieren Sie Ihr Hims-Konto und alle verknüpften Zahlungsmethoden auf ungewöhnliche Aktivitäten. Melden Sie alles Verdächtige sowohl der Plattform als auch Ihrem Finanzinstitut.
Beobachten Sie möglichen Identitätsbetrug. Medizinischer Identitätsdiebstahl – bei dem jemand Ihre Daten nutzt, um betrügerisch Rezepte oder Versicherungsleistungen zu erhalten – kann schwer zu erkennen sein. Erwägen Sie, bei den großen Kreditauskunfteien eine Betrugswarnung einzurichten, und überwachen Sie Ihre Versicherungsabrechnungen auf Leistungen, die Sie nicht erhalten haben.
Schränken Sie ein, was Sie in Support-Tickets teilen. Bedenken Sie künftig, dass Kundensupport-Kanäle bei jedem Unternehmen möglicherweise von Drittanbieter-Diensten mit ihrer eigenen Sicherheitslage abgewickelt werden. Vermeiden Sie es, mehr Details als unbedingt notwendig preiszugeben.
Bleiben Sie über die Datenpanne informiert. Achten Sie auf offizielle Mitteilungen von Hims zum Ausmaß des Vorfalls und auf etwaige Abhilfemaßnahmen, die das Unternehmen anbietet, wie etwa Kreditüberwachungsdienste.

Datenpannen bei Gesundheitsunternehmen werden nicht verschwinden. Da immer mehr Gesundheitsdienstleistungen ins Internet verlagert werden, wird die Menge sensibler medizinischer Daten, die von digitalen Plattformen gehalten werden, nur zunehmen. Ein sorgfältiger und informierter Umgang mit diesen Diensten ist eine der wirksamsten Schutzmaßnahmen, die gewöhnlichen Menschen zur Verfügung steht. Zu verstehen, wer Ihre Daten hält und was damit geschieht, ist ein vernünftiger Ausgangspunkt für den eigenen Schutz.

Telemedizin-Riese Hims von Datenpanne betroffen – Patientendaten offengelegt

Warum Drittanbieter eine Schwachstelle in der Gesundheitsdatensicherheit darstellen

Was das für Sie bedeutet

Konkrete Schritte nach einer Datenpanne mit Gesundheitsdaten

// FAQ

// Verwandt