Was geschah beim iRhythm-Datenleck?

Hacker erlangten Zugriff auf Patientengesundheitsdaten, indem sie Anwendungen eines Drittanbieters kompromittierten, nicht die internen Systeme von iRhythm.

Wie konnten die Angreifer die Sicherheitsvorkehrungen von iRhythm umgehen?

Sie drangen in die Cloud-Umgebung des Drittanbieters ein, sodass sie den Netzwerkperimeter von iRhythm gar nicht erst überwinden mussten.

Warum kann ein VPN solche Datenlecks nicht verhindern?

Ein VPN schützt nur Daten auf dem Übertragungsweg innerhalb des eigenen Netzwerks einer Organisation; es sichert keine Daten, die in der Cloud-Infrastruktur eines externen Anbieters gespeichert oder verarbeitet werden.

Welchen blinden Fleck erzeugen von Drittanbietern gehostete Anwendungen für Gesundheitsorganisationen?

Die Sicherheitsverantwortung wird fragmentiert, weil der Anbieter Zugriff, Patch-Management und Überwachung kontrolliert, während die Gesundheitsorganisation nur begrenzte vertragliche Einblicke in die täglichen Sicherheitspraktiken hat.

Ist der iRhythm-Vorfall Teil eines größeren Musters?

Ja, der Artikel verweist auf einen zunehmenden Trend von Angriffen auf die Infrastruktur von Gesundheitsdienstleistern, darunter ein kürzliches Leck bei Novo Nordisk und ein ähnlicher Einstiegspunkt bei einem Dienstleister im Cropwise-Ransomware-Angriff.

iRhythm-Datenleck: Cloud-Apps von Drittanbietern legen Patientendaten offen

Ein Datenleck im Gesundheitswesen bei iRhythm, dem Anbieter von Herzüberwachung, hat Patientengesundheitsdaten offengelegt, nachdem Angreifer auf Anwendungen zugegriffen hatten, die von einem Drittanbieter gehostet werden und außerhalb der eigenen Infrastruktur des Unternehmens liegen. Der Vorfall folgt unmittelbar auf ein gemeldetes Leck bei Novo Nordisk und bestätigt ein Muster, auf das Sicherheitsexperten immer wieder hinweisen: Gesundheitsdaten sind nur so sicher wie ihr schwächstes Glied in der Zuliefererkette. Für Patienten und Leistungserbringer gleichermaßen ist der Fall iRhythm eine deutliche Mahnung, dass die Gefährdung durch Cloud-Drittanbieter bei Gesundheitsdatenlecks heute eine der folgenreichsten Angriffsflächen in der Medizin darstellt.

Was beim iRhythm-Datenleck geschah

iRhythm gab bekannt, dass Hacker auf Anwendungen zugegriffen haben, die von einem Drittanbieter gehostet werden – nicht auf die eigenen internen Systeme von iRhythm – und über diesen Zugang Patientengesundheitsdaten extrahieren konnten. Das Unternehmen, das tragbare Herzüberwachungsgeräte wie das Zio-Pflaster herstellt, verarbeitet hochsensible Daten, darunter physiologische Aufzeichnungen und personenbezogene Gesundheitsdaten zu Herzerkrankungen.

Während konkrete Details zum Umfang der betroffenen Datensätze und den genauen Methoden noch nicht vollständig veröffentlicht wurden, ist der Kernmechanismus bedeutsam: Die Angreifer mussten nicht den eigenen Sicherheitsperimeter von iRhythm durchbrechen. Sie gelangten über einen Dienstleister hinein. Dieser Unterschied ist für die Risikobewertung durch Unternehmen und Patienten von enormer Bedeutung.

Warum Cloud-Hosting durch Drittanbieter blinde Flecken schafft, die VPNs nicht schließen können

Viele Organisationen, darunter auch Gesundheitsdienstleister, setzen VPNs ein, um den Datenverkehr zu verschlüsseln und den Zugriff auf interne Systeme zu beschränken. VPNs sind ein legitimes und nützliches Werkzeug, um Daten während der Übertragung über Netzwerke zu schützen, die eine Organisation kontrolliert. Wenn Patientendaten jedoch in Anwendungen gespeichert sind, die von einem externen Anbieter in einer separaten Cloud-Infrastruktur gehostet werden, trägt ein VPN, das das eigene Netzwerk von iRhythm schützt, nichts zur Absicherung dieser Umgebung bei.

Von Drittanbietern gehostete Anwendungen unterliegen dem Sicherheitsniveau des Anbieters, seinen Zugriffskontrollen, seinen Patch-Zyklen und seinen Fähigkeiten zur Vorfallerkennung. Gesundheitsorganisationen haben oft nur begrenzte vertragliche Einblicke, wie diese Anbieter die Sicherheit im Tagesgeschäft handhaben. Das ist kein Nischenproblem: Es spiegelt wider, was beim Ransomware-Angriff auf Cropwise geschah, wo eine gezielte Anbieterplattform zum Einstiegspunkt für Angreifer wurde, die wertvolle Daten außerhalb des gehärteten Perimeters der eigentlichen Organisation suchten.

Der blinde Fleck ist struktureller Natur. Sobald Daten in die Umgebung eines Drittanbieters gelangen, wird die Sicherheitsverantwortung fragmentiert, und ein Leck beim Anbieter wird zu einem Leck für jede Organisation, deren Daten dort liegen.

Ein wachsendes Muster von Angriffen auf die Infrastruktur von Gesundheitsdienstleistern

Das iRhythm-Datenleck trat nicht isoliert auf. Gesundheitsorganisationen wurden in den letzten Jahren wiederholt über Abhängigkeiten von Dienstleistern getroffen. Der Change-Healthcare-Vorfall legte die Daten von rund 100 Millionen Menschen offen, nachdem Angreifer einen kritischen Anbieter von Zahlungs- und Rezeptinfrastruktur kompromittiert hatten. Telemedizin-Plattformen, Abrechnungsunternehmen, EHR-Anbieter und Gerätedaten-Repositorien sind allesamt zu bevorzugten Zielen geworden, weil sie gleichzeitig Datensätze von Dutzenden oder Hunderten von Gesundheitskunden aggregieren.

Für Angreifer ist die Kosten-Nutzen-Rechnung einfach. Eine einzige Cloud-Plattform eines Drittanbieters, die zwanzig Gesundheitsorganisationen bedient, zu kompromittieren, liefert die zwanzigfache Datenmenge bei nahezu gleichem Aufwand. Gesundheitsdaten erzielen auf kriminellen Märkten hohe Preise, weil sie Krankengeschichten, Versicherungsdaten, Geburtsdaten und Sozialversicherungsnummern gebündelt enthalten und damit für Betrug und Identitätsdiebstahl weitaus wertvoller sind als reine Finanzdaten.

Der Umstand, dass die iRhythm-Offenlegung zeitlich so nah auf den Novo-Nordisk-Vorfall folgt, deutet entweder auf eine koordinierte Kampagne gegen den Gesundheitssektor hin oder – plausibler – darauf, dass Angreifer systematisch die Dienstleister-Ökosysteme sondieren, die sich Gesundheitsunternehmen teilen.

Welche Datenschutzkontrollen Patienten und Gesundheitskonsumenten jetzt einfordern sollten

Patienten haben nur begrenzten direkten Einfluss darauf, wie Gesundheitsunternehmen ihre Lieferantenbeziehungen steuern, aber sie sind nicht völlig ohne Handhabe oder Druckmittel.

Fragen Sie nach dem Speicherort der Daten. Bei der Anmeldung zu Fernüberwachungsprogrammen, Telemedizin-Diensten oder beliebigen digitalen Gesundheitsplattformen können Patienten direkt fragen: Wo werden meine Daten gespeichert und wer hat sonst noch Zugriff darauf? Anbieter sollten dies klar beantworten können. Vage Antworten sind ein Warnsignal, das man ernst nehmen sollte.

Lesen Sie die HIPAA-Einwilligungserklärungen sorgfältig. Viele Patienten unterschreiben weitreichende Einwilligungen, ohne zu lesen, welche Dritte ihre Daten erhalten könnten. Diese Dokumente führen Lieferantenbeziehungen und Datenweitergabe-Berechtigungen auf. Sie zu lesen kostet Zeit, schafft aber Bewusstsein für die Breite der Angriffsfläche.

Achten Sie auf Benachrichtigungen bei Datenlecks. Nach HIPAA sind betroffene Einrichtungen verpflichtet, betroffene Personen über Vorfälle zu informieren, die ihre geschützten Gesundheitsdaten gefährden. Patienten, die solche Benachrichtigungen erhalten, sollten sie ernst nehmen, prüfen, welche konkreten Daten betroffen waren, und erwägen, Kreditsperren oder Betrugswarnungen einzurichten, falls Sozialversicherungsnummern oder Finanzdaten Teil der offengelegten Datensätze waren.

Für Gesundheitsorganisationen und Beschaffungsteams lautet die handlungsorientierte Forderung: Lieferantensicherheitsaudits mit echten Sanktionsmöglichkeiten. Risikomanagementprogramme für Drittanbieter, die vertragliche Sicherheitsanforderungen, regelmäßige Penetrationstests von anbietergehosteten Anwendungen und dokumentierte Reaktionspläne für Sicherheitsvorfälle umfassen, sollten Mindestvoraussetzungen sein, keine optionalen Ergänzungen.

Was das für Sie bedeutet

Das iRhythm-Datenleck unterstreicht, dass die Privatsphäre der Patienten in der digitalen Gesundheit von der gesamten Lieferkette abhängt, nicht nur von der Organisation, deren Name auf dem Gerät oder der App steht. Ein VPN, starke Passwörter oder Zwei-Faktor-Authentifizierung für Ihr Patientenportal schützen die Daten nicht, sobald sie in eine Cloud-Anwendung eines Drittanbieters kopiert wurden, die das Gesundheitsunternehmen selbst nicht direkt absichert.

Für den alltäglichen Gesundheitskonsumenten besteht der praktischste Schritt jetzt darin, den eigenen digitalen Gesundheits-Fußabdruck zu überprüfen. Listen Sie die Apps, Fernüberwachungsdienste und Patientenportale auf, die Sie nutzen, und lesen Sie deren Datenschutzrichtlinien auf Hinweise zu Drittdatenverarbeitern. Wenn ein Dienst nicht klar erklären kann, wer Ihre Daten hält und wie sie geschützt werden, ist das eine wertvolle Information, bevor eine Benachrichtigung über ein Datenleck in Ihrem Posteingang eintrifft.

Gesundheitsorganisationen, die diese Lücken ernsthaft schließen wollen, müssen über Perimeter-Verteidigungen hinausgehen und Lieferantensicherheit als Erweiterung ihrer eigenen betrachten. Der iRhythm-Fall macht deutlich, dass die Frage nicht mehr lautet, ob Gesundheitsdaten in Cloud-Umgebungen von Drittanbietern angegriffen werden. Sie lautet, wie schnell Organisationen und Regulierungsbehörden die Verantwortungslücken schließen werden, die diese Angriffe so zuverlässig erfolgreich machen.