Auf einen Blick
Eine schwerwiegende Datenschutzverletzung hat DentaQuest getroffen, einen der größten Verwalter von zahnmedizinischen Leistungen in den Vereinigten Staaten und Teil von Sun Life, wobei sensible Daten von 2,6 Millionen Konten offengelegt wurden. Der Vorfall kam letzten Monat ans Licht, als die bekannte Erpressergruppe ShinyHunters das Unternehmen auf ihrer Datenleck-Website nannte und behauptete, über 234 GB an Daten entwendet zu haben. Nach dem angeblichen Scheitern, eine Einigung mit dem Unternehmen zu erzielen, wurden die Daten öffentlich gemacht, was erhebliche Bedenken hinsichtlich der Privatsphäre und Sicherheit der persönlichen Informationen der Nutzer auslöste. — Quelle: BleepingComputer
Nach Angaben der Quelle bestätigte DentaQuest den Vorfall am 2. Juni auf ihrer Website und gab an, dass ein „unbefugter Zugriff auf einen begrenzten Teil unseres Netzwerks“ stattgefunden habe. Das Unternehmen erklärte, umgehend Maßnahmen ergriffen zu haben, um die Umgebung zu sichern, den Angriff einzudämmen und die Bedrohung zu mindern, wobei sichergestellt wurde, dass die Systeme mit begrenzten Unterbrechungen des Kundendienstes voll funktionsfähig bleiben. Zur Unterstützung der Untersuchung und zur Bestimmung des Umfangs der kompromittierten Daten hat DentaQuest auch externe Experten hinzugezogen. Die vom Datenschutzverletzungs-Alarmdienst Have I Been Pwned (HIBP) durchgeführte Analyse bestätigte, dass die durchgesickerten Informationen Datensätze für 2,6 Millionen Konten enthielten, obwohl die Erklärung von DentaQuest die Auswirkungen auf die Kunden nicht spezifiziert hatte.
Zu den offengelegten Datenkategorien gehören hochsensible Informationen, wie zum Beispiel:
- E-Mail-Adressen
- Vollständige Namen
- Telefonnummern
- Von Behörden ausgestellte Ausweisdokumente
- Krankenversicherungsdaten
- Geschlecht
- Geburtsdaten
Die Einbeziehung von Ausweisdokumenten und insbesondere von Krankenversicherungsdaten erhöht die Schwere der Verletzung, da es sich um besondere Kategorien personenbezogener Daten handelt, die gemäß Vorschriften wie der DSGVO (und ähnlichen Prinzipien in anderen Gerichtsbarkeiten) ein besonders hohes Schutzniveau erfordern. HIBP hat zudem hervorgehoben, dass etwa 66 % der offengelegten Datensätze bereits in ihrer Datenbank vorhanden waren, aufgrund früherer Vorfälle, an denen andere Organisationen beteiligt waren, was auf eine potenzielle Korrelation oder die Verbreitung bereits kompromittierter Daten über andere Kanäle hindeutet.
Für Unternehmen, die personenbezogene Daten verarbeiten, insbesondere solche, die in sensiblen Sektoren wie dem Gesundheitswesen tätig sind, unterstreicht dieser Vorfall die dringende Notwendigkeit, ihre Cyberabwehr zu stärken. Die Kompromittierung von Gesundheits- und Identifikationsdaten setzt Einzelpersonen hohen Risiken von Betrug, Identitätsdiebstahl und Social-Engineering-Angriffen aus. Die Einhaltung von Vorschriften wie der DSGVO und der NIS2-Richtlinie (für Einheiten, die in ihren Geltungsbereich fallen) wird grundlegend. Obwohl DentaQuest ein US-amerikanisches Unternehmen ist, sind die Prinzipien der Rechenschaftspflicht, der Sicherheit durch Technik und durch datenschutzfreundliche Voreinstellungen sowie des proaktiven Incident-Managements universell anerkannt. Dieser Fall verdeutlicht, wie die Unfähigkeit, Daten angemessen zu schützen, zu verheerenden Reputationsschäden und potenziellen behördlichen Sanktionen führen kann.
In diesem Zusammenhang empfiehlt PL Consulting Organisationen, eine proaktive und multifaktorielle Sicherheitshaltung einzunehmen. Es ist entscheidend, Incident-Response-Pläne zu implementieren und regelmäßig zu testen, sich mit fortschrittlichen Erkennungssystemen (SIEM und EDR) auszustatten und das Personal zu schulen, um Phishing- und Social-Engineering-Angriffe zu erkennen und zu verhindern. Für Personen, die von diesem oder ähnlichen Vorfällen betroffen sein könnten, ist äußerste Vorsicht geboten. Es wird empfohlen, alle gängigen