SuperCare Health sieht sich einer Klage wegen „unzureichender Sicherheitsmaßnahmen“ zur Verhinderung eines Datenlecks gegenüber.

Der Kläger reichte beim US Central District of California eine Klage gegen SuperCare Health ein und behauptete, das Unternehmen verfüge über „unzureichende Sicherheitsmaßnahmen“, um Datenlecks zu verhindern.

Das kalifornische Gesundheitsunternehmen SuperCare Health sieht sich nach dem Datenleck im Juli 2021 einer Klage gegenüber. SuperCare gab kürzlich bekannt, dass rund 318,379 Datensätze wurden kompromittiert, was es zu einem der größten Medicare-Datendiebstähle im Jahr 2022 machte.

Laut SuperCare Health verschafften sich Cyberkriminelle zwischen dem 23. und 27. Juli unbefugten Zugriff auf die Datenbank der Organisation. Die Täter erlangten Zugang zu personenbezogenen Daten (PII), darunter Namen, Krankenversicherungsinformationen, Adressen, Krankenaktennummern, Geburtsdaten, Patientenkontonummern, Informationen zu Versicherungsansprüchen, Informationen zur Patientenbehandlung und Informationen zur Medicare-Gruppe.

In einer Klage, die beim US-Bezirksgericht für den Central District of California eingereicht wurde, warf die Klägerin Vickey Angulo der Gesundheitsorganisation jedoch vor, den Datenverstoß nicht verhindert und keine wirksamen Cybersicherheitsmaßnahmen implementiert zu haben. „trotz der Tatsache, dass Datendiebstähle und Angriffe auf medizinische Systeme und Gesundheitsdienstleister ein Allzeithoch erreicht haben.“ 

„Nach Kenntnisstand und Überzeugung war der Mechanismus des Cyberangriffs und das Potenzial für eine unzulässige Offenlegung der privaten Informationen des Klägers und der Mitglieder der Sammelklage dem Beklagten bekannt, wie häufige Nachrichtenberichte und Warnungen des FBI an das Gesundheitswesen zeigten. Daher war ihm bewusst, dass das Versäumnis, die notwendigen Schritte zum Schutz der privaten Informationen vor diesen Risiken zu unternehmen, das Eigentum in einen gefährlichen und angreifbaren Zustand versetzte.“ heißt es in der Anmeldung.

Allerdings beinhaltete die Klage auch, dass die Cyberkriminellen durch den Zugriff auf die Patientendaten neue Finanzkonten unter Verwendung synthetischer Identitäten eröffnen, die Daten der Kläger nutzen können, um staatliche Leistungen zu erhalten, und gefälschte Tauchscheine im Namen der Opfer beantragen können.

Der Kläger argumentierte außerdem, dass die Mitteilung von SuperCare über den Vertragsbruch Folgendes enthielt: „Keine genauen Angaben über Art, Schwere oder Dauer des Angriffs.“

SuperCare beschrieb den Vorfall wie folgt: „unerlaubte Aktivitäten“ und erklärte, dass sich eine unbekannte Partei Zugang zu bestimmten Systemen in ihrem Netzwerk verschafft habe. „es ist nicht gelungen, seine Mitarbeiter angemessen an die grundlegendsten Informationssicherheitsprotokolle anzupassen und sie darin zu schulen.“

Darüber hinaus merkte der Kläger an, dass das Gesundheitsunternehmen die Opfer des Datenlecks erst im März, Monate nach dessen Auftreten, benachrichtigte. In der Mitteilung von SuperCare hieß es, die Untersuchung sei am 4. Februar 2022 abgeschlossen worden. Dem Unternehmen wurde außerdem vorgeworfen, gegen HIPAA- und FTC-Richtlinien verstoßen und die NIST-Sicherheitsanforderungen nicht erfüllt zu haben.

Vorgeschlagener gelesen: Südafrikas Gesundheitsorganisationen werden zur neuesten Beute von Cyberkriminellen