Der australische Krankenversicherer Medibank hat am Mittwoch bekannt gegeben, dass die persönlichen Daten aller seiner Kunden nach einem Ransomware-Angriff unbefugt eingesehen wurden.
In einem Update zur laufenden Untersuchung des Vorfalls teilte das Unternehmen mit, dass die Angreifer Zugang zu „erheblichen Mengen an Daten über Krankenversicherungsansprüche“ sowie zu persönlichen Daten der ahm-Krankenversicherungstochter und internationaler Studenten hatten.
Medibank ist einer der größten privaten australischen Krankenversicherungsanbieter und betreut landesweit rund 3,9 Millionen Kunden.
„Wir haben Beweise dafür, dass der Kriminelle einige dieser Daten entfernt hat, und es ist nun wahrscheinlich, dass der Kriminelle weitere persönliche Daten und Daten über Gesundheitsansprüche gestohlen hat“, so das Unternehmen weiter. „Wir gehen davon aus, dass die Zahl der betroffenen Kunden erheblich ansteigen könnte.
Das Unternehmen teilte außerdem mit, dass es seine Untersuchungen fortsetzt, um herauszufinden, welche konkreten Daten bei dem Angriff gestohlen wurden, und dass es die betroffenen Kunden direkt über die Angelegenheit informieren wird.
Die Entwicklung kommt zu einem Zeitpunkt, an dem die australische Bundespolizei (AFP) den Vorfall untersucht. Medibank bestätigte, dass sie von einem kriminellen Akteur kontaktiert wurde, der behauptet, 200 GB an Daten abgezweigt zu haben.
„Zu diesen Daten gehören Vor- und Nachnamen, Adressen, Geburtsdaten, Medicare-Nummern, Versicherungsnummern, Telefonnummern und einige Schadensdaten“, heißt es in der Mitteilung. „Zu diesen Daten gehören der Ort, an dem ein Kunde medizinische Leistungen in Anspruch genommen hat, sowie Codes, die sich auf seine Diagnose und Verfahren beziehen.
Auch auf andere eindeutig identifizierbare persönliche Daten, wie z. B. Passnummern bei internationalen Studentenpolicen, wurde zugegriffen, aber Medibank betonte, dass es keine Beweise dafür gibt, dass Lastschriftdaten missbraucht wurden.
In einer separaten Mitteilung an die Investoren erklärte Medibank, dass sie ihre Überwachungskapazitäten verstärkt hat, um solche Angriffe in Zukunft zu verhindern. Sie schätzt, dass der Cybercrime-Vorfall sie zwischen 25 und 35 Millionen AU$ gekostet hat.
Den Kunden von Medibank wurde empfohlen, auf Phishing- und Smishing-Betrügereien zu achten, und das Unternehmen versprach kostenlose Identitätsüberwachungsdienste und finanzielle Unterstützung für diejenigen, „die sich durch dieses Verbrechen in einer besonders gefährdeten Lage befinden“.
Der Medibank-Hack folgt auf einen anderen Cyberangriff auf den australischen Telekommunikationsriesen Optus, bei dem fast 2,1 Millionen aktuelle und ehemalige Kunden des Unternehmens bestohlen wurden.
Die öffentlichkeitswirksamen und schädlichen Datenschutzverletzungen haben die australische Regierung dazu veranlasst, strenge Datenschutzgesetze einzuführen, die unter anderem höhere Geldstrafen von bis zu AU$ 50 Millionen vorsehen, statt der derzeitigen Obergrenze von AU$ 2,2 Millionen.
Das neue Gesetz zur Änderung der Datenschutzgesetzgebung (Privacy Legislation Amendment Bill 2022) sieht außerdem vor, dass der australische Datenschutzbeauftragte (Australian Information Commissioner) mit mehr Befugnissen zur Aufklärung von Datenschutzverletzungen ausgestattet wird.
„Die bedeutenden Datenschutzverletzungen der letzten Wochen haben gezeigt, dass die bestehenden Schutzmaßnahmen unzureichend sind“, sagte Generalstaatsanwalt Mark Dreyfus. „Wir brauchen bessere Gesetze, die regeln, wie Unternehmen mit den riesigen Datenmengen umgehen, die sie sammeln, und höhere Strafen, um Anreize für ein besseres Verhalten zu schaffen.