Anthem gibt an, dass der Datenbank-Einbruch 78.8 Millionen Datensätze betrifft. Davon sind 14 Millionen nicht vollständig, das heißt, es gibt nicht genügend Information, diese mit Mitgliedern in Verbindung zu bringen.

Hacker hatten sich Zugang zur Datenbank der Krankenversicherung verschafft. Die Datenbank enthält Informationen von Mitarbeitern und Mitgliedern wie Namen, Geburtstagen, E-Mail-Adressen, Mitglieder-IDs und Sozialversicherungsnummern.

Mit diesen Informationen kann ein Identitätsdieb falsche medizinische Leistungsanträge stellen und den Versicherten finanziell ruinieren. Etwa 65% der Opfer von Identitätsdiebstahl geben mehr als 13.000 US Dollar aus, um ihre Akte wieder herzustellen. Im Durchschnitt benötigen sie 200 Stunden, um mit Versicherern und Anbietern Anmeldedaten zu sichern, Gesundheitsdaten zu berichtigen, Daten zu sammeln – und natürlich die ausstehenden Rechnungen zu zahlen.

Anthem, vormals Wellpoint, versucht immer noch, die betroffenen Daten herauszufiltern. Teil des Problems ist, dass 14 Millionen Datensätze nicht vollständig sind. Diese unvollständigen Daten können durch ein Altsystem entstanden sein, durch Schadensfälle, die ohne Mitgliederinformation aufgenommen wurden. Allgemein beteuert Anthem, dass die Betroffenen, die identifziert werden können, informiert werden.

Es gibt jedoch keine Information darüber, wer für diesen Diebstahl verantwortlich ist. Die Sicherheitsfirma CrowdStrike sagt, die Angreifer nutzten eine Infrastruktur, die der chinesischen Gruppe, Deep Panda, ähnelt.

Besondere Brisanz erhält der Vorfall dadurch, dass US-Bundesbedienstete zu den Betroffenen gehören. Anthem will keine Stellungnahme dazu abgeben. Etwa 1,3 Millionen Personen gehören dem Bundes-Vorsorgeplan an, dem BCBS-Plan von Anthem. Außerdem sind auch Nicht-Mitglieder betroffen, die aber wiederum am BCBS-Plan teilnahmen.

Anthem betreibt den Bundesbeamten-Plan in Virginia, Kalifornien, New York und einigen anderen Staaten. Die genaue Zahl der Betroffenen kann im Internet eingesehen werden. Prinzipiell gilt, dass Blue Shield Mitglieder, die ihre BCBS-Versicherung in einem Bundesstaat nutzten, in dem Anthem in den letzten 10 Jahren operiert, betroffen sind.

Anthem Healthcare setzte die Öffentlichkeit schneller als rechtlich notwendig von dem Sicherheitsbruch in Kenntnis. Jedoch untersagte es ein Security-Audit des US Office of Personnel Management (OIG).

SANS IT-Sicherheitsexperte Johannes Ullrich dazu: Es gibt viele Gründe, einen Sicherheitstest zu verweigern. Die meisten gelten aber nicht. Unternehmen müssen erkennen, dass ein autorisierter Penetrationstest von professionellen und ausgebildeten Pentestern immer weniger risikoreich ist als der Scan, den die Bösen den ganzen Tag auf ihrem System laufen lassen.

Siehe auch die animierte Grafik der größten Dateneinbrüche mit über 30.000 gestohlene Datensätzen je Einbruch.

Artikel von computerworld.com, 24.02.2015: Anthem now says 78.8M were affected by breach

Artikel von scmagazine.com, 26.02.2015: State breakdowns: Anthem breach by the numbers
Artikel von nextgov.com, 27.02.2015: Anthem Health Care Hack Snared Federal Employees Who Weren’t Anthem Customers
Artikel von 09.02.2015: Anthem Breach May Have Started in April 2014
Artikel von darkreading.com, 05.03.2015: Anthem Refuses To Let Inspector General Conduct Full Security Audit
Artikel von govinfosecurity.com, 04.03.2015: Anthem Refuses Full IT Security Audit