Nachdem der Konzern WellPoint aufgrund von Verletzungen der Kundendatensicherheit bereits aufgefordert wurde 100.000 $ an das Gesundheitsministerium der USA zu zahlen, nun der nächste schwere Schlag: 1,7 Millionen Dollar müssen nach Washington fließen. Grund dafür: Ein Vergleich mit dem U.S. Department of Health and Human Services (HHS).

Durch eine Verletzung des Health Insurance Portability and Accountability Act (HIPAA) kam es nun zu diesem Urteil. Zwischen Oktober 2009 und März 2010 konnten Unbekannte die Datenbank der Firma WellPoint knacken und gelangten so an Informationen von über 600.000 Menschen. Darunter deren Namen, Sozialversicherungsnummern, Geburtsdaten, Adressen, Telefonnummern und sogar Informationen zu dem jeweiligen Gesundheitsstand.

Das Gesundheitsministerium kritisiert, dass keine Prozesse in Gang gebracht worden seien, um die internetbasierte Datenbank besser zu schützen. Auch wurde zu keiner Zeit die Identität von Eindringlingen überprüft, bevor sensible Daten hochgeladen wurden. Des Weiteren soll es keine adäquate technische Beurteilung nach einem Software-Upgrade gegeben haben.

So war die Datenbank zu keinem Zeitpunkt in der Lage, Cyberangriffe abzuwehren. Durch den Vergleich mit dem Gesundheitsministerium vermeidet WellPoint nun höhere Zahlungen für mögliche zukünftige Verstöße gegen den HIPAA.

Bereits im Jahr 2011 musste die Firma 100.000 US-Dollar in einem Vergleich zahlen. Der Anwalt Greg Zoeller aus Indiana verklagte WellPoint aufgrund von Verletzungen von Bundesgesetzen. Schon damals waren 32.000 Kunden betroffen, deren Privatinformationen über einen Zeitraum von bis zu 137 Tagen online zugänglich waren. Als Teil der Übereinkunft wurde WellPoint dazu aufgefordert , die Betroffenen mit bis zu 50.000$ zu entschädigen.

WellPoint ist das Mutterunternehmen von Anthem Blue Cross und Blue Shield und damit einer der größten Dienstleister im Gesundheitswesen der USA. Mehr als 36 Millionen Menschen nutzen die Dienste. Allerdings steht der Konzern nun in der Kritik, schon häufiger mit Problemen in Fragen der Internetsicherheit konfrontiert worden zu sein.

Artikel von scmagazine.com, 12.07.2013: WellPoint settles following government investigation in wake of breach
Artikel von computerworld.com, 11.07.2013: Insurance company, WellPoint, fined $1.7m over data exposure