Lösegeld nicht bezahlt: Daten von australischem Krankenversicherer im Darknet
Einen Monat nachdem Medibank gehackt wurde, hat das Unternehmen klargestellt, dass kein Lösegeld für erbeutete Daten fließen wird. Erste wurden jetzt publik.
(Bild: Medibank)
Nach dem Cyberangriff auf den australischen Krankenversicherer Medibank sind dabei erbeutete Daten im Darknet aufgetaucht. Es handle sich um Namen, Adressen, Geburtstage, Telefonnummern, E-Mail-Adressen sowie teilweise Kundennummern, Ausweisnummern und einige Daten zu Gesundheitsleistungen, teilte das Unternehmen jetzt mit. Insgesamt könnten Daten zu 9,7 Millionen Menschen betroffen sein, melden australische Medien.
Fast zehn Millionen Betroffene
Kunden und Kundinnen sollten bei jeglicher Online-Kommunikation und bei Transaktionen vorsichtig sein, die Daten könnten für betrügerische Zwecke benutzt werden, rät Medibank. Australiens Bundespolizei schreibt, dass es um beunruhigende und sehr persönliche Daten gehe. Man habe Maßnahmen ergriffen und eine nach einem anderen Hackerangriff eingerichtete Initiative auf den Vorfall bei Medibank ausgeweitet. Das Unternehmen hatte sich geweigert, ein Lösegeld für die Daten zu zahlen.
Medibank hat nach eigener Aussage mehr als 3,9 Millionen Kunden und Kundinnen in Australien, das Unternehmen vertreibt vor allem Krankenversicherungen. Betroffen sind jetzt aber auch ehemalige Kunden und Kundinnen, Daten bei einer Tochterfirma und Kunden sowie Kundinnen im Ausland. Deshalb geht es jetzt um deutlich mehr Betroffene als anfangs gedacht.
Dass es einen "Cyber-Vorfall" gegeben hat, hat Medibank Mitte Oktober öffentlich gemacht und eine "forensische Analyse" angekündigt. Darüber hinaus gehende Informationen hat es nicht gegeben, vor allem hat Medibank anfangs nicht mitgeteilt, ob und in welchem Umfang Daten abgegriffen wurden. Später hatten sich die mutmaßlich Verantwortlichen an das Unternehmen gewandt und erklärt, sie hätten 200 Gigabyte an sensiblen Daten erbeutet. Damit die nicht weitergegeben werden, müsse Medibank Geld zahlen. Außerdem wurde gedroht, dass prominente Kunden und Kundinnen kontaktiert und mit sensiblen Gesundheitsdaten konfrontiert würden, sollte kein Lösegeld fließen.
Richtlinien befolgt
"Basierend auf den umfangreichen Ratschlägen, die wir von Experten für Cyberkriminalität erhalten haben, glauben wir, dass es nur eine begrenzte Chance gibt, dass die Zahlung eines Lösegelds die Rückgabe der Daten unserer Kunden sicherstellt und verhindert, dass sie veröffentlicht werden", hat Medibank bereits am Montag erklärt. Diese Vorgehensweise stimme auch mit der überein, die Australiens Regierung empfiehlt. Premierminister Anthony Albanese erklärte, er sei selbst Kunde bei Medibank: "Das ist wirklich hart für die Betroffenen", sagte er. Aber das Unternehmen habe die Richtlinien befolgt. Seine Regierung will die Strafen für "wiederholte und ernsthafte" Datenschutzverstöße deutlich erhöhen.
(mho)