Kroger erreicht 5 Mio. $ Vergleich mit Opfern von Sicherheitsverletzungen, da der Supreme Court “tatsächlichen Schaden” definiert

  • Kroger hat einen Vergleich in Höhe von 5 Millionen Dollar mit den Betroffenen eines im Februar gemeldeten Sicherheitsverstoßes geschlossen, während der Oberste Gerichtshof eine Entscheidung darüber fällt, wer bei einem Sicherheitsverstoß Schadensersatz verlangen kann. Hier verabreicht ein Kroger-Apothekenmitarbeiter einen Impfstoff. (PRNewsfoto/The Kroger Co.)

    Kroger hat einen Vergleich in Höhe von 5 Millionen US-Dollar mit Personen geschlossen, die von einer im Februar gemeldeten Sicherheitsverletzung betroffen waren. Der Vergleich war die dritte Klage im Zusammenhang mit einer Datenschutzverletzung im Gesundheitswesen in dieser Woche und wirft ein Licht auf den Anstieg von Klagen im Zusammenhang mit Datenschutzverletzungen in diesem Sektor in den letzten Jahren.

    In der Zwischenzeit entschied der Supreme Court am 21. Juni in einem Fall, der von Sergio Ramirez und 8.185 Personen gegen TransUnion eingereicht wurde, dass nur Personen, die durch eine Datenschutzverletzung “konkret geschädigt” wurden, berechtigt sind, Schadensersatz gegen ein Unternehmen zu fordern.

    Für Ron Raether, Partner bei Troutman Pepper, werfen der Vergleich und die Entscheidung des Obersten Gerichtshofs ein Licht auf die Herausforderung, vor der die Aufsichtsbehörden stehen, wenn es um die Beseitigung von Bedrohungen, Sicherheitsverletzungen und die anhaltende Ransomware-Krise geht.

    “Die Regulierungsbehörden haben mit der Frage gerungen, ob sie diese Probleme mit Zuckerbrot oder Peitsche angehen sollen”, sagte Raether. “Der Ansatz mit der Peitsche wird die Nadel jedoch nicht bewegen. Stattdessen müssen sich Regulierungsbehörden und Unternehmen zusammentun, um diesen gemeinsamen Feind zu bekämpfen.”

    Konkret sollten Unternehmen durch Taktiken wie Steuererleichterungen dazu angeregt werden, mehr in die Informationssicherheit zu investieren, während sich Regierung und Aufsichtsbehörden auf einen besseren Zugang zu Tools und Bildung sowie die Beseitigung der finanziellen Motive der Bedrohungsakteure konzentrieren sollten.

    Kroger-Vergleich, auf einen Blick

    Gegenwärtig werden Einrichtungen des Gesundheitswesens vom Department of Health and Human Services hinsichtlich der Einhaltung der Vorschriften des Health Insurance Portability and Accountability Act reguliert. Die Vorschrift legt Anforderungen für Datenschutz- und Sicherheitsprogramme fest, die von den meisten Anbietern erfüllt werden.

    Doch die Einhaltung wird oft als Checkliste und verbesserungsbedürftig angesehen, da die Vorschrift 2009 erlassen wurde – lange vor dem Zeitalter der digitalen Gesundheit und einer immer ausgefeilteren Bedrohungslandschaft. Und selbst mit den besten Sicherheitsprozessen und -technologien sind Bedrohungsakteure manchmal immer noch erfolgreich bei ihren Exploits.

    Ein wichtiges Beispiel dafür ist der Vorfall bei Kroger. Die Apotheken- und Supermarktkette gehörte zu den Hunderten von Opfern, die von dem Supply-Chain-Angriff auf die File Transfer Application von Accellion im Dezember betroffen waren.

    Die Hacker nutzten mehrere Zero-Day-Schwachstellen in Kombination mit einer neuen Web-Shell aus, wodurch sie über den FTA-Service Zugang zu mindestens 100 Unternehmen erhielten. Die Angreifer waren in der Lage, eine Vielzahl von Daten zu stehlen, darunter auch Kunden- und Mitarbeiterdaten von Kroger.

    Der Angriff wurde von der Ransomware-Gruppe Clop angeführt. Viele Accellion-Kunden berichteten, dass die Akteure sie direkt kontaktierten und drohten, die bei dem Angriff gestohlenen Daten preiszugeben.

    Etwa 1 % der Kunden von Kroger Health and Money waren betroffen, darunter die Patienten der Apotheke und der Gesundheitsklinik. Zu den Daten gehörten Informationen zu Gesundheitsleistungen, Sozialversicherungsnummern, Rezeptdetails und Kontaktinformationen sowie andere sensible Daten.

    Kroger stellte umgehend die Nutzung der Dienste von Accellion ein und meldete den Vorfall den Strafverfolgungsbehörden. Aber die 1,5 Millionen Kunden, die von dem Vorfall betroffen waren, begannen bald, Klagen gegen Kroger einzureichen, zusätzlich zu mindestens 15 Klagen, die sich gegen Accellion wegen seiner Rolle bei dem Vorfall richteten. Insgesamt waren etwa 3,8 Millionen Personen, einschließlich der Mitarbeiter, von dem Vorfall bei Kroger betroffen.

    In der Klage gegen Kroger wird der Apothekenkette vorgeworfen, dass sie es versäumt hat, Datensicherheitspraktiken zu implementieren und aufrechtzuerhalten, die in der Lage waren, die Kundendaten zu schützen und die Sicherheitslücken zu erkennen, die dem Vorfall zugrunde lagen, sowie unzureichende Sicherheitspraktiken für persönlich identifizierbare Daten.

    “Der Stock-Ansatz, den die Regulierungsbehörden anwenden, ist ineffektiv. Er wird keine Veränderungen bei einzelnen Unternehmen bewirken (außer bei denen, die unmittelbar unter Beobachtung stehen).”

    Ron Raether, Troutman Pepper Partner

    Kroger wies diese Behauptungen immer wieder zurück und arbeitete daran, die Auswirkungen der Sicherheitsverletzung zu beheben, einschließlich der Bereitstellung einer zweijährigen Kreditüberwachung und einer Versicherung gegen ID-Diebstahl für die Betroffenen. Kroger arbeitete auch eng mit dem FBI während der Wiederherstellung und Untersuchung zusammen, während es die gestohlenen Daten von den Angreifern mit der Bestätigung zurückholte, dass sie vernichtet werden würden.

    Außerdem habe Accellion Kroger nie über die Schwachstellen in seinem alten FTA-Dienst informiert, behauptete Kroger.

    In den letzten Monaten hat Kroger versucht, einige der Klagen zu konsolidieren. Mit dem Vergleich werden alle Ansprüche in den Ohio-Klagen beigelegt. Während dieser Zeit konnten die Anwälte beider Seiten eine Einigung zur Beilegung der Rechtsstreitigkeiten erzielen.

    Der Vergleich wird alle von dem Kroger-Vorfall betroffenen US-Bürger abdecken und einen Vergleichsfonds in Höhe von 5 Millionen US-Dollar einrichten. Diejenigen Personen, die nachweislich Verluste erlitten haben, können einen Antrag auf Erstattung von bis zu 5.000 US-Dollar stellen.

    Kroger ist außerdem verpflichtet, im Rahmen des Vergleichs erhebliche Abhilfemaßnahmen zu ergreifen, einschließlich der Bestätigung, dass es den Accellion FTA-Dienst nicht mehr nutzen und auf eine andere sichere Dateiübertragungslösung umstellen wird.

    Darüber hinaus muss Kroger Maßnahmen ergreifen, um die Daten, die während des Sicherheitsvorfalls gestohlen oder auf die zugegriffen wurde, zu sichern und zu vernichten. Kroger muss außerdem sein bestehendes Risikomanagementprogramm für Drittanbieter verbessern und regelmäßige Überprüfungen aller Dateiübertragungsdienste oder anderer Software durchführen, die zur Übertragung personenbezogener Daten von Kunden verwendet werden.

    Kroger ist außerdem verpflichtet, das Dark Web auf Hinweise auf betrügerische Aktivitäten zu überwachen, die sich aus den während des Accellion-Hacks gestohlenen Daten ergeben.

    Der Vergleich weist Ähnlichkeiten mit anderen Rechtsstreitigkeiten im Gesundheitswesen auf, die in den letzten zwei Jahren beigelegt wurden, wie z. B. der im Juni 2020 geschlossene Vergleich über 2,8 Millionen US-Dollar zwischen UnityPoint Health und den Millionen von Patienten, die von zwei Phishing-bezogenen Verstößen in den Jahren 2017 und 2018 betroffen waren.

    Der jüngste Vergleich im Zusammenhang mit dem Gesundheitswesen wurde zwischen den Opfern einer neun Jahre andauernden Sicherheitsverletzung des Versicherungsriesen Dominion National für 2 Millionen US-Dollar geschlossen.

    “Der Wert eines Gruppenvergleichs hängt von zahlreichen Faktoren ab, von denen viele nichts mit dem Risiko oder den wirtschaftlichen Realitäten der jeweiligen Situation zu tun haben”, so Raether. “Aber was noch wichtiger ist: Sammelklagen schaffen noch weniger Anreize für eine Gesamtveränderung als regulatorische Maßnahmen.”

    “Unser derzeitiges System, die Peitsche zu benutzen, um Veränderungen zu bewirken, funktioniert nicht”, fügte er hinzu.

    Supreme Court definiert “tatsächlichen Schaden”

    Viele dieser Klagen variieren stark in Bezug auf die finanzielle Rückerstattung und darauf, wie Richter “tatsächlichen Schaden” definieren. Für Raether wirft die Entscheidung des Supreme Court in TransUnion vs. Ramirez aus dem Jahr 2021 ein Licht auf einige dieser Grauzonen und wie die Beweislast auf die Opfer fällt.

    Ramirez verklagte TransUnion, nachdem ein Autohaus sich weigerte, ihm ein Fahrzeug zu verkaufen, da sein Name auf einer “Terroristenliste” stand. TransUnion führte die Maßnahme ein, um Unternehmen zu helfen, Geschäfte mit mutmaßlichen Kriminellen zu verhindern.

    Die fragliche Liste vergleicht jedoch die Namen von Verbrauchern mit der Liste des Office of Foreign Assets Control und setzt dann eine Warnung auf die Kreditberichte von Verbrauchern mit möglichen Übereinstimmungen. Zu diesem Zeitpunkt hat TransUnion nur Daten mit Vor- und Nachnamen verglichen.

    Wenn der Name des Verbrauchers mit dem Namen einer Person auf der OFAC-Liste übereinstimmte, setzte TransUnion eine Warnung in die Kreditauskunft des Verbrauchers, um darauf hinzuweisen, dass die Person eine potenzielle Übereinstimmung mit einem Namen auf der OFAC-Liste war.

    Die Entscheidung legte Schlüsselbereiche des tatsächlichen Schadens fest, die sich in Zukunft auf Klagen wegen Datenschutzverletzungen auswirken könnten, einschließlich solcher im Gesundheitswesen. Insbesondere ist die Befugnis der Bundesgerichtsbarkeit darauf beschränkt, Fälle und Kontroversen zu lösen, wenn die Kläger ein persönliches Interesse daran haben, das Unternehmen zu verklagen, dem ein Verstoß vorgeworfen wird.

    “Ramirez ist ein potenziell weitreichendes Urteil, mit Auswirkungen weit über den Fair Credit Reporting Act hinaus”, erklärte Raether. “Die Auswirkungen werden sicherlich in den kommenden Monaten in den unteren Instanzen diskutiert werden.”

    “Es ist klar, dass Kläger mehr brauchen als ein gesetzlich geschaffenes Recht (öffentlich oder privat) und die Angst vor zukünftigem Fehlverhalten, um vor ein Bundesgericht zu ziehen”, fügte er hinzu. “Ob dieses gesetzliche Recht eine ausreichende gewohnheitsrechtliche Grundlage finden kann, um eine konkrete Verletzung zu schaffen, oder ob ein Informationsrecht etabliert werden kann, wird von den Streitparteien unter Bezugnahme auf Ramirez und die vielen anderen Standing-Entscheidungen des Supreme Court diskutiert werden.”

    Der Fall macht deutlich, dass es die Aufgabe der Justiz und nicht des Kongresses ist, festzustellen, ob ein tatsächlicher Schaden vorliegt, basierend auf einer historischen Verletzung. Raether erklärte, dass angesichts der in Ramirez präsentierten Fakten die Behauptungen den Standard des “konkreten Schadens” verfehlen.

    “In Fällen, in denen kein gesetzlicher Anspruch besteht, wie z.B. bei HIPAA, schafft es weitere Herausforderungen bei Behauptungen, dass der Verlust der Daten an den Hacker irgendwie den Wert der Daten vermindert hat.”

    Ron Raether, Troutman Pepper Partner

    Außerdem kann der Kongress den HIPAA nicht umschreiben, um ein privates Klagerecht zu schaffen, das Klagebefugnis verleihen kann. Raether betonte, dass die Ramirez-Entscheidung eindeutig die Macht des Kongresses in diesem Bereich auf die Justiz verlagert. Das volle Ausmaß der Entscheidung wird sich wahrscheinlich erst in der Zukunft zeigen.

    Wie es aussieht, erklärte Raether, dass Ramirez die Definition des tatsächlichen Schadens festlegt. Einzelpersonen, die Klagen gegen Unternehmen einreichen, die ihre Daten verletzen, und Schadensersatzansprüche geltend machen, müssen eine Analogie zu einer Gewohnheitsrechtstradition haben; oder “faktische Beweise” für irgendeine Art von materialisiertem tatsächlichem Schaden, der in Form von seelischem Leid, Verlust aus eigener Tasche, “nachgelagerten Folgen” in Form von verändertem Verhalten oder einer Verweigerung einer Kreditmöglichkeit usw. sein könnte.

    Darüber hinaus scheint es, dass die Ramirez-Entscheidung das “Risiko eines Schadens” zu einem toten Buchstaben gemacht hat, abgesehen von Unterlassungsansprüchen, die nachweisen müssen, dass das Risiko eines Schadens in der Zukunft sowohl unmittelbar bevorsteht als auch erheblich ist.

    “Das ist potenziell bedeutsam für Fälle von Datenschutzverletzungen, da das Risiko eines Schadens die traditionelle Rubrik ist, nach der solche Fälle aus Sicht der Klagebefugnis verhandelt werden”, sagte Raether. “In einigen Gerichtsbarkeiten, in denen die Kosten für die Schadensbegrenzung bereits als nicht ausreichend für die Klagebefugnis angesehen werden, ist eine andere Form des konkreten Schadens erforderlich.”

    “Aber in anderen Jurisdiktionen können die Schadensminderungskosten auch nach Ramirez als ausreichend angesehen werden”, fügte er hinzu. “Zumindest aber werden diese Anforderungen ein Hindernis für die Klassenzertifizierung darstellen, da solche Schäden in der Regel nicht gemeinsam nachgewiesen werden können.”

    Die Entscheidung versetzte auch Ansprüchen auf Informationsschäden einen erheblichen Schlag, da sie feststellte, dass es “keine Klagebefugnis auf der Grundlage eines Anspruchs auf Informationsschäden geben kann, wenn kein individueller Beweis für nachgelagerte Konsequenzen aufgrund des Mangels an Informationen vorliegt.

    Für Fälle von Datenschutzverletzungen, die das Versäumnis eines Unternehmens anfechten, eine rechtzeitige Benachrichtigung nach der Verletzung bereitzustellen, wird die Entscheidung erhebliche Auswirkungen haben, erklärte Raether.

    “In Fällen, in denen kein gesetzlicher Anspruch besteht, wie z.B. beim HIPAA, schafft es weitere Herausforderungen in Bezug auf Behauptungen, dass der Verlust der Daten an den Hacker irgendwie den Wert der Daten vermindert hat”, fügte er hinzu.

    In der Tat sollten wir eine verstärkte Betonung der Art der fraglichen Daten sehen, was weitere individuelle Probleme schafft, die eine Klassenzertifizierung vereiteln.”

    Insgesamt unterstreicht die Ramirez-Entscheidung, dass Opfer von Datenschutzverletzungen tatsächliche, faktische Beweise für ihre Klagebefugnis oder ihren Schaden vorlegen müssen, um die rechtlichen Anforderungen zu erfüllen. Die Entscheidung betonte die Behauptung des Gerichts, dass die Opfer Beweise für einen faktisch nachgewiesenen Schaden vorlegen müssen.

    Vorwärts gehen

    Der Supreme Court wies außerdem an, dass Gerichte nicht einfach einen konkreten Schaden voraussetzen können. Raether betonte, dass dies eine hohe Messlatte sei, die “wahrscheinlich die Art und Weise verändern wird, wie Sammelklagen aus der Perspektive der Entdeckung in Zukunft prozessiert werden”.

    Obwohl Ramirez entschieden wurde, glaubt Raether, dass es weiterhin einen Kampf um beide Seiten der Beweisfrage geben wird, da es schwierig ist, Personen zu finden, die ein unmittelbares Opfer eines Angreifers gewesen sind. Und fast alle Verbraucher waren in Datensicherheitsvorfälle verwickelt, was die Herausforderung der Rückverfolgung des angeblichen Schadens weiter anheizen wird.

    Raether glaubt, dass es an der Zeit ist, zu überdenken, ob der Einsatz von Gerichten für diese Kämpfe das Beste für die allgemeinen wirtschaftlichen Interessen des Landes ist.

    “Abweisungen wegen mangelnder Klagebefugnis sind nicht in der Sache selbst begründet. Aus diesem Grund warnte Richter Clarence Thomas auch, dass Ramirez ein ‘Pyrrhussieg’ für TransUnion sein könnte, weil es dem Kongress nicht verbietet, gesetzliche Rechte zu schaffen, sondern nur festhält, dass Bundesgerichte keine Zuständigkeit haben, diese ohne einen konkreten Schaden durchzusetzen”, erklärte Raether.

    “Mit anderen Worten, staatliche Gerichte, die nicht durch Artikel III eingeschränkt sind, können nun das ‘einzige Forum’ für solche Fälle sein”, fügte er hinzu.

    Ob der Kongress oder eine Bundesbehörde spezifische Sicherheitsstandards vorschreiben wird, um Datenschutzmaßnahmen besser durchzusetzen, hält Raether für zweifelhaft. Sicherheitspraktiken und -bedürfnisse variieren von Unternehmen zu Unternehmen und erfordern die Berücksichtigung von Schlüsselelementen, die für das jeweilige Unternehmen spezifisch sind.

    Der Umgang mit der aktuellen Ransomware-Krise, insbesondere im Gesundheitswesen, ist und bleibt kompliziert. Raether merkte an, dass Bedrohungsakteure gelernt haben, wie sie die Skaleneffekte effizienter IT-Operationen ausnutzen können, um das meiste aus einer einzigen Kompromittierung herauszuholen.

    Anstatt sich auf den Kongress oder Maßnahmen auf Bundesebene zu verlassen, sollten Unternehmen in allen Sektoren zu einer kollektiven Reaktion übergehen und nicht nur bekannte Bedrohungen weitergeben. Stattdessen glaubt Raether, dass Defense-in-Depth-Maßnahmen in allen Sektoren vorhanden sein müssen.

    Außerdem müssen alle Organisationen von auditbasierten Standards abrücken und sich an NIST, Mitre [email protected]und anderen relevanten Frameworks orientieren.

    “Wir müssen dazu übergehen, Informationssicherheit nicht mehr nur als zweitrangige Überlegung zu betrachten, sondern zu erkennen, dass die Bedrohung für jedes Unternehmen real ist, sodass es an der Zeit ist, Sicherheit in jeden Aspekt der IT einzubauen, von der Entwicklung bis zum Betrieb”, so Raether.

    “Der Peitschen-Ansatz … der von den Regulierungsbehörden verwendet wird, ist so ineffektiv”, fuhr er fort. “Er wird keine Veränderungen in einzelnen Unternehmen bewirken (außer in denjenigen, die unter unmittelbarer Beobachtung stehen) und somit keine Anreize für globale Bemühungen schaffen, die notwendig sind, um diese organisierten Kriminellen zu stoppen.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com