– US Fertility (USF) hat eine Einigung in Höhe von 5,75 Millionen US-Dollar erzielt, um Vorwürfe der Fahrlässigkeit nach einem Ransomware-Angriff und einer Datenpanne im Jahr 2020 zu klären, von der fast 900.000 Personen betroffen waren. USF stellt IT-Plattformen und Dienstleistungen für ein Netzwerk von mehr als 200 Ärzten an 100 Klinikstandorten und mehr als zwei Dutzend IVF-Labors bereit.
Im September 2020 gelang es Bedrohungsakteuren, in das Netzwerk von USF einzudringen und eine Reihe von Servern und Workstations zu verschlüsseln, die mit seiner Domäne verbunden waren. In der ersten Mitteilung von USF über den Verstoß hieß es, dass das Unternehmen bei Entdeckung sofort Systeme aus seinem Netzwerk entfernt und externe Experten eingeschaltet habe.
Weitere Untersuchungen ergaben, dass eine nicht autorisierte Partei zwischen dem 12. August 2020 und dem 14. September 2020, als sie den Ransomware-Angriff ausführte, eine begrenzte Anzahl von Dateien erworben hatte. Zu den Informationen des Cyberangriffs gehörten Namen, Adressen, MPI-Nummern, Geburtsdaten und einige Sozialversicherungsnummern.
USF sagte, dass es schnell Sicherheitsmaßnahmen implementiert habe, um zukünftige Vorfälle zu verhindern, einschließlich der Verstärkung seiner Firewall und der Anpassung seiner Mitarbeiterschulungsprotokolle.
Bis November 2021 hatten die Kläger beim US-Bezirksgericht für den Bezirk Maryland eine konsolidierte Sammelklage eingereicht, in der sie behaupteten, dass USF ihr Vertrauen sowie Best Practices im Bereich Datensicherheit verletzt habe.
„USF hat es versäumt, angemessene und angemessene Maßnahmen zu ergreifen, um sicherzustellen, dass seine Computer-/Serversysteme vor unbefugtem Zugriff geschützt sind, und hat es versäumt, Maßnahmen zu ergreifen, die den Datenschutzverstoß hätten stoppen können, bevor er aufgetreten ist“, heißt es in der Beschwerde.
„Dies zeigt sich zum Teil daran, dass es den Hackern über einen Monat lang unentdeckt gelang, in die Systeme der USF einzudringen und Daten auszuschleusen. Tatsächlich ist der einzige Grund, warum USF das Eindringen der Hacker überhaupt bemerkt hat, der, dass die Hacker schließlich ein Ransomware-Programm ausgeführt haben, das den Zugriff von USF auf sein eigenes System blockiert hat.“
Sowohl die Klassenvertreter als auch USF stimmten einer Einigung zu, anstatt das Risiko eines längeren Rechtsstreits einzugehen. USF hat mit der Zustimmung zum Vergleich kein Fehlverhalten eingestanden.
Alle Mitglieder der Vergleichsgruppe können einen Anspruch auf Erstattung von Verlusten aus eigener Tasche in Höhe von bis zu 15.000 US-Dollar einreichen, sofern sie auch Unterlagen Dritter einreichen, die den Verlust belegen. Kursteilnehmer können außerdem einen Anspruch auf Erstattung der aufgewendeten Zeit in Höhe von 25 US-Dollar pro Stunde für bis zu vier Stunden einreichen.
USF stimmte außerdem zu, für mindestens drei Jahre nach dem Inkrafttreten der Vergleichsvereinbarung aktualisierte Geschäftspraktiken und Abhilfemaßnahmen einzuführen.
Das Gericht wird im April eine Anhörung abhalten, um über die Genehmigung des Vergleichs zu entscheiden.
