Change Healthcare ist ein Gigant in der Welt des Gesundheitswesens und bearbeitet 15 Milliarden Schadensfälle im Gesamtwert von mehr als 1,5 Billionen US-Dollar pro Jahr, so das Unternehmen. Es betreibt das größte elektronische „Clearinghaus“ der Branche und fungiert als Pipeline, die Gesundheitsdienstleister mit Versicherungsgesellschaften verbindet, die für ihre Leistungen bezahlen und festlegen, was Patienten schulden. Es unterstützte Zehntausende Ärzte, Zahnärzte, Apotheken und Krankenhäuser und wickelte 50 Prozent aller medizinischen Ansprüche in den Vereinigten Staaten ab, schrieb das Justizministerium in einer Klage aus dem Jahr 2022, in der erfolglos versucht wurde, UnitedHealth an der Übernahme des Unternehmens zu hindern.
Unter Berufung auf interne Unternehmensdokumente schrieben die Staatsanwälte, dass Change zu dem Schluss gekommen sei, dass „das Gesundheitssystem … ohne Change Healthcare nicht funktionieren würde“.
Die Hacker, eine Ransomware-Bande, von der man einst annahm, sie sei von den Strafverfolgungsbehörden lahmgelegt worden, stahlen Patientendaten, verschlüsselten Unternehmensdateien und verlangten Geld, um sie freizuschalten. Das Unternehmen hat im Februar den größten Teil seines Netzwerks abgeschaltet, um sich zu erholen.
Die Quantifizierung der Auswirkungen bleibt ein bewegliches Ziel, wobei der Schweregrad davon abhängt, wie sehr Unternehmen auf Veränderungen setzen. Aber drei hochrangige Beamte des Ministeriums für Gesundheit und menschliche Dienste bezeichneten es als ernst.
Die Dringlichkeit wurde noch dadurch verstärkt, dass der Mehrheitsführer im Senat, Charles E. Schumer, am Freitag einen Brief an die Centers for Medicare and Medicaid Services schickte, in dem er sie aufforderte, beschleunigte Zahlungen an Krankenhäuser, Apotheken und andere Anbieter zu leisten, die vom Ausfall betroffen waren. Patienten können keine Informationen darüber erhalten, ob die Versicherung eine Behandlung übernimmt, während Krankenhäuser Schwierigkeiten haben, den Patienten Rechnungen zu stellen und Zahlungen zu erhalten, schrieb der New York Democrat.
„Der Zahlungsverzug kostet Krankenhäuser in ganz Amerika jede weitere Woche Millionen, und die Menschen haben sogar Schwierigkeiten, Rezepte in ihrer örtlichen Apotheke einlösen zu lassen“, sagte Schumer am Sonntag in einer Erklärung. „Deshalb fordere ich CMS auf, seine Befugnisse zu nutzen, um den bürokratischen Aufwand abzubauen und den betroffenen Gesundheitsdienstleistern beschleunigte und vorgezogene Zahlungen zu ermöglichen, so wie sie es während der Corona-Krise getan haben.“
„Wir sind uns der Auswirkungen bewusst, die dieser Angriff auf den Gesundheitsbetrieb hatte“, sagte ein HHS-Sprecher gegenüber der Washington Post und fügte hinzu, dass die Behörde mit UnitedHealth zusammenarbeite, um Störungen der Patientenversorgung zu vermeiden. Der Vorfall unterstreicht die „Dringlichkeit, die Widerstandsfähigkeit der Cybersicherheit im gesamten Ökosystem zu stärken“, sagte der Sprecher.
Molly Smith, Gruppenvizepräsidentin für öffentliche Ordnung bei der American Hospital Association, sagte am Sonntag: „Unserer Einschätzung nach ist dies der bedeutendste Angriff auf das Gesundheitssystem in der Geschichte der USA.“
Irgendwann, so Smith, habe der Verband von Krankenhäusern gehört, die bestimmte Patienten nicht entlassen hätten, weil sie ihre Medikamente nicht nachfüllen konnten. Ein Großteil dieser Störung wird gerade behoben, da Gesundheitsdienstleister auf die manuelle Einreichung von Anträgen zurückgreifen, fügte sie hinzu.
Optum, ein Gesundheitsdienstleistungsunternehmen, das ebenfalls zu UnitedHealth gehört, sagte, es habe ein vorübergehendes Hilfsprogramm eingerichtet, um Organisationen, deren Zahlungssysteme betroffen sind, Bargeld zur Verfügung zu stellen – kurzfristige Kredite, die zurückgezahlt werden müssten, sobald Change wieder verfügbar ist läuft. Ein hochrangiger HHS-Beamter sagte, die Agentur arbeite mit UnitedHealth zusammen, um sicherzustellen, dass das Programm wirksam sei.
Ein Sprecher von UnitedHealth sagte, es gebe am Sonntag keine Updates, wies aber darauf hin, dass man Berater hinzugezogen habe und mit den Strafverfolgungsbehörden zusammenarbeite. Seit dem Hack gibt UnitedHealth an, „mehrere Problemumgehungen vorgenommen zu haben, um sicherzustellen, dass die Menschen Zugang zu den Medikamenten und der Pflege haben, die sie benötigen“.
Der einfache Wechsel von Change zu einem anderen Anbieter ist laut Branchenvertretern und Apothekern aufgrund vertraglicher Vereinbarungen und technischer Gründe manchmal komplex. Zusätzlich zur Weiterleitung von Ansprüchen an Versicherungsunternehmen bereinigt Change auch die Anspruchsinformationen, um sicherzustellen, dass die Codes und andere Details korrekt sind. Obwohl einige konkurrierende Anbieter einige Alternativen geschaffen haben, verfügen diese laut Smith nicht über die gleiche Bereinigungsfunktion wie Change, und viele Anbieter erhalten zahlreiche Ablehnungen.
„Zu diesem Zeitpunkt haben wir sehr, sehr unvollständige Problemumgehungen, was bedeutet, dass die Cashflow-Probleme weiterhin bestehen“, sagte sie.
Jose Arrieta, ehemaliger Chief Information Officer von HHS, sagte, der Cyberangriff gehöre zu den schwerwiegendsten im Gesundheitswesen der letzten Jahre und knüpfe an frühere Verstöße an.
„Die Größe des Angriffs spielt keine Rolle. Was zählt, ist die Wirkung“, sagte Arrieta. „Und wenn Sie das nötige Kleingeld haben, um einen Fortune 5 ins Visier zu nehmen Unternehmen … jeder in den Vereinigten Staaten, egal in welcher Branche Sie arbeiten, sollte das als Warnung verstehen.“
Bei seinem Solotraining im Süden von New Jersey sagte Craig Wax, seine Abrechnung sei „rückständig, auf dem Kopf stehend und in Flammen“. Der Arzt betreut Patienten jeden Alters und akzeptiert mehrere Arten von Versicherungen. Dabei verlässt er sich auf ein kleines Abrechnungsunternehmen, das einen Softwareanbieter nutzt, der auf der Plattform von Change basiert.
„Wir werden auf Papier verzichten“ – Ansprüche auf Papierformularen einreichen – „und hoffen, dass Versicherungsunternehmen auf Papieransprüche reagieren“, sagte er.
Einige der hartnäckigsten Kritiker des US-amerikanischen Gesundheitssystems, wie die Association of American Physicians and Surgeons – die Programme wie Medicare, das Krankenversicherungsprogramm der Bundesregierung für ältere Amerikaner, ablehnt – verweisen auf den Change Healthcare-Hack als weiteren Grund zur Skepsis des aktuellen Zahlungsmodells.
Die Geschäftsführerin der Gruppe, Jane Orient, sagte, der Vorfall „zeige die Katastrophe, die aus der Abhängigkeit von zentralisierten Netzwerken und Zahlungen Dritter resultieren kann“.
Laut Krankenhausgruppen waren mittelgroße bis große Krankenhaussysteme im ganzen Land in unterschiedlichem Maße von dem Cyberangriff betroffen.
Die Minnesota Hospital Association sagte, dass die Abrechnungssysteme einiger ihrer Mitglieder lahmgelegt seien und nicht in der Lage seien, Ansprüche zu bearbeiten und keine Erstattungen zu erhalten. Der Change Healthcare-Hack folgt auf einen weiteren lokalen Cyberangriff, der eine Radiologiepraxis in Minnesota traf.
„Es besteht wachsende Besorgnis über die anhaltenden Auswirkungen auf die Patientenversorgung und die Betriebsstabilität“, sagte der Verband in einer E-Mail. „Dies stellt eine erhebliche Belastung für die finanzielle Nachhaltigkeit des Gesundheitssystems dar.“
In einem Update für seine Mitglieder, das am Montag veröffentlicht werden sollte, teilte der Verband, der Krankenhäuser in Massachusetts vertritt, mit, dass viele seiner Mitglieder sich von allen Systemen von Change Healthcare getrennt hätten, nachdem sie von dem Hack erfahren hatten.
Krankenhäuser bemühten sich, alternative Zahlungswege mit Versicherungsgesellschaften im Bundesstaat einzurichten, sagte der Verband. „Es handelt sich um eine weitere finanzielle Notlage in einem System, das bereits darum kämpft, über Wasser zu bleiben“, sagte Karen Granoff, leitende Direktorin für Managed-Care-Politik der Massachusetts Hospital Association, in der Aktualisierung.
Im Universitätskrankenhaussystem in Cleveland habe der Ausfall die Möglichkeiten der Patienten beeinträchtigt, verschreibungspflichtige Medikamente in Einzelhandels- und Spezialapotheken zu erhalten, obwohl die internen Apotheken des Krankenhaussystems nicht betroffen seien, sagte ein Sprecher in einer per E-Mail versandten Erklärung.
Laut Mary C. Mayhew, Präsidentin und CEO der Florida Hospital Association, sind in Florida inzwischen wöchentliche Abrechnungen in Höhe von Hunderten Millionen Dollar versiegt, und der Schaden könnte bald eine Milliarde Dollar erreichen.
„Diese Krankenhäuser bauten ihren Betrieb auf täglichen Zahlungen für die von ihnen erbrachte Pflege auf, und das kam schlagartig zum Erliegen – und wir befinden uns jetzt am 11. Tag seit dem Angriff“, sagte sie.
Ein Mangel an substanziellen Informationen von UnitedHealth habe die Situation verschlimmert, fügte sie hinzu und stellte fest, dass die Umstellung auf die manuelle Einreichung von Ansprüchen oder die Suche nach einer anderen Clearingstelle keine akzeptablen Lösungen seien. Letzteres könnte nach Angaben eines ihrer Mitgliedskrankenhäuser 90 Tage dauern, sagte sie.
Und während größere Systeme möglicherweise in der Lage sein könnten, die Krise durch die Erschließung von Reserven zu überstehen, warnte Mayhew, dass die meisten kommunalen Krankenhäuser Opfer eines Angriffs auf eine Geschäftseinheit seien das durch seine Marktdominanz Schwachstellen geschaffen hat.
„Wenn Sie ein kleines oder mittelgroßes Krankenhaus sind, das bereits mit einer sehr geringen Marge und einer schwierigen Cashflow-Situation zu kämpfen hat, ist das katastrophal“, sagte sie.