Change und ein Konkurrent, CoverMyMeds, sind die beiden größten Akteure im sogenannten Switch-Geschäft und verlangen von Apotheken eine geringe Gebühr für die Weiterleitung von Ansprüchen an Versicherer.
„Wenn einer von ihnen ausfällt, ist das natürlich ein großes Problem“, sagte Patrick Berryman, Senior Vice President der National Community Pharmacists Association.
Ein berüchtigter russischsprachiger Ransomware-Ring namens ALPHV machte sich den Verstoß vom 21. Februar zu eigen und beendete damit eine Reihe von Angriffen, an denen mehrere Krankenhäuser beteiligt waren.
Die anhaltenden Probleme unterstreichen die anhaltende Fragilität kritischer Infrastrukturen, fast drei Jahre nachdem ein Ransomware-Angriff auf Colonial Pipeline zur Abschaltung des größten Kraftstoffpipeline-Netzwerks des Landes geführt hatte. Tankstellen, insbesondere in der östlichen Hälfte der Vereinigten Staaten, hatten keinen Treibstoff mehr, da die Verbraucher sich beeilten, nachzutanken.
Seitdem haben US-Beamte und ihre internationalen Partner eine Reihe von Operationen angekündigt, zu denen das Hacken der Banden, die Übernahme ihrer Chats mit Geschäftspartnern und in einigen Fällen Festnahmen gehörten. ALPHV war im Dezember Ziel einer Abschaltung, die jedoch nur von kurzer Dauer war.
US-Apotheken meldeten ein breites Spektrum an Auswirkungen, wobei unabhängige Geschäfte einige der schlimmsten Probleme hatten.
UnitedHealth schätzte, dass mehr als 90 Prozent der über 70.000 Apotheken des Landes aufgrund des Change-Ausfalls die Art und Weise ändern mussten, wie sie elektronische Anträge bearbeiten, sagte jedoch, dass nur eine kleine Anzahl von Patienten ihre Rezepte nicht zu einem bestimmten Preis erhalten konnte.
Bei CVS, das eines der größten Apothekennetzwerke des Landes betreibt, sagte ein Sprecher, dass es aufgrund des Ausfalls „eine kleine Anzahl von Fällen gibt, in denen unsere Apotheken nicht in der Lage sind, Versicherungsansprüche zu bearbeiten“. Es hieß jedoch, dass Workarounds es ihm ermöglichen würden, Rezepte auszufüllen.
Viele Apotheken haben damit begonnen, Ansprüche über CoverMyMeds weiterzuleiten, das am 22. Februar eine Mitteilung online gestellt hat: „Hier gibt es keine Ausfälle.“ Das zu McKesson gehörende Unternehmen reagierte am Donnerstag nicht auf eine Bitte um Stellungnahme.
Für Apotheken, die nicht in der Lage waren, Ansprüche schnell an ein anderes Unternehmen weiterzuleiten, mussten die Apotheker aufgrund des Change-Ausfalls versuchen, die Zuzahlung eines Patienten manuell zu berechnen oder ihnen den Barpreis anzubieten.
Um die Auswirkungen zu verstärken, haben Tausende von Organisationen Change von ihren Systemen abgeschnitten, um sicherzustellen, dass die Hacker nicht auch ihre Netzwerke infizieren.
Optum Rx, das eigene Apothekendienstleistungsunternehmen von UnitedHealth, sagte, es sei zu unverbunden, werde aber keine Apotheken bestrafen, die sich nach besten Kräften bemühten, herauszufinden, ob ein bestimmtes Medikament für einen Patienten abgedeckt sei. Optum sagte in einem Brief an diese Apotheken, dass es „sich dazu verpflichtet hat, alle Ansprüche zu erstatten, die angemessen sind und in gutem Glauben und unter der Voraussetzung erfüllt sind, dass ein Medikament abgedeckt sein sollte.“
Der Angriff auf Change hat bei vielen Apotheken zu einer Liquiditätskrise geführt, da sie mit Rechnungen der Unternehmen rechnen müssen, die die Medikamente liefern, ohne zu wissen, wann sie von den Versicherern erstattet werden.
Einige Apotheken verlangen von Kunden, dass sie den vollen Preis für ihr Rezept bezahlen, wenn sie nicht wissen können, ob sie versichert sind. Laut Social-Media-Beiträgen bedeutet dies in einigen Fällen, dass Menschen mehr als 1.000 US-Dollar aus eigener Tasche zahlen.
Der Ausfall hat auch zu verheerenden Folgen für Patienten geführt, die Gutscheine von Arzneimittelherstellern nutzen, um ihre Rezepte vergünstigt zu erhalten. Einige berichteten, dass ihnen gesagt wurde, dass das Gutscheinsystem auch auf Wechselgeld angewiesen sei.
Amy Ginsburg, eine Bewohnerin von Bethesda, sagte, dass ihr örtlicher CVS einen Coupon, den sie für ihre Diabetes-Medikamente verwendet, nicht verarbeiten konnte.
„Normalerweise wäre es eine Zuzahlung von 25 US-Dollar, aber tatsächlich wird es eine Zuzahlung von 250 US-Dollar sein“, sagte sie. Ginsburg, 62, hat noch einige Medikamente übrig und will mit der Nachfüllung bis nächste Woche warten, in der Hoffnung, dass sich die Situation bis dahin klären wird.
„Wenn ich nicht genügend Mengen zur Überbrückung hatte, könnte das schwerwiegende Folgen haben“, sagte sie. „Nicht jeder hat zusätzliche 250 US-Dollar, die er nicht ausgeben wollte.“
Die Situation sei „extrem beunruhigend“ gewesen, sagte Erin Fox, stellvertretende Chief Pharmacy Officer an der University of Utah Health.
„In unserem System stellten unsere Einzelhandelsapotheken drei Tage lang kostenlose Notfallversorgung für Patienten bereit, die es sich nicht leisten konnten, den Barpreis zu zahlen“, sagte Fox per E-Mail. „In manchen Fällen, wie zum Beispiel bei Inhalatoren, mussten wir Produkte unter Risiko versenden, ohne zu wissen, ob wir jemals bezahlt werden, aber wir müssen uns um die Patienten kümmern.“
Axis Pharmacy Northwest in der Nähe von Seattle „geht aufs Ganze und gibt Produkte ab, ohne zu ahnen, ob wir dafür bezahlt werden oder nicht“, sagte Richard Molitor, der verantwortliche Apotheker. „Die wahrscheinlich größten Auswirkungen hatten wir bei unserer Hospizklientel, deren Ansprüche überhaupt nicht berücksichtigt werden.“
Der Change-Ausfall war für unabhängige Apotheken besonders hart, da sie nur Rezepte sehen können, die ein Patient in ihrer Apotheke eingelöst hat – und nicht diejenigen, die der Patient in einer anderen Apotheke eingelöst hat. Der „Schalter“ verbindet unabhängige Apotheken mit Versicherern oder Apotheken-Leistungsmanagern, die eine umfassendere Sichtweise haben.
Das bedeutet, dass kleine Apotheken nicht wissen, ob ein von ihnen abgegebenes Medikament mit einem anderen Medikament interagiert, das ein Patient in einer anderen Apotheke erhalten hat, oder ob ein Patient versucht, eine kontrollierte Substanz aus mehreren Apotheken einzukaufen.
„Sie agieren im Blindflug, wenn es um Rezepte geht, die in anderen Apotheken eingelöst werden“, sagte Berryman, Beamter der National Community Pharmacists Association.
ALPHV ist eine der größten Gruppen, die „Ransomware as a Service“ anbietet und Erpressungsgelder mit Partnern aufteilt, die das eigentliche Hacken durchführen und dann das BlackCat-Ransomware-Verschlüsselungsprogramm von ALPHV installieren. ALPHV kümmert sich dann um die Drohungen und Verhandlungen.
Die Gruppe hat auf diese Weise mehr als 300 Millionen US-Dollar eingesammelt und so hochkarätige Ziele wie den Caesars Palace in Las Vegas erreicht.
Im Dezember teilte das Justizministerium mit, dass es und Partnerländer ALPHV gehackt und Hunderte von Entschlüsselungsschlüsseln wiederhergestellt hätten, sodass die Opfer ihre Daten ohne Bezahlung zurückerhalten könnten, und einige Analysten sagten voraus, dass sich die Gruppe von dem internen Eindringen nicht erholen werde.
Aber wie die vergangene Woche gezeigt hat, war ALPHV kaum behindert. ALPHV tauchte innerhalb weniger Tage auf einer anderen Website wieder auf und kündigte Rache an. Sie forderte ihre Mitgliedsorganisationen auf, in sensiblere amerikanische Ziele einzubrechen.
„Diese von den Strafverfolgungsbehörden verursachten Störungen sind am effektivsten, wenn sie mit einer Festnahme oder der Identifizierung von Informationen über Einzelpersonen einhergehen“, sagte Adam Meyers, Senior Vice President of Intelligence beim Sicherheitsunternehmen CrowdStrike.
Gruppen, die für Partner offen sind, seien besonders widerstandsfähig, es sei denn, das Vertrauen unter den Kriminellen werde gebrochen, sagte Chris Krebs, ehemaliger Leiter der US-amerikanischen Cybersecurity and Infrastructure Security Agency.
„Wenn Sie dauerhafte und langanhaltende Auswirkungen erzielen möchten, müssen Sie einige dieser Leute vom Spielfeld entfernen“, sagte Krebs. „Aber es warten noch mehr Leute in den Startlöchern.“