Ransomware-Angriff auf Arztdienstleister medatixx

Sicherheit[English]Der Dienstleister für Arztpraxen, die medatixx GmbH & Co. KG, ist Mitte vergangener Woche Opfer eines Ransomware-Angriffs geworden. Nicht nur der Unternehmensbetrieb, bei dem Dienstleistungen für Arztpraxen erbracht wird, ist betroffen. Es könnten auch Daten von Kunden abgeflossen sein.


Anzeige

Die medatixx GmbH & Co. KG bietet die Praxissoftware medatixx an, die laut Eigenaussage alle Grundanforderungen, die eine Arztpraxis an Arztsoftware stellt erfüllt, und kann nach eigenen Wünschen individuell konfiguriert werden. Im Diskussionsbereich hat ein Leser heute auf diese Mitteilung der metatixx GmbH & Co. KG hingewiesen, die einen Ransomware-Angriff bestätigt.

Wichtige Information: Cyberattacke auf medatixx GmbH & Co. KG

Eltville & Bamberg, 08.11.2021, 12 Uhr

Sehr geehrte Damen und Herren,

unser Unternehmen wurde Mitte vergangener Woche Ziel eines Cyber-Angriffs, bei dem wichtige Teile unseres internen IT-Systems verschlüsselt wurden. Infolgedessen sind unsere Erreichbarkeit sowie der gesamte Unternehmensbetrieb derzeit stark beeinträchtigt.

Zum Schutz unserer Kunden, Mitarbeiter und Partner unternehmen wir gemeinsam mit IT-Sicherheitsspezialisten alle notwendigen Schritte, um dem Angriff mit gezielten Maßnahmen entgegenzuwirken und dessen Auswirkungen zu beseitigen. Die Ermittlungsbehörden und die für uns zuständige Datenschutzbehörde sind ebenfalls eingeschaltet.

Der Fokus unserer Aktivitäten liegt auf der schnellstmöglichen Wiederherstellung der Erreichbarkeit unseres zentralen und regionalen Supportes und der Herstellung der Arbeitsfähigkeit aller weiteren, für Ihren Praxisbetrieb unverzichtbaren Unternehmensbereiche.

Nach jetzigem Stand richtete sich der Angriff gegen medatixx als Unternehmen, nicht gegen unsere Kunden. Die Funktionalität der Systeme in Ihrer Praxis / Ihrem MVZ / Ihrer Ambulanz ist nach heutigem Erkenntnisstand nicht betroffen.

Ob und in welchem Umfang Daten auch entwendet wurden, ist zum heutigen Zeitpunkt nicht bekannt. Es kann daher nicht ausgeschlossen werden, dass bei uns gespeicherte Daten entwendet wurden. Wir empfehlen Ihnen deshalb ausdrücklich, unverzüglich vorsorglich Ihre Passwörter zu ändern. Detaillierte Anleitungen finden Sie auf www.medatixx.de.

  • Ändern Sie die Passwörter für Ihre Praxissoftware. Eine Anleitung finden Sie hier.
  • Ändern Sie die Passwörter Ihrer Windows-Anmeldung an Ihren Arbeitsplätzen, an Ihrem Server und in Ihren Firewalls. Anleitung
  • Ändern Sie die Passwörter Ihres TI-Konnektors. Anleitung
  • Überprüfen Sie die in Ihrer Einrichtung geltenden Regeln zum Umgang mit der Nutzung des Internets und mit E-Mails und sensibilisieren Sie Ihr Team nochmals. Achten Sie insbesondere auf verdächtige Anhänge und Links in E-Mails; auch wenn diese den Absender „medatixx" tragen. Hier gilt: Wir werden Sie per Mail niemals um Daten, Kennwörter etc. bitten. Empfehlungen zum rechtskonformen und sicheren Umgang mit Daten finden Sie auf den Webseiten der KBV (kbv.de; IT-Sicherheitsrichtlinie) und des Bundesamtes für Sicherheit in der Informationstechnik (bsi.bund.de).

Unsere selbstständigen regionalen Vertriebspartner sind nach unserem Kenntnisstand von diesem Angriff nicht betroffen.

In den nächsten Tagen werden wir die Ihnen bekannten Rufnummern und Mailadressen der zentralen Services und unserer medatixx-Niederlassungen schrittweise wieder in Betrieb nehmen. Die Ihnen bekannten Mobilnummern unserer Mitarbeiter sind unverändert erreichbar.

Bei dringenden Anliegen rund um Ihre Praxissoftware senden Sie bitte eine Mail an akutservicemedatixxde (gelöscht)

Wir werden uns schnellstmöglich um Ihr Anliegen kümmern.

Bitte informieren Sie sich fortlaufend auf unserer Webseite www.medatixx.de; hier werden wir Sie über die aktuellen Entwicklungen auf dem Laufenden halten.

Wir bedauern die Ihnen durch diese kriminelle Attacke entstehenden Umstände gerade in der aktuell IT-seitig herausfordernden Zeit für Ihre Einrichtung und sichern Ihnen zu, dass wir alle Anstrengungen unternehmen, um schnellstmöglich zu einem normalen Geschäftsbetrieb zurückkehren zu können.

Freundliche Grüße im Namen des gesamten Teams  der medatixx

Jens Naumann             Dr. Jan Oliver Wenzel
Geschäftsführung        Geschäftsführung

Klingt nicht wirklich gut. Bleibt zu hoffen, dass keine Kunden- und Patientendaten erbeutet wurden. Der Anbieter empfiehlt Kunden ihre Kennwörter für den Zugang zur Software zu ändern.

Ergänzung: heise schreibt hier, dass der Anbieter für ca. 1/4 der Arztpraxen zuständig ist. Sofern Passwörter für den Zugriff auf die Telematik-Infrastruktur durch den Ransomware-Angriff erbeutet wurden, dürfte man noch einiges zu erwarten sein.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

24 Antworten zu Ransomware-Angriff auf Arztdienstleister medatixx

  1. Karel sagt:

    Ich glaube da sollten jetzt sehr viele schwitzen und hoffen, dass da kein Supply-chain-Angriff gefahren wurde. Angeblich versorgt Medatixx 25% der Arztpraxen in Deutschland, wenn die alle mit Malware-Patches infiltriert wurden… gute Nacht!
    Ich kann mir nicht vorstellen, dass mein Hausarzt um die Ecke mit seiner Telematik da etwas gegen tun könnte. Der hat vermutlich noch nie etwas von Supply-chain-Angriffen gehört. Muss er ja auch nicht. Und selbst wenn… meine Gesundheitsdaten wären in diesem Fall potentiell weg!
    Wer haftet dann eigentlich?

    • Singlethreaded sagt:

      Ich denke, damit eine Haftung greifen könnte, müsste erstmal der Schaden beziffert werden und das wäre dann in jedem Einzelfall zu bewerten. Ich kann mir auf jeden Fall nur schwer eine pauschale Entschädigung für den Datenverlust vorstellen. Das hängt massiv von den Patientendaten selbst und deren missbräuchlicher Verwendung ab.
      Auch hätte ich die Sorge, dass der Patient die undankbare Aufgabe bekommt seinen konkreten Schaden nachzuweisen, was in einem solchen Fall oft schwer, aufwendig und teuer sein kann. Man kann nur hoffen, dass das Horrorscenario eines Lieferkettenangriffes hier nicht eingetreten ist.
      Ansonsten steht man als Betroffener erstmal wohl ziemlich im Regen.

      • Max sagt:

        Die Datenbanken von Abrechnungsprogrammen sind in aller Regel lokal. Mir ist bislang keine Abrechnungssoftware bekannt, wo die Datenbank für Patientenstammdaten und deren Diagnosen zentral auf den Servern der Anbieter gespeichert werden. Dürfte glaube ich auch nur schwer zu vermarkten sein.

        Die Ransomware scheint das Unternehmen selbst und nicht die Kunden im Blick gehabt zu haben. Ein "Angriff" auf die Endkunden müsste gewährleisten, dass die Praxen untereinander vernetzt sind. Genau das ist nicht der Fall.

        • Singlethreaded sagt:

          Aber der Dienstleister liefert doch regelmäßig Updates an die Praxen aus, um die Software zu pflegen oder aktuelle gesetzliche Vorgaben im Gesundheitswesen zu implementieren. Was ist wenn eines dieser Updates durch die Angreifer manipuliert wurde und die Arztpraxen per Update vom Hersteller eine Backdoor erhalten haben? Ich sage nur: Solarwinds

          • Max sagt:

            Bei medatixx werden die Updates über ein Programm (x.servicecenter) ausgerollt. Installieren muss man sie noch selbst.

            Ein kompromittiertes Update würde dann seine Wucht entfalten, wenn Kunden es aktiv installieren.

            Ich gehe davon aus, dass medatixx die Verbindung zu den eigenen Updateservern gekappt hat. Zumindest wäre das nötig, würde man den Schaden in Grenzen halten wollen.

          • Singlethreaded sagt:

            Ja, das kann man nur hoffen. Die Frage ist aber wie lange die Angreifer eigentlich schon in den Systemen aktiv ihr Unwesen treiben? Vielleicht ist das Update auch schon seit Wochen raus und die Verschlüsselung jetzt ist nur der letzte Akt.
            Der Solarwinds Hack lief damals auch von September 2019 bis März 2020 und das bei einer Firma, welche auf Netzwerk-Management spezialisiert ist. Hier würde man noch ehr erwarten, dass dort das Knowhow vorhanden ist ungewöhnliche Vorgänge in den eigenen Netzen zu erkennen.
            Vieles ist aktuell unbekannt und wir können nur spekulieren. Ich würde aber die theoretische Möglichkeit eines erweiterten Kreises der Betroffenen nicht komplett ausschließen. Das wäre aus meiner sich zu früh und auch fahrlässig.

          • Kynikos sagt:

            >> Bei medatixx werden die Updates über ein
            >> Programm (x.servicecenter) ausgerollt.
            >> Installieren muss man sie noch selbst.

            Bliebe noch "medatixx" (die Software, nicht die Firma):

            https://www.aerztezeitung.de/Wirtschaft/medatixx-meldet-1000-Nutzer-in-der-Cloud-232234.html

            Grundprinzip: Logik in der Cloud, Daten in den Praxen; daraus folgt die spannende Frage, ob die (für alle Praxen zentral in der Cloud liegende) Logik kompromittiert wurde und ggfs. Daten abfließen können …

          • Max sagt:

            @Kynikos:
            Da müsstest du nur richtig lesen. Steht sogar in dem von dir verlinkten Artikel, was mit "Cloud" gemeint ist. ;)

            Zitat:
            "Dabei liegen medizinische und persönliche Daten auf dem Rechner in der Praxis. Öffentliche Listen und Kataloge wie EBM-Stammdaten, Blankoformularvorlagen oder Medikamentendatenbank liegen in der Cloud und werden dort automatisch upgedatet. Zusatzlösungen wie die Online-Terminbuchung oder die Möglichkeit, die Software mit dem Sprachsteuerungstool x.voice zu bedienen, seien mittlerweile realisiert."

          • Karel sagt:

            @Max (Beitrag von 22:04):
            Interessant wäre da die Frage, wieviele Praxis-User bei einem angebotenen Update einfach draufklicken und installieren, oder ignorieren solange alles läuft, oder wirklich die Releasenotes lesen und bewusst entscheiden, oder ohnehin alles mit EDV (auch Updates) an die Servicepartner abgegeben haben.

          • Singlethreaded sagt:

            Die meisten werden installieren. Mal Hand aufs Herz: Fast jeder geht doch davon aus, dass Updates vom Hersteller "sauber" sind. Ich kann Updates schon fachlich nicht mit letzter Gewissheit auf Schadcode prüfen. Auch wäre dies zeitlich bei der Menge an Updates ebenfalls nicht zu machen. Genau das macht Lieferkettenangriffe ja so besonders gefährlich. Es erwischt auch diejenigen, welche eigentlich alles richtig gemacht haben.

          • Max sagt:

            @Karel:
            Meine Erfahrung bei medatixx und einem anderen Anbieter (mit Fokus auf vertragspsychotherapeutische Praxen) zeigt, dass gut Dreiviertel erst kurz vor oder kurz nach einem Quartalswechsel die Updates einspielen. Wir haben die Kunden zwar immer wieder eingetrichtert auch kleinere Updates zwischendurch "mitzunehmen", weil sich dadurch beispielsweise Bugs beseitigen, die sonst im Ticketsystem wiederholt anfallen, aber ein nicht unerheblicher Teil ignoriert dies mehr oder weniger.

            Die Servicepartner sind oft eigentlich "nur" Ansprechpartner, wenn es um Installationen, Fehlerbeseitigungen (also klassischer Support) und Anpassungen geht. Updates spielen da weniger eine Rolle, weil die Praxen hier die Hoheit haben.

  2. Max sagt:

    Bis vor einem Jahr habe ich für das Unternehmen gearbeitet. Der Marktanteil liegt sogar bei rund 28 Prozent @Karel. ;)

    • Niels sagt:

      Hast du eine Erklärung warum man sein Windows Passwort ändern soll? Das würde mich Interessieren.

      • Max sagt:

        Das ist ein Standardvorgehen, um auszuschließen, dass nicht irgendwelche Verbindungen zu den Praxen erwischt wurden.

        Hintergrund könnte aber auch schlicht der lokale Datenbankserver sein, der oft ein "klassischer" SQL-Server ist. Hierbei werden oft die Anmeldedaten von Windows hinterlegt, wenngleich der "gemischte Modus", also die Trennung von SQL-Server und Windows, empfohlen wird.

        Beim medatixx-Server wird in der Regel über die Windows-Authentifizierung des aktuellen Benutzers verbunden.

  3. Matschmeer sagt:

    In diesem Fall wäre eine Praxis betroffen, wenn über ein Update Schadsoftware eingespielt würde. Mitten im Quartal findet das eher selten statt.
    Es gibt eine Onlineverbindung mit einem kleinen Tool, das aktuelle Infos von Medatixx herunterlädt und anzeigt. Das kann man wohl abschalten. Ansonsten liegen evtl. Informationen über Zugangsdaten der Arztsoftware usw. vor, wenn diese der Support notiert und dokumentiert hätte. Dies ist aber eher bei den betreuenden Medatixpartnern der Fall.
    Hoffen wir also das Beste und drücken den Jungs alle Daumen.

    • Karel sagt:

      Mein Hausarzt um die Ecke sagte erst letzte Woche bei einer Impfung, dass er diese Quartal wegen der eAU noch sehr viele nachträgliche weitere Updates einspielen musste. Allerdings nutzt er soweit ich weiss kein Medatixx. Zusätzlich ist er wohl schon länger verpflichtet, seine Medikamentendatenbank alle vier Wochen zu aktualisieren.
      Und -aber das ist Spekulation-: wer sagt denn, dass der Angriff wirklich erst seit Mitte letzter Woche läuft? Die sind doch häufig schon sehr viel länger in den kompromittierten Netzwerken unterwegs?!
      Auch ich drücke allen die Daumen!

  4. DVO sagt:

    MediaMarkt und Saturn auch.

  5. Kassandra sagt:

    So viele Ausfälle dieser Tage – sowas aber auch, war da nicht was mit "Cyber Polygon"?

    In zwei Tagen wird der "Great Narrative" für den "Great Reset" besprochen, dafür braucht man vielleicht etwas sanften Druck auf die Teilnehmer, was alles so passieren könnte, sowas sagen zumindest diese komischen Verschwörungstheoretiker im Netz.

    hxxp://www.weforum.org/events/the-great-narrative-2021

    > The Great Narrative meeting is a linchpin of the Great Narrative initiative, a collaborative effort of the world's leading thinkers to fashion longer-term perspectives and co-create a narrative that can help guide the creation of a more resilient, inclusive and sustainable vision for our collective future.

    Passen würde es ganz gut, ähnlich wie damals beim "Event 201".

  6. DVO sagt:

    Die medatixx GmbH & Co. KG bietet unterschiedliche Praxissoftwareversionen für unterschiedliche Kundenbedürfnisse an. Von schlicht bis luxuriös.
    Siehe https://arztsoftware.medatixx.de/start
    #
    Eine Tochter ist die I-Motion GmbH, welche sich z.B. um die TI kümmert.
    Siehe https://www.i-motion.de/Homepage/Impressum
    #
    Beispiel x.concept. Zur Software gehört ein Programmmodul, der Serviceprovider, welcher auf dem Server läuft und die Schnittstelle zwischen der lokalen Softwareinstalltion und der Cloud darstellt. Wenn der nicht läuft, …
    #
    Über sie wird im Hintergrund automatisch z.B. die Medikamenten-DB gepflegt, s.o.
    #
    Die Software enthält mittlerweile auch ein Modul für die TI. Dort werden z.B. die TI-Konnektoren, Kartenlesegeräte sowie die Lizenzen für diese verwaltet. Die Praxis soll damit z.B. die Firmwareupdates von TI-Konnektoren durchführen. Ohne je eine wichtige Doku dazu gesehen zu haben. Schaut zum Spaß mal in die Release Notes eines TI-Konnektors oder in eine andere Doku. z.B. hier: https://web.archive.org/web/20220215134956/https://www.secunet.com/loesungen/einboxkonnektor
    #
    Sicherheit im Gesundheitswesen oder in Arztpraxen, der war gut. *g*

  7. gamification top scorer sagt:

    bei medatixx z.b. xisynet wird ein riesen monolithischer installer mindestens einmal im quartal via diesem xservicecenter download/portal tool geliefert. da ist garnichts mit teile davon excludieren oder selber bestimmen was du installieren willst oder was nicht. das drin buegelt alles auf das system was mitkommt bzw was du lizensiert hast, und was bereits vorhanden und aeltere version am system ist und dann eben upgraded wird. ich weiss ja nicht wasfuer vorstellungen hier grassieren was diese softwarefirmen so zu leisten im stande sind. das sind gigantische servicepacks der software und das wars.

    klar gibt es paar seiten pdf readmes. da ist aber meist von abrechnungen und medizinischen situationen und neuheiten die rede. nichts wirklich technisches oder das ist mal die ausnahme. dann gibt es sogar zureuckgezogene updatepackas oder dann erneut publizierte, und oft in den quartalen auch mehr als blos das eigentliche haupt quartalsupdate.

    das laeuft mit vollen adminrechten auf den servern oder workstations durch, wie auch sonst auf der windows welt. wir reden hier bei medatixx partnern von solchen loesungsvorschlaegen wie "schalten sie mal bitte ihre firewall und antivirensoftware aus" und aehnliche konzepte.

    viel spass noch in der deutschen gesundheits it.

  8. janil sagt:

    Ärzte, Heimelektronik-Anbieter, Datev… Man könnte denken, da steckt eine größere Unternehmung dahinter. Es wirkt auf den Laien zu konzentriert und auf einmal.
    Und alle sind, wie immer, gut vorbereitet
    Momentan holt die Realität, die Filme ein.

  9. TiX sagt:

    Es kann natürlich sein, dass es reiner Zufall ist, aber ich habe mich schon gewundert, warum ich plötzlich am 30.10. Spam-SMS erhalten habe. Die Mobilfunknummer habe ich nicht vielen gegeben, zuletzt habe ich sie aber bei meinen Ärzten hinterlegt.

  10. DVO sagt:

    Was medatixx-Kunden jetzt wissen müssen / FAQ / 08.11.2021

    https://web.archive.org/web/20231002155652/https://medatixx.de/thema/detail/was-medatixx-kunden-jetzt-wissen-muessen

    # Dort, Stand eben
    Hier finden Sie fortlaufend aktualisierte FAQ.
    [https://medatixx.de/fileadmin/user_upload/Stoerung/20211108_FAQ-Kunden_V1-0.pdf]

    # Aus den FAQ
    "FAQ für medatixx-Kundinnen und -Kunden zur Cyber-Attacke auf
    medatixx

    [Version 1.0, 08.11.2021; 12 Uhr]

    1. Von wem wurde der Angriff ausgeführt?
    Es handelt sich um einen kriminellen Angriff. Wir arbeiten eng mit den
    Ermittlungsbehörden zusammen. Bitte haben Sie Verständnis dafür, dass wir uns
    derzeit nicht zu Details äußern.

    2. Wie sind Sie auf den Angriff aufmerksam geworden?
    Wir haben am 3. November 2021 ungewöhnlichen Verkehr (Traffic) zwischen den
    Servern der medatixx und fremden IP-Adressen festgestellt. Daraufhin wurden erst durch unsere interne IT sowie unter Hinzuziehung unserer externen Partner die Ursache untersucht und unverzüglich Forensiker eingeschaltet. Es hat sich dann herausgestellt, dass es sich um einen Ransomware-Angriff handelt."

Schreibe einen Kommentar zu gamification top scorer Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.