Gerade findet die Digital Health Messe (DMEA) in Berlin statt, wo Digitalisierung in der Medizin bejubelt wird. Ich biete ein Alternativprogramm: Der Krankenkassen-IT-Dienstleister Bitmarck ist (möglicherweise erneut) Opfer eines Cyberangriffs. Und das Klinikum Hochsauerland GmbH hat mit diesem Thema ebenfalls Bekanntschaft gemacht. Hier einige Hinweise zu diesen Vorfällen.
Anzeige
Krankenkassen-IT-Dienstleister Bitmarck
Es ist ein Vorfall, den man sich (auch auf Grund des Themas elektronische Patientenakte, ePA), auf der Zunge zergehen lassen sollte. Der Krankenkassen-IT-Dienstleister Bitmarck wurde erneut Opfer eines Cyber-Angriffs. Ich wurde sowohl von einem Blog-Leser als auch über diesen Tweet auf den Vorfall aufmerksam. Der Blog-Leser schrieb (danke für den Hinweis):
Der Krankenkassen-IT-Dienstleister Bitmarck wurde/wird erneut angegriffen. Seit gestern schon bekamen wir für die elektronisch zu übermittelnden eAUs bei einigen BKKen keine Empfangsbestätigungen mehr, heute kommen sie unzustellbar zurück.
Das Ganze ist wohl bereits am 25. April 2023 passiert, als der IT-Dienstleister Bitmarck Zugriffe auf interne IT-Systeme über seine internen Sicherheitssysteme bemerkte. Darauf hin wurden IT-Systeme gezielt abgeschaltet. Auf der Webseite von Bitmarck findet sich eine entsprechende Information, die Hinweise auf den Cyber-Angriff bestätigt und von Störungen und Einschränkungen im Tagesgeschäft berichtet.
Dadurch komme es laut IT-Dienstleister bei den von Bitmarck betreuten gesetzlichen Krankenkassen im Tagesgeschäft zu "vorübergehenden technischen Störungen und Einschränkungen". Das deckt sich mit der Beschreibung des Lesers – und auf der Gematik-Störungsseite finden sich einige Einträge:
Einschränkung bei der Nutzung der elektronischen Gesundheitskarte (eGK)
Letzte Aktualisierung 26.04.2023 08:00 Uhr
Derzeit kann es zu Einschränkungen bei der Nutzung von elektronischen Gesundheitskarten (eGK) des Kartenherausgebers BITMARCK Technik GmbH kommen. Dadurch sind u. a. unmittelbare Auswirkungen auf die Nutzung der Anwendungen, die mit einer eGK durchgeführt werden, z.B. das Einlesen der Karte am Terminal in einer Praxis (VSDM – Versichertenstammdatenmanagement) oder das Einlösen von neuen Rezepten per E-Rezept-App, möglich. Die BITMARCK Technik GmbH ist bereits in der Analyse, um die Ursache schnellstmöglich zu beheben. Weitere Informationen folgen zeitnah nach neuem Kenntnisstand.
11:15 Uhr: Die Ursache der Störung konnte identifiziert und behoben werden.
Einschränkungen bei der Nutzung von ePA und KIM
Letzte Aktualisierung 26.04.2023 15:15 Uhr
Nach aktuellem Kenntnisstand sind die Störungen Nebeneffekte von Sicherheitsmaßnahmen, die die BITMARCK-Unternehmensgruppe ergriffen hat, da deren Frühwarnsysteme Angriffe auf interne Systeme gemeldet haben. Dieser Sicherheitsvorfall betrifft nach aktuellem Kenntnisstand nicht die Telematikinfrastruktur (TI). Die gematik steht im kontinuierlichen Austausch mit der BITMARCK-Unternehmensgruppe, damit diese Störungen möglichst zeitnah behoben werden.
Das Ärzteblatt informiert in diesem Artikel über die Auswirkungen des Angriffs. Dort heißt es, es könne zu einem verzögerten Versand und Empfang bei den bei der Bitmarck Service GmbH registrierten KIM-Adressen kommen. Betroffen sind die Zustellung von elektronischen Arbeitsunfähigkeitsbescheinigung (eAU) oder einem elektronischen Arztbrief. Auf der Webseite scanacs.de werden folgende Krankenkassen als betroffen aufgelistet:
- Audi BKK
- BAHN-BKK
- BKK Miele
- BKK Pfalz
- Bosch BKK
- hkk
- pronova BKK
- Siemens BKK
- IKK – Die Innovationskasse
- mhplus
- BMW BKK
- BKK VBU
- vivida bkk
- IKK Classic
Bitmarck schreibt aber, dass keine Daten abgeflossen seien (hier muss sicherlich abgewartet werden, ob das wirklich so stimmt). Der Ärztenachrichtendienst vermutet, dass "bis Ende der Woche bei einigen Krankenkassen größere Probleme inkl. fehlender telefonischer Erreichbarkeit bestehen werden".
Was mich an dieser Meldung ganz hibbelig werden lässt: Es wurde ein IT-Dienstleister angegriffen, und es fallen reihenweise Dienste für Krankenkassen aus – die sind selbst telefonisch nicht mehr zu erreichen. Die Ärzte, die elektronische Arbeitsunfähigkeitsbescheinigungen (eAU) oder elektronische Arztbriefe verschicken sollen, sind bei den betroffenen Krankenkassen nicht zum Versand in der Lage. Und wir stehen aktuell mit der Digitalisierung noch ganz am Anfang, die elektronische Patientenakte (ePA) soll ja erst 2024 flächendeckend für gesetzlich Krankenversicherte kommen.
Anzeige
Was mich noch hibbeliger macht: Es gab im Januar 2023 bereits einen erfolgreichen Cyberangriff auf Bitmark (siehe meinen Blog-Beitrag Cyberangriffe auf Rechtsanwälte Kapellmann, Geomed-Klinik Gerolzhofen; Angriffe auf ESXi-Server von Anfang Februar 2023), bei dem Versichertendaten abgezogen wurden. Die Bitmarck Holding GmbH mit Sitz in Essen ist ein Dienstleister von Sozialversicherungsträgern und warb seinerzeit auf seiner Webseite mit lustigen Filmchen zur elektronischen Patientenakte ePA.
Cyberangriff Klinikum Hochsauerland GmbH
Weil es gerade hier zum Thema passt – auf das Klinikum Hochsauerland GmbH gab es vorige Woche ebenfalls einen erfolgreichen Cyberangriff, wie der Sauberland-Kurier hier berichtet.
Der Artikel zitiert das Klinikum, dass die internen Sicherheitssysteme den Angriff "schnell erkannt und gestoppt" hätten. Aus Sicherheitsgründen seien alle webbasierten Anwendungen zunächst deaktiviert und das IT-System des Klinikums vom Internet getrennt worden, heißt es weiter. Die Systeme werden in Zusammenarbeit mit externen Forensikern überprüft, die Behörden sind eingeschaltet. Das Klinikum Hochsauerland schreibt auf seiner Webseite, dass "Aufgrund einer technischen Störung die Ansprechpartnerinnen und Ansprechpartner des Klinikums Hochsauerland derzeit per E-Mail nicht erreichbar sind".
Ähnliche Artikel:
Cyberangriffe auf Rechtsanwälte Kapellmann, Geomed-Klinik Gerolzhofen; Angriffe auf ESXi-Server
BIG-Krankenkasse wurde am 28. März 2023 Opfer eines Cyberangriffes
Lauterbach "will" die elektronische Patientenakte (ePA) mit Opt-out – ein Desaster mit Ansage oder Wolkenkuckucksheim?
Vernichtendes Urteil an elektronischer Patientenakte auf Freie Ärzteschaft (FA) Kongress (3.12.2022)
Neustart in 2023 für Elektronische Patientenakte (ePA) geplant
Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?
Cyber- und Ransomwareangriffe: Rodgau, Rosenbauer, Dole, Medibank – Facebook-Seite und TikTok-Gebrauch untersagt
2015
Hallo,
kurze Ergänzung zu den "ausgefallenen" Diensten ->
Ich arbeite für einen mittleren bis großen ambulanten Pflegedienst. Seit dem 25.04 ~07:00 erreichten mich von unseren Fakturierern schon die ersten Tickets, dass die DTAs (Abrechnungsinfos für Krankenkassen) vom Mailserver der Bitmarck nicht mehr angenommen werden (Time Out).
Stand jetzt: weiter offline.
Ansprechpersonen, wie wir an unser Geld kommen? Nicht zu finden.
Warum? Teile der Internetseite liegen anscheinend auch auf den abgeschalteten Systemen.
Wir sind gerade – naja… – nicht so happy.
Ich verstehe die Abschaltung der KK Infrastruktur so, das sie eine Ausbreitung der Infektion verhindern wollen, aber nicht wissen wie.
ich werde auch hibbig wenn die Kunden nicht vernünftig isoliert sind…
Das hat doch sicher nichts mit Cloud zutun?
Manche Unternehmen schalten einfach den Port ab, an dem der Rechner hängt an dem der Virusscanner eine Infektion meldet. Kann man machen, ist aber wahrscheinlich zu spät. Die Profis bekommt man nicht mit einem Vierscanner.
sieht aber ggü Cheffe gut aus.
IIRC erfolgte der letzte Angriff auf die Windows Monokultur durch ein Scheunentor names Jiri.
Bekommen nicht Mal mehr ein Ticket System hin?
Trotz 2FA?
Als Beispiel guter Kommunikation kann man die Seite der SBK sehen.
Auch wurde sofort eine passende Telefon Ansage "im Amt" aktiviert.
Übrigens laufen I.d.R. die Mobilfunk Geräte meist noch. Gut wenn man einen entsprechenden Vertrag mit einem Funker in der Nähe hat.
Anderseits?
Was nützt einem Kunden das er telefonieren kann,wenn man alles an Daten"natürlich" in der Cloud hat und die Verbindung ins Internet geklappt werden musste?
Zur SBK hat ein Nutzer diesen Kommentar mit einem Verweis auf die SBK-Seite hinterlassen. Zum 1. Mai 2023 ist der Hinweis immer noch vorhanden.
Die zentrale Telefonansage sagt nun klar, das ein IT-Dienstleister eine Cyberangriff hat und das das leider auch die Telefonanlage betrifft.
Inzwischen 3.5.23 hat die SBK ein Notfall-Telefon unter einer 08000 Nummer eingerichtet. Vielleicht laufen einige Computer schon, oder die haben Saturn&Co. leer gekauft und arbeiten mit Wordpad und Excel?
Auch scheinen die Rufnummern der Lokalen Geschäftsstellen mit "normaler" Ortsvorwahl über die abgeschaltete Telefonanlage geroutet werden zu müssen.
Der Tipp funktioniert also nicht unbedingt.
Es ist schon extrem, wie die sich von einem Anbieter und einem System ohne Redundanzen abhängig gemacht haben.
Oder sollte ich sagen "wir uns"?
Was wenn bei uns eine Situation wie in der Ukraine eintritt?
Wer hat schon StarLink-Schüsseln und – Verträge und nicht nur ein Notstrom-Agregat auf dem Hof?
Wer terminahe Notfälle hat kann sich an die 08000er Rufnummer melden. Ich rufe ja jetzt natürlich nicht an.
Im Impressum bitmarck
"Deshalb distanziert sie sich hiermit ausdrücklich von allen Inhalten aller gelinkten/verknüpften Seiten,"
ja klar, "ausdrücklich" …
das ist so 90er…
mir wird langsam Angst und Bang, nicht nur hibbelig.
Hochsauerland. Bitmarck. Alles in NRW. Keine Ahnung, was hier aktuell los ist. Das O2 Mobilfunktnetz ist seit gestern auch massiv gestört. Datenverbindungen sind kaum möglich.
Muss mit der Sprengung der Autobahn-Talbrücke bei Rahmede zu tun haben – seit dem kommen Funkwellen nicht mehr an und es knirscht ;-).
"Dieser Sicherheitsvorfall betrifft nach aktuellem Kenntnisstand nicht die Telematikinfrastruktur (TI). "
Besser wäre wenn da stehen würde:
"Die Telematikinfrastruktur (TI) kann wegen struktureller Maßnahmen nicht betroffen sein."
Möchte noch wer die ePA?
Die Frage ist nicht ob man gehackt wird, sondern wann.
Nur keine Daten sind gute Daten.
Zentrale Daten sind besonders gefährdete Daten.
Mach dir mal keine Gedanken um die TI. Mach dir eher Sorgen um lokale Datenbanken welche schlecht bis gar nicht abgesichert sind.
Ich arbeite gerade an einem BI-Projekt für einen großen Investor im Medizinbereich mit und was dort teilweise für massive Sicherheitslücken in den Datenbanken der PVS klaffen, ist wirklich erschreckend. Von Standardpasswörtern in FB-Datenbanken über Passwörtern im Klartext in .TXT-Dokumenten bis hin zu GARKEINEN Passwörtern für DIREKTEN Datenbankzugriff ist da wirklich alles vorhanden. Ganz zu schweigen von den tausenden "Modulen" und Drittanbietern, welche natürlich alle schreibenden Zugriff auf alle Datenbanken und Tabellen haben, weil "besser haben als brauchen".
Und wir reden hier über "Digitalisierung" und Patientenakten im Rechenzentrum, wenn nichtmal der kleinste Teil der IT-Sicherheit überhaupt implementiert ist.
Achja, selbstverständlich sind alle diese Hersteller von der Gematik zertifiziert und dürfen munter an die TI "andocken".
Da wird mir nicht nur "hibbelig", wenn ich sowas täglich sehe und ertragen muss.
Also, ich stelle es mir sehr mühsam vor, bei meinem Hausarzt, Zahnarzt, Urologen, Orthopäden und Protologen nebst Physiotherpeuten "einzubrechen".
Aber wenn alles an einer Stelle und alles jederzeit Online ist…das ist ein extrem lohnendes Ziel.
Wir hatten früher(tm) sog. "Modems", Diese waren mit einem Treppenlicht automaten 2-stundenweise bestromt. Beim Kunden stand dasselbe Gerät und wurde dort vom Admin aktiviert, auch für 2 Stunden.
Der hatte uns dann mit seinem Token dem 2FA generiert und telefonisch mitgeteilt…
So war die Online-Angriffs-Fläche praktisch Null.
Heute surft mein Arzt auch nur auf seinem Handy, wenn er etwas nachschlagen muss, und nicht dem PC in dem meine Daten sind.
Das wird mit dem ePA und TI alles besser?
Was zahlen SIE Dir? :-)
Und:
Das bei meinem Hausarzt, Zahnarzt, Urologen, Orthopäden und Protologen nebst Physiotherpeuten gleichzeitig die Rechner Ausfallen ist sehr sehr unwahrscheinlich.
8.5. Es läuft immer noch nicht. Die zentrale
Telefonanlage scheint besser zu laufen, aber viel machen können die KK noch nicht.
Angeblich geht der Datenaustausch mit dem Rententrägern wieder.
Bitmarck hat da wohl ein tieferes Problem?
Es hat auch Vorteile:
Ich wollte mir ein wollenes Unterbett kaufen
Brauche ich nicht mehr, so kräuseln sich meine Rüchenhaare, wenn ich daran denke, das dieser emm, Verein auch im ePA eingebunden ist und das sein 2. Vorfall ist.
09. Mai 2023 – Cyberangriff bereitet Krankenkasse HKK große technische Probleme
https://www.butenunbinnen.de/nachrichten/hkk-krankenkasse-cyber-angriff-stoerung-technik-100.html
> Ende der Störung nicht absehbar…
>
> Der IT-Dienstleister "Bitmarck" ist für mehrere Krankenkassen tätig,
> auch bei anderen Kassen gebe es aktuell technische Probleme.
https://www.bitmarck.de/infothek/faq-cyberangriff
Gestern dann endlich eine Stellungnahme. Kann jeder gerne sehen, wie er möchte. Aber ich habe so ein ungutes Gefühl was mein Vertrauen in die IT-Infrastruktur der Kassen betrifft. Und nicht nur wenn es um die IT der Kassen geht. Der Blog beitet ja genügend Lesestoff.
Und was Bitmarck angeht: Wenn man z.B. bei der DAK vollen Zugriff auf sein Benutzerkonto haben möchte, dann wird man gezwungen(!), die DAK-App zu installieren, über diese dann die 2FA läuft. Ansonsten kommt man nicht an sein Postfach oder andere interne Bereiche. Eine Unverschämtheit. Ich brauche also eine zusätzliche App, nur für 2FA?! Andere können das doch auch, entweder über SMS, Mail, Authenticator-App etc. Die DAK bedient sich der Dienste der Bitmarck (iam-bms.de, bitmarck-service.de …).
Aus dem Impressum:
Gesellschafter der BITMARCK Holding GmbH sind neben dem BKK Dachverband e.V. die Betriebskrankenkassen, die Innungskrankenkassen, die DAK-Gesundheit und weitere Ersatzkassen.
Klar, dass die Kassen einem ihren quasi eigenen Mist auf´s Auge drücken wollen.
Ich habe jetzt jegliche digitale Kommunikation zur DAK abgemeldet und den ePA opt-out durchgeführt.
Sollen die mir wieder Briefe schicken …
Interessiert jetzt vielleicht niemanden mehr. Ist auch nur als Ergänzung gedacht, da der Fall BITMARCK jetzt wieder hochkam in einer anstrengenden, kontrovers geführten Diskussion mit einem befreundeten ITler bezgl. der ePa.
Anscheinend sehen noch einfach viel zu wenige dieses "Desaster mit Ansage" (hxxps://www.borncity.com/blog/2023/03/12/lauterbach-will-die-elektronische-patientenakte-epa-mit-opt-out-ein-desaster-mit-ansage-oder-wolkenkuckucksheim/).
Da verdient leider der Kollege richtig Asche mit und schaltet dabei einfach mal sein Gewissen aus.
Wie auch immer. Bin dann nach der Diskussion mal wieder nach Monaten auf die BITMARCK-Seite, öffnete hxxps://www.bitmarck.de/infothek/faq-cyberangriff , begann zu lesen und merkte, dass mein Puls enorm an Tempo aufnahm.
Wer hat denn bitteschön diese FAQs vom 28.06.2023 verfasst??
Und für wen??
Für den nasepopelnden 5-Jährigen im Kindergarten, dem das vorgelesen wird und der glucksend und kreischend vor Glückseligkeit und aus Demut vor dieser gottgleichen Leistung in die Hände klatscht??
Ich könnte gerade K…. vor soviel Rumgeschleime, Selbstbeweihräucherung und Verlogenheit! Wer stoppt denn endlich diesen Irrsinn??
Ach ja, es wird jetzt übrigens immer besser bei der DAK auf der Homepage:
Ich habe mich die Tage aus Neugierde einfach mal wieder in meinen persönlichen Bereich "MeineDAK" einloggen wollen. Jetzt kommt man nach dem Login ÜBERHAUPT NICHT MEHR in seinen persönlichen DAK-Bereich, denn man wird nun GEZWUNGEN, diese Sch…-DAK-App zu installieren, um überhaupt erst was im Browser angezeigt zu bekommen. Wenn Du das nicht tust, geht es nicht weiter auf der Seite, weil diese auf ein response der App wartet. Kein "Nein, danke"-Button, kein "X" zum Wegklicken … nix! Unfassbar!
Ist diese Zwangsver-app-elung überhaupt erlaubt?
Was ist, wenn ich nur ein 3110 hätte, weil ich ein Handy nur zum Telefonieren benötige und auf den ganzen anderen Kram sehr gut verzichten kann? (Gut, ist jetzt nicht der Fall, aber außer zum Telefonieren und Whatsapp (ja, ich weiß 🙄 ), nutze ich mein Smartphone nicht)
Was ist mit den ganzen Menschen, die mit Digitaliserung nichts am Hut haben oder haben wollen?
Sorry, für die Kraftausdrücke … musste raus … (Günter, bitte um Nachsicht. Bin gerade auf 180!)
Vielleicht thematisiere ich den Irrsinn mal in einem Sammelbeitrag.
Wir schreiben inzwischen Juni 2023.
Die SBK hat seit 22.5 3 neue 0800 Telefon Nummern und operiert schon wieder etwas.
Keine große Wartezeiten, an der Not-Hotline aber gestresste Mitarbeiter, da sie wohl immer noch nicht mit Arbeitgebern und z.B. Rentenversicherung kommunizieren können. Es geht da um viel Geld, nicht nur die Daten der Patienten.
Die Meldungen der Arbeitgeber z B. liegen auf Halde.
Sehr interessante Informationen finden sich bei Wikipedia unter dem Stichwort Bitmarck.
Z.B. lief das System bis 2015 rein auf Unix. Nur wirkte die Oberfläche nicht mehr zeitgemäß…Aua. Und wurde geändert. Wie sagt Wikipedia nicht, aber man ahnt es…
Zum Einbruch eines, ich nenns es Mal Scriptkiddies oder Bastlers Anfang 2023 gibt es einen Bericht bei Heise.
Wikipedia zitiert H. mit viel zukurzen
und zu wenig variierten Passwörtern
(kein 2FA! und das bei der höchst kritischen Verarbeitung von Gesundheitsdaten…)
Zitat:
"Der erfolgreich kompromittierte Bitmarck-Mitarbeiter nutzte einen einzelnen SSH-Schlüssel für vollen Root-Zugriff auf 1.100 Servern. "
Em…er fühlte sich als Gott oder wie?
Außerdem frage ich mich :
SSH Schlüssel kenne ich nur aus der Unix-Welt,
den Begriff root auch. Ich weiß zwar das Windows nach ca. 15 Jahren einen Offiziellen SSH Server liefert und das man mit SSH ganz prima TCPIP Tunneln kann, aber setzt SSH echt bei Windows Servern ein?
Könnte man so lässige Login-Lizenz-Grenzen umgehen?
Wer kennt sich da aus?
Im als root überhaupt remote auf ein Unix System per SSH zu kommen muss man das explizit freischalten.
Auch ist üblicherweise der direkte Zugriff von root über die Console default gesperrt.
Immer muß man sich erst mit einem normalen User anmelden und kann dann, wenn dieser User das Recht hat, zum root Account wechseln.
Das nervt natúrlich gerade alte Admins, die immerschön sich direkt als root angemeldet haben und dann als erstes tat ihren SSH Key hinterlegt haben, damit sie das Passwort nicht mehr eintippen müssten. Aus heutiger Sicht völliger Wahnsinn.
Das heißt es wurde da ganz gewaltig aus reiner Bequemlichkeit/Gewohnheit gepfuscht, wenn ich den Wikipedia Auszug richtig verstanden habe.
Das 1100 Server denselben SSH hatten kann schon sein, weil man unter Unix den Public Key des Users auf dem Server autorisiert. Mit 1100 SSH keys also 1100 Usern zu jonglieren ist mühsam.
Das macht das AD ja ganz pr8, ist aber ebenfalls ein Single Point of failure…
Das hinterlegen des SSH keys ist aber eigentlich nur für automatische Prozesse gedacht, aber niemals direkt für den User mit der ID 0, also Root…
Ich hoffe das diese Informationen falsch sind.
Denn Bitmarck hat auch die elektronische Patienten Akte mit entwickelt und hatte zum Januar Hack behauptet, es seien keine Daten abgeflossen.
Wikipedia spricht auch von nur einem Datensatz aus Jiri. Der enthielt aber 300000 Kundendaten Sätze.