Cyberangriff auf Medizinischer Dienst Bremen und Niedersachsen

Sicherheit (Pexels, allgemeine Nutzung)Nachdem der Klinikverbund Nord in Bremen (Geno) im Mai 2023 Opfer eines Cyberangriffs geworden ist und Daten abgeflossen sind, hat es jetzt die nächste Einrichtung getroffen. Der Medizinische Dienst Niedersachsen ist momentan offline, weil es einen Cyberangriff gegeben hat. Da der Medizinische Dienst Bremen die gleiche IT-Infrastruktur verwendet, ist dieser ebenfalls betroffen.


Anzeige

Die Einschläge finden permanent statt – gerade las ich hier (geht auf diese Mitteilung und die Cybersecuritystudie 2023 des TÜV-Verbands zurück), dass jedes zehnte Unternehmen in den letzten 12 Monaten von Cybervorfällen betroffen worden sei. Viele Unternehmen rechnen mit einer Zunahme von Cyber-Angriffen. Phishing und Erpressungssoftware sind dabei die häufigsten Angriffsmethoden. Die Folgen der Angriffe sind massiv. 42 Prozent der Unternehmen erlitten finanzielle Einbußen, Dienste für Mitarbeitende (38 Prozent) oder Kunden (29 Prozent) waren nicht erreichbar, die Produktion ist ausgefallen (13 Prozent) oder sensible Daten wurden gestohlen (13 Prozent).

Medizinischer Dienst, was ist das?

Der Medizinische Dienst der Krankenversicherung (MDK) war bis zum 30. Juni 2021 der medizinische und pflegefachliche Begutachtungs- und Beratungsdienst für die gesetzlichen Kranken- und Pflegeversicherungen in Deutschland. Organisiert war der MDK auf Landesebene als Arbeitsgemeinschaften der Krankenkassen.

Seit dem 1. Juli 2021 firmieren die 15 regionalen Dienste unter Medizinischer Dienst und sind nun einheitlich Körperschaften öffentlichen Rechts. Hintergrund ist das Gesetz für bessere und unabhängigere Prüfungen (MDK-Reformgesetz), das am 1. Januar 2020 in Kraft getreten ist: Es sollte die Medizinischen Dienste stärken und sie unabhängiger von den Krankenkassen organisieren. Trotz neuem Namen sind diese Stellen für die Begutachtung und Beratung von Patienten und bei der Pflege zuständig.

Angriff auf Medizinischer Dienst Bremen und Niedersachsen

Ein Blog-Leser hat mich gerade per Mail auf den Cybervorfall beim Medizinischen Dienst Niedersachsen hingewiesen (danke dafür). Auf der Webseite des Medizinischen Dienst Niedersachsen erscheint derzeit folgende Meldung:


Anzeige

Der MD Niedersachsen ist Ziel eines Angriffs auf seine IT-Systeme geworden. Die internen Sicherungssysteme haben dies festgestellt und den Angriff gestoppt, ein Zugriff auf Daten ist nach aktuellem Stand der Untersuchungen nicht erfolgt.

Die Kommunikationskanäle der MD Niedersachsen sind aktuell ebenfalls aus Sicherheitsgründen gesperrt. Sie erreichen uns daher aktuell nicht über Telefon, E-Mail oder Fax.

Der Medizinische Dienst will hier weiter informieren, hat bisher aber noch keine Details eingestellt. Der Weser Kurier berichtet hier (PayWall), dass die Medizinischen Dienste Bremen und Niedersachsen eine gemeinsame IT-Infrastruktur verwenden. Daher ist auch der Medizinische Dienst Bremen von diesem Vorfall betroffen. Ob Daten abgeflossen sind, ist derzeit offen.

Ergänzung: Von einem Blog-Leser habe ich noch folgende Ergänzungen mitgeteilt bekommen. Der Angriff erfolgte wohl bereits am Freitag, den 9. Juni 2023 (da hätte ich heute etwas mehr Informationen auf der Webseite des MD erwartet) – das BSI hat wohl auch auch eine Meldung dazu.

Der Leser schrieb mir weiterhin, dass adesso (nicht adenso, wie ursprünglich vermutet), ein Dienstleister für die einheitliche Programmierung, kürzlich kompromittiert worden sei (ich habe dazu was im Blog geschrieben, siehe Links am Artikelende).

Adesso ist wohl auch in der Entwicklung der Software "MDconnect" aller Medizinischer Dienste involviert. Eine Pressemitteilung von 2017 des Unternehmens legt offen, dass man 21 Millionen Euro für die Entwicklung einer Branchensoftware erhalten habe. Dazu heißt es in der Mitteilung:

"Die Gemeinschaft der Medizinischen Dienste in Deutschland (MDK-Gemeinschaft) hat ein von der adesso AG angeführtes Konsortium mit der Entwicklung einer neuen Branchensoftware beauftragt. Konsortialpartner ist das Unternehmen HBSN AG. Das Volumen des Großprojektes beläuft sich auf insgesamt rund 21 Millionen Euro und beinhaltet auch einen Wartungsvertrag über acht Jahre. Die neue Software wird die 15 Medizinischen Dienste dabei unterstützen, ihren Beratungsauftrag für die gesetzliche Krankenversicherung in Deutschland zu erfüllen."

Ob es einen Zusammenhang mit obigem Cyberangriff gibt, ist allerdings unklar.

Bremen schon mal im Fokus

Mitte Mai 2023 wurde ein Cyberangriff auf den Klinikverbund Gesundheit Nord (Geno) in Bremen bekannt – ich hatte im Blog-Beitrag Cyberangriffe und Datenschutz: Kliniken in Bremen, Verkehrsbetriebe Chemnitz und mehr darüber berichtet. Seinerzeit waren persönliche Daten von Patienten aus den Kliniken abgeflossen. Heute ist mir nachfolgender Tweet des Sicherheitsexperten Dennis Kipker dazu untergekommen. In diesem Artikel beschreibt Kipker, was man als Betroffener tun kann.

Ähnliche Artikel:
Dienstleister Adesso verschwieg Bundesbehörden und Kunden Risiko durch Hack
Cyberangriff auf Adesso – Daten abgeflossen, Details unbekannt (Jan. 2023)


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Cyberangriff auf Medizinischer Dienst Bremen und Niedersachsen

  1. Norddeutsch sagt:

    *Seufz* – IT im Gesundheitswesen… Hatte vor kurzem aus persönlichen Gründen MDK-Kontakt . Ebenso kenn ich Teile der IT. Stoischer Behördenfilz trifft es ganz gut.
    Gefühlt ist man laut Website oder Lauterbach Weltspitze, real hinkt man organisatorisch, legislativ oder in IT-SM und IT-Security 10 Jahre hinterher.

    Meine vollumfängliche Selbstauskunft nach § 15 DSGVO wurde weder in Frist noch nach Monaten überhaupt bearbeitet. Meine Forderung der Einschränkung von Teilen der Datenverarbeitung (Sperren,Löschen,Korrigieren) nach nach Art 17 oder 18 1b wurde kommentarlos ignoriert.

    Hilft alles nix – also beten … den sie wissen nicht was sie tun

  2. Pau1 sagt:

    Wir sollten unbedingt alle Gesundheits-Daten an eine zentrale Stelle packen. Das wird dann von Profis wie denen von Bitmarck überwachen lassen, die viel Erfahrung haben da schon 2mal innert eines halben Jahres gehackt.
    Vorallem
    Dann müssten nicht zahllose einzelne, unterschiedliche Datenbanken gehackt werden und wir würden immer solche Meldungen sehen.
    Alles spricht für eine zentrale Speicherung.
    Die Kassen wollen es gerne, da sie so Ärzte und virallem die durchweg kriminellen Kranken besser im Blick haben…

  3. Norddeutsch sagt:

    @Pau , #1 . Geb Deiner ironischen Sicht ja Recht… das traurige ist mE jedoch, dass sehr wohl Erfahrung da ist. Ich sehe eher Handlungsbedarf bei zig anderen Aspekten wie Sensibilität, Agilität, Aktualität (der Erfahrung) oder Angemessenheit sowie ganz wichtig: Verantwortung …
    Nur ein Beispiel: Die intrinsische Motivation oder Selbstidentifikation am "eigenen Produkt" in solchen Einrichtungen.

    Allein in deren (nicht meiner) "gewünschter" + komplexer IT Dinge wie Verantwortung (bitte mindestens Rollengebunden) und die Kritikalität von Prozessen, Configuration Items (a'la ITIL) Bottom-Up und Top-Down angemessen umzusetzen und zu betreiben…
    Da hilft kein ISO 27.000 Zertifikat des Dienstleisters, da hilft nur Butter bei die Fische (oder halt beten, siehe oben). Andere nennen das "Arbeiten" … uhh, gemein.

    • Norddeutsch sagt:

      Nachtrag & Relativierung:
      Wir reden bei MDK (bisher) nur über einen Angriff. Eine legitime Risikominimierende Maßnahme war und bleibt natürlich auch "abschalten" (Das war schon bei Peter Lustig gut, immer am Sendungs-Ende, nicht das ich das Ende von Peter Lustig mit dem Ende vom MDK gleichsetze, nein nein …).

      Dies wurde sicher nicht ohne Grund getan. Jedoch werden wohl nur Insider die ganze Tiefe des Schaden als Info kennenlernen.
      War zB auch bei Enercity in Hannover und vielen anderen so: Interne Meetings nannten dann nur bis zum Mid-Management-Level mehr Details.

      Schlimmer geht immer – danach prüfen , ob alle Gesundheitsdaten in Indien von gg Covid Geimpften schon zum Kauf stehen ?? :-(
      Hier geht es lt. Heise um Milliarden Datensätze …

  4. Der Bote sagt:

    Das ist doch alles ein Witz. Mittlerweile ist schon der 20.6.23 und die haben das noch immer nicht wieder hinbekommen?
    Würde sagen, Dummheit trifft Inkompetenz.
    Und wer leidet?
    U.a die Versicherten, deren Anträge etc. nicht bearbeitet werden und die damit ggf. Anmeldefristen versäumen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.