Cyberangriffe: Klinikum Ingolstadt, CAS-Software, Prodinger (Dez. 2024)

Sicherheit (Pexels, allgemeine Nutzung)Zum Wochenende hat es wohl einen Cyberangriff auf das Klinikum in Ingolstadt gegeben – zuerst war nur von technischen Problemen die Rede. Die CAS Software aus Karlsruhe informierte Kunden über einen Vorfall mit Datenabfluss – und auch Prodinger musste Kunden über einen Cyberangriff mit Datenabfluss informieren.


Anzeige

Cyberangriff auf Klinikum Ingolstadt

Das Klinikum Ingolstadt ist mit 1073 Betten und über 3.800 Mitarbeitern das größte Krankenhaus für Ingolstadt und die Region. Am Sonntag, den 8. Dezember 2024, ist das Klinikum Ingolstadt Opfer eines Hackerangriffs geworden. Auf der Webseite des Klinikums findet sich nur eine Kurzmitteilung für die Presse, in der ein Cybervorfall eingestanden wurde: "Das Klinikum Ingolstadt war am gestrigen Sonntag offenbar Ziel eines IT-Sicherheitsvorfalls. Die Patientenversorgung ist zum aktuellen Zeitpunkt gewährleistet. Die IT-Abteilung des Klinikums hat gestern bereits erste Maßnahmen ergriffen und wird dies heute, mit Unterstützung eines externen Dienstleisters, weiter fortsetzen. Zudem arbeiten wir eng mit den zuständigen Behörden zusammen."

Cyberangriff Klinikum Ingolstadt

Ich bin über obigen Tweet auf den Angriff aufmerksam geworden – BR24 berichtet in diesem Artikel über den Vorfall. Die Zentralstelle Cybercrime Bayern (ZCB) des LKA prüft, ob Patientendaten abgeflossen sind. Spannend fand ich erstmals die Zwischenüberschrift "Digitalisierung als Problem" – werden solche Vorfälle doch üblicherweise als "gottgegeben, kann man nichts machen" erklärt.

Die CAS Software informiert über DSGVO-Vorfall

Ich hatte zum 30. Oktober 2024 im Beitrag Ausfälle und Sicherheit: Cyberangriff auf AEP (Pharma-Großhandel); CAS (CRM-Systeme) down; Sophos bemängelt flavorseal.com berichtet, dass die Webseiten der CAS Software ausgefallen seien. CAS Software ist ein Hersteller von CRM-Systemen, aber auch die Muttergesellschaft der United Kiosk AG.


Anzeige

Bereits zum 31. Oktober 2024 lag mir die Information vor, dass die Ransomware-Gruppe Sarcoma einen Angriff auf CAS Software reklamiert. Die Infos finden sich in obigem Artikel. Soweit so schlecht – aber die Geschichte kennt noch zwei Schlenker.

In Karlsruhe residiert der Anbieter United Kiosk AG, der einen digitalen Kiosk betreibt, in dem Abonnenten Zeitschriften-Abonnements beziehen und dann die betreffenden Medien digital lesen können.

Anfang November 2024 war ich von einem Blog-Leser auf eine vorgebliche technische Störung im Web-Shop der United Kiosk AG hingewiesen worden und hatte das Ganze erstmals im Blog-Beitrag United Kiosk AG: Webseite seit Mitte Oktober 2024 gestört aufgegriffen. Leser hatten mich dann darauf hingewiesen, dass die United Kiosk AG eine Tochter der CAS Software sei – so dass ich mit 1+1 zusammenzählen konnte. Im Blog hatte ich daher einen Ransomware-Vorfall bei der United Kiosk AG im Umfeld des CAS Software-Vorfalls postuliert. Zum 7. Dezember 2024 kam dann die Bestätigung im Beitrag United Kiosk AG: Nutzerdaten nach Cyberangriff im Darknet. Das Unternehmen informierte betroffene Nutzer über den Cybervorfall und abgeflossene Daten.

Jetzt informierte mich ein ungenannt bleiben wollender Blog-Leser, dass er von der CAS Software über einen DSGVO-Vorfall informiert wurde. Hier die betreffende Mitteilung der CAS Software vom Dienstag, den 10. Dezember 2024 18:23 Uhr.

Informationen auf Basis der Datenschutzgrundverordnung – Mitteilung gemäß Art. 34 DSGVO

Sehr geehrte Damen und Herren,

auf Grundlage der Datenschutzgrundverordnung (DSGVO) ist die CAS Software AG verpflichtet, Betroffene zu informieren, wenn Ihre Daten ohne Rechtsgrundlage oder sonstige Erlaubnis einem Dritten gegenüber offenbart wurden und es dadurch zu einer Verletzung des Schutzes Ihrer personenbezogenen Daten gekommen ist.

Wir möchten Sie hiermit über einen kriminellen Cyberangriff auf unsere CAS-eigene Betriebsinfrastruktur, welcher am 21.10.2024 zu partiellen Betriebsstörungen geführt hat, informieren. Unsere Sicherheitsmechanismen wurden umgehend aktiviert und es wurden weitreichende Schutzmaßnahmen ergriffen. Zum Angriff zählte auch ein anhaltender Denial-of-Service-Angriff auf unsere Webseite. Wir konnten diesen Angriff jedoch rasch abwehren und unseres wesentlichen IT-Systeme wiederherstellen.

Zurzeit untersuchen wir den Angriff gemeinsam mit unserem Dienstleister, der auf der APT- Dienstleisterliste des Bundesamts für Sicherheit in der Informationstechnik (BSI) verzeichnet ist, im Detail und orientieren uns bei der Vorgehensweise an den BSI-Richtlinien. Entsprechende Notfallpläne und Sicherheitsmaßnahmen wurden zeitnah aktiviert.

Zudem haben wir die für uns zuständige Datenschutzbehörde bereits frühzeitig über den Vorfall informiert.

Aufgrund neuester Erkenntnisse wurden bei dem Angriff offensichtlich auch Daten kopiert, die im Internet veröffentlicht worden sind.

Dabei sind auch folgende Sie betreffende Informationen:

  • Kontaktdaten wie Vorname, Name, Mail und Telefon ggf. mögliche Korrespondenz

Zur Behebung bzw. Abmilderung der Folgen des Vorfalles empfehlen wir Ihnen folgende Maßnahmen:

  • Wir empfehlen grundsätzlich vorsichtig bei unbekannten Kontaktaufnahmen sowie bei E-Mail-Anhängen und bei Phishing-Mails zu sein und die Empfehlungen des BSI zum Umgang mit Passwörtern zu beachten.

Wir selbst arbeiten mit verschiedenen Experten (z.B. IT-Dienstleister, externe Experten), um den Sachverhalt weiter aufzuklären und den Schaden möglichst schnell zu beseitigen bzw. abzumildern. Soweit uns hierzu weitere Informationen vorliegen, werden wir Sie entsprechend informieren.

Bei etwaigen Fragen bzw. weiteren Auffälligkeiten wenden Sie sich gerne an unseren Datenschutzbeauftragten unter Datenschutz@cas.de.

Wir entschuldigen uns für den Vorfall und hoffen auf Ihr Verständnis.

Mit freundlichen Grüßen

Martin Hubschneider
Vorstand CAS Software

Es sind nun mehr als 1 1/2 Monate seit dem Vorfall vergangen, und der Anbieter weiß entweder nichts oder legt nichts offen. Der Text entspricht der Information an die Kunden der United Kiosk AG, hätte meines Erachtens aber wesentlich früher an die Kunden gehen müssen.

Prodinger informiert über DSGVO-Vorfall

Die PRODINGER Gruppe zählt zu einem der führenden Handelsunternehmen für industrielle Verpackungsmittel im deutschsprachigen Raum. Der gleiche Leser, der mir auch die CAS Software-Meldung übermittelt hat, schickte mir auch eine Erklärung von Prodinger zu einem Cyber-Vorfall.

Das Unternehmen unterrichtet Kunden, dass es Opfer eines Cyberangriffs auf seine IT-Systeme wurde. Ein Datum, wann der Vorfall bemerkt wurde, nennt die Firma nicht, betont aber, dass es "keine Hinweise darauf gibt", dass persönlichen Daten  von Kunden kompromittiert wurden. Aktuell untersucht die Prodinger IT-Sicherheitsabteilung, zusammen mit externen Experten, den Vorfall und "leitet zielführende Maßnahmen ein" – was immer das bedeuten soll.

Im Sinne von "verpacke schlechte Nachrichten" positiv, betont das Unternehmen, dass man versucht, trotz dieser Herausforderung maximale Kundenzufriedenheit zu gewähren. Man teilt also mit, dass das Unternehmen weiterhin lieferfähig ist, deutet aber Abstriche bzgl. der gewohnten Lieferzeittreue der Aufträge an. Da scheint die komplette IT arg beeinträchtigt zu sein.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu Cyberangriffe: Klinikum Ingolstadt, CAS-Software, Prodinger (Dez. 2024)

  1. McClane sagt:

    Wie ist das möglich? Krankenhäuser fallen seit Oktober unter NIS2. Die müssen doch alles auf einen superhohen Sicherheitsstandard haben….

    • mw sagt:

      Ich sage nur Trinität des Bösen: Windows, Active Directory, Office.

    • ARC4 sagt:

      Die NIS2 bringt nicht wirklich mehr Sicherheit, sondern eher "man redet darüber, Sicherheit zu machen und Risiken kalkulierbarer".

      Da geht es mehr um das Verwalten der Sicherheit statt jetzt effektiv zB SMB1 abdrehen. (das inkludiert auch Risk Management, Business Continuity, Vulnerability Management, etc.)

      Weiters sollte seit Oktober die EU Richtlinie in staatliche Gesetze aktiv werden, aber Deutschland und weitere europäische Staaten haben bisher kein fertiges Gesetz verabschiedet somit gibt es auch keine Verpflichtung. Ist aber egal, du kannst perfekte NIS2 Konformität haben, aber eine schlechte IT Security…leider.

    • DrWho sagt:

      Viele Krankenhäuser fallen seit ein paar Jahren unter die BSI KritisV. Die KRITIS Häuser werden regelmäßig zwangs-auditiert. Maßnahmen zur Beseitigung der Mängel werden teilweise sogar vom Land mit Bundesmitteln gefördert. Gefördert wird aber nur die Investition, nicht der Betrieb. Das Zeug muss ausgeschrieben werden (was viel Arbeitszeit kostet), dann kommt ein Dienstleister, schraubt im besten Fall das System ins Rack, richtet es ein und so stehen dann lauter neue Systeme im Haus, die dann zwar über irgendeinen Topf bezahlt werden, wo aber niemandem damit arbeitet, weil die Fördermittel weder für Personal noch ext. Unterstützung aufgewendet werden dürfen. Damit sind übrigens dann die festgestellten Mängel auf dem Papier beseitigt. Aber was bringt mir das IDS oder SIEM in der Realität an Sicherheit, wenn niemand da ist, der reinschaut? Das bisherige Personal soll ja neben der Aufrechterhaltung des Betriebs noch nebenbei den Arbeitsablauf aller Berufsgruppen im KH digitalisieren. Die Anzahl Systeme und behandlungskritischer Störungen steigt überproportional zur Anzahl der Stellen. Sicher versteht jeder, dass der Betrieb behandlungskritischer Systeme vor allem anderen Vorrang hat. Und das allein ist mittlerweile ein 24×7 Geschäft. Und bei der Personalgewinnung zieht der öffentliche Dienst aufgrund der Bezahlung sowieso immer den Kürzeren. Wer bei uns arbeitet tut dies oft aufgrund der sozialen Absicherung.
      Es gibt noch weitere unsinnige Dinge: So wird z.B. bezuschusst ein RZ in einem denkmalgeschützten Gebäude aufwändig nachzubessern. Die kostengünstigere Lösung ein state-of-the-art RZ neu zu bauen ist aus diesen Mitteln nicht förderfähig. Das fällt wieder unter die allg. Daseinsvorsorge. Das ist Sache der Länder und darf nicht mit Bundesmitteln finanziert werden.
      Und letztens hat unsere zust. Landesbehörde eigentlich förderfähige Maßnahmen mit der Begründung abgelehnt, dass die jeweiligen Summen nicht hoch genug seien und darum ja aus den laufenden Kosten finanziert werden müssen.
      Hätten wir die Kosten künstlich aufgebläht, dann wären die Maßnahmen förderfähig. Seit neuestem gibt es auch noch das KHZG. Aber auch dort werden auch wieder nur Investitionen subventioniert, aber nicht deren Betrieb (KHSFV §19 1).
      Was im öffentlichen Sektor für Geld rausgeworfen wird, nur weil für Maßnahme A ein Budget da ist und für die viel wirtschaftlichere Maßnahme B keines.

      • Bernd sagt:

        Was du vergessen hast sind die üppigen 15% Pflichtanteil je FTB lt. KHZG. Abgesehen von FTB10y Was vieles noch schlimmer macht einige Dullifirmen müssen dann als „akkreditierter Dienstleister" Sicherheitsmaßnahmen/ Kosten dafür aufrufen die sie weder kennen, beherrschen oder implementiert hat.
        Das KHZG war der digitale Todesstoß für viele Kliniken da die Hersteller gar nicht mehr hinterherkommen und die KritisV bestenfalls mal überflogen haben und B3S für einen Dateityp halten. Von der schwachsinnigen TI, Schwachsinn im Sinne der IT Sicherheit, mal abgesehen.

        Das Lauterbachsche Digitalisierungesetz macht zwar digital grundhaft alles besser und setzt gute Standards, wirklich, aber es ist weder durchdacht noch selbst von Fachleuten auditiert und einfach überstürzt.

        Hinzukommen Bundeslandabhängig ja noch die pauschalen Fördermittel für die digitalisierung die auch hirnlos rausgeblasen werden müssen weil man sonst im nächsten Jahr nix bekommt.

        Das ganze schöne Geld – in unserem Bundesland immerhin 22 Mio Euro + die gleiche Summe nochmal vom Bund wäre weitaus besser eingesetzt gewesen hätte man tatsächlich was am Gesundheitssystem verbessert.

  2. mw sagt:

    TeamViewer, Ivanti, Cisco, Palo Alto usw. usf. zeigen uns ganz deutlich welch ranzigen Produkte sie am Markt haben. Wer kauft diese Produkte eigentlich noch. Wenn es sich um Fahrzeuge handeln würde, hätte es längst einen Rückruf gegeben. Bleibt zu hoffen, daß mit der neuen Produkthaftung diese Unternehmen insolvent gehen und vom Markt verschwinden. Von M$ brauche ich gar nicht erst zu reden.

    • ARC4 sagt:

      Stammtisch Geblubber und Hass…das Forum hier verkommt immer mehr zum Heise Forum. Schade.

      • Tom sagt:

        Trolle bitte nicht füttern!
        Das mit dem Vergleich mit *diesem anderen Forum* hast Du leider recht.

      • Peter sagt:

        Naja, man wundert sich schon was für Anfängerfehler (z.B. hardcoded credentials) sich in Sicherheitsprodukten finden. Ivanti, IBM, Solarwinds haben sich hier nicht gerade mit Ruhm bekleckert.
        Bei Microsoft hat man ein den Eindruck, dass Ihnen die Komplexität längst über den Kopf gewachsen ist. Ob das das Zusammenspiel der Komponenten innerhalb von Windows oder in ihrer Cloud-Umgebung ist.

        • ARC4 sagt:

          das kritisiere ich doch auch gar nicht. Aber meiner Meinung bringt das ständige Auskotzen oder sich selbst glorifzieren, wie toll man nicht ist, langfristig uns gesellschaftlich und professionell kein bisschen weiter.

          Frust alles klar verstehe ich, aber ich bin hier um mich konstruktiv auszutauschen, das heißt um etwas zu verbessern oder zu reparieren.
          Ständig nur Frust abladen und Unternehmen den Untergang wünschen gehört meiner Meinung nach entweder zum "Stammtisch" oder zum Psychologen. Alles andere macht die Arbeit nur schwerer für Andere die hier sind um einen Mehrwert für ihre Arbeit zu geniereren.

          Es wird immer schwerer aus all dem Rauschen wichtige Infos zu ziehen, weshalb es mir komplett vergangen ist aus dem Heiseforum zu lesen und hier fängt das nun seit einer Weile auch an.

  3. michael sagt:

    Das übliche halt: Echte Security ist Bähh also macht man BSI/etc-Checklisten-Bullshit und ist damit auf der "sicheren Seite" + Zertifikat in der Schublade. Der GL gehts meist am Allerwertesten vorbei, sind versichert und man kann auch nix machen – Superkriminelle halt. Typisch Deutsch eben: Kopf in den Sand und durch, Mindset wie im IT-Mittelalter.

  4. Volker sagt:

    Wg. United Kiosk-Vorfall:
    Solange die Unternehmen nicht befürchten müssen, Schadenersatz an die Betroffenen zahlen zu müssen, wird sich leider aus meiner Sicht die Informationspolitik der Firmen nicht ändern.

    • R.S. sagt:

      Klagen!
      Das BGH hat doch erst kürzlich geurteilt, das alleine schon der Kontrollverlust der Daten ( bzw. durch Datendiebstahl) für einem Schadensersatzanspruch reicht.

  5. Benjamin Metzig sagt:

    Ich finde den Cyberangriff auf das Klinikum Ingolstadt äußerst beunruhigend. Solche Vorfälle zeigen, wie verletzlich unsere kritischen Infrastrukturen durch die zunehmende Digitalisierung geworden sind. Es ist gut zu hören, dass die Patientenversorgung nicht beeinträchtigt wurde, aber die Frage, ob sensible Daten abgeflossen sind, bleibt drängend.

    Ich frage mich, warum es immer noch an konsequenten Sicherheitsstrategien in solchen essenziellen Bereichen fehlt. Gerade bei Krankenhäusern, wo es um Leben und Tod geht, sollte IT-Sicherheit höchste Priorität haben. Die lapidaren Aussagen wie "wir arbeiten eng mit den Behörden zusammen" wirken oft wie ein Feigenblatt. Was bedeutet das konkret? Welche Maßnahmen werden ergriffen, um solche Angriffe in Zukunft zu verhindern?

    Für mich zeigt dieser Fall auch, dass wir bei der Digitalisierung nicht nur auf Fortschritt, sondern auch auf die Risiken schauen müssen. IT-Sicherheit darf kein nachträglicher Gedanke sein, sondern muss von Anfang an integraler Bestandteil jeder digitalen Infrastruktur sein. Andernfalls wird das, was als Fortschritt verkauft wird, schnell zum Risiko für uns alle.

    Benjamin Metzig
    http://www.wissenschaftswelle.de

    • R.S. sagt:

      In Krankenhäusern sind i.d.R. die Verwaltungsinfrastruktur und die medizinische Infrastruktur voneinander getrennt.
      Hackt jemand die Verwaltung, so hat er immer noch keinen Zugriff auf die Medizintechnik. Die hat zudem i.d.R. auch keine Schnittstellen nach außen.
      Da kommen Hacker also so gut wie gar nicht dran.
      Die müssten schon physisch vor Ort sein.

      Was Sicherheit angeht:
      Das hat doch Tradition schon aus Zeiten, als es noch gar keine IT gab.
      Beispielsweise im Straßenverkehr wurden Ampeln, Zebrastreifen etc. erst eingeführt, als wegen der vielen Unfälle Bedarf da war.
      Oder so etwas simples wie den Schukostecker hat man auch erst erfunden, als die Unfälle mit den damaligen Steckern zu häufig wurden.
      Etc. etc.
      I.d.R. reagiert man anstatt das man bei Einführung von neuer Technik etc. schon im Vorfeld Risiken abschätzt.

  6. Charlie sagt:

    Was für ein Blabla der CAS.
    Die Sicherheitsmaßnahmen würden umgehend aktiviert: Wieso erst nach einem Angriff?
    Es wurden weitreichende Schutzmaßnahmen ergriffen: Wieso auch das erst im Nachhinein?
    Wir konnten den Angriff rasch abwehren und unseres wesentlichen IT-Systeme wiederherstellen: Ich nix gut deutsch?
    Wir entschuldigen uns für den Vorfall: Wenn es doch nur so einfach wäre, die Schuld von sich zu nehmen. Man bittet beim Gegenüber oder Opfer um Entschuldigung!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.