Connect with us

Datenschutz & Sicherheit

Cyberangriff auf Abrechnungsdienstleister betrifft viele Kliniken


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Ein Cyberangriff auf den saarländischen Abrechnungsdienstleister Unimed betrifft bundesweit zahlreiche Kliniken. Nach eigenen Angaben betreut das Unternehmen 95 Prozent aller Universitätskliniken in Deutschland sowie 51 Prozent aller Kliniken mit mehr als 600 Betten. Den betroffenen Häusern zufolge wurden dabei Patientendaten von zehntausenden Privatpatienten und Selbstzahlern entwendet. Die Kliniken selbst betonen, dass ihre internen Systeme und die Patientenversorgung nicht in Mitleidenschaft gezogen worden seien.

Weiterlesen nach der Anzeige

Der Angriff ereignete sich laut Unimed bereits Mitte April 2026. Das Unternehmen teilte mit, der Vorfall sei dem Landeskriminalamt Saarland gemeldet worden. Nach Darstellung von Unimed wollten die Angreifer die Systeme verschlüsseln. Das sei zwar verhindert worden, allerdings seien vor der Abwehr aus einem „begrenzten Bereich“ Daten abgeflossen. Darunter befand sich laut Unimed auch Kommunikation zu Abrechnungswidersprüchen.

Auf Nachfrage zu den weiteren betroffenen Einrichtungen erklärte Unimed: „Bitte haben Sie Verständnis, dass wir als Dienstleister keine darüber hinaus gehenden Angaben zu unseren Kunden und deren Daten machen können“. Auch zum Angriffsvektor machte Unimed keine Angaben.

Inzwischen haben zahlreiche Kliniken konkrete Zahlen veröffentlicht. Besonders stark betroffen ist das Universitätsklinikum Freiburg: Dort wurden nach Angaben der Klinik Stammdaten von rund 54.000 Patientinnen und Patienten entwendet, darunter Namen, Adressen und Geburtsdaten. In rund 900 Fällen seien zusätzlich Rechnungsdaten betroffen, aus denen sich Diagnosen und Behandlungsarten ableiten lassen könnten. In wenigen Fällen seien auch Kontodaten abgeflossen. Die Uniklinik Köln meldet rund 30.000 betroffene Datensätze. Darunter seien 843 Fälle mit Gesundheitsdaten sowie fünf Fälle mit Finanzdaten wie IBAN oder Kontonummern.

Am Universitätsklinikum Düsseldorf geht es um mehr als 3.000 Fälle mit allgemeinen Patientendaten sowie 162 Fälle, bei denen auch Gesundheitsdaten betroffen sein könnten. Die Universitätsmedizin Mainz spricht von bis zu 2.764 betroffenen Privatpatienten und Selbstzahlern.

Weiterlesen nach der Anzeige

Weitere Fälle meldeten unter anderem Ulm, Mannheim sowie das Universitätsklinikum des Saarlands in Homburg. Dort sollen 1.266 Patientinnen und Patienten betroffen sein. In Ulm sind rund 1.600 Patienten betroffen, in etwa 300 Fällen könnten zudem Diagnose- und Behandlungsdaten abgeflossen sein. Mannheim meldet rund 3.000 Betroffene und einen Fall mit kompromittierten Finanzdaten. Auch Heidelberg und Tübingen bestätigen Vorfälle, nannten bislang jedoch keine detaillierten Zahlen.

Mehrere der betroffenen Kliniken erklärten, die Datenübertragung an Unimed unmittelbar nach Bekanntwerden des Vorfalls gestoppt zu haben. Zudem seien Datenschutzbehörden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert worden. Viele Häuser kündigten an, betroffene Personen schriftlich zu benachrichtigen und rechtliche Schritte zu prüfen. Unimed erklärte am Freitag, die Systeme seien inzwischen wieder vollständig arbeitsfähig. Externe IT-Forensiker hätten die Infrastruktur untersucht und abgesichert. Hinweise darauf, dass sich noch Angreifer im System befinden, gebe es Unimed zufolge nicht.

Erst vor wenigen Tagen wurde bekannt, dass nach einem Cyberangriff auf die Arbeitsgemeinschaft Wirtschaftlichkeitsprüfung Niedersachsen (Arwini e. V.) ebenfalls sensible Gesundheits- und Abrechnungsdaten abgeflossen sind. Arwini prüft im Auftrag gesetzlicher Krankenkassen und der Kassenärztlichen Vereinigung Niedersachsen die Wirtschaftlichkeit ärztlicher Verordnungen. Die Polizeidirektion Hannover bestätigte gegenüber heise online, dass hinter dem Angriff die Ransomware-Gruppe „Kairos“ steckt. Die Täter drohen dort mit der Veröffentlichung eines angeblich 2,87 Terabyte großen Datensatzes. Wer für den erfolgreichen Angriff auf Unimed verantwortlich ist, ist noch nicht bekannt.

Bei Arwini könnten nach Angaben des Unternehmens bis zu 75.000 Datensätze betroffen sein. Die Kassenärztliche Vereinigung Niedersachsen erklärte, an die Prüfstelle würden quartalsweise pseudonymisierte Abrechnungsdaten übermittelt. Zwar seien Patientendaten anonymisiert, allerdings enthielten die Datensätze arztbezogene Informationen wie Arztnummern und Betriebsstättennummern, sodass Praxen identifizierbar bleiben. Nach Angaben der Polizei stehen die Ermittler wegen der Gruppe „Kairos“ im internationalen Austausch.


(mack)



Source link

Datenschutz & Sicherheit

Werbeblocker Pi-hole: Update stopft hochriskante Sicherheitslücken


Im DNS-basierten Adblocker-System Pi-hole haben die Entwickler mehrere Sicherheitslücken geschlossen. Die ermöglichen etwa die Rechteausweitung zu root oder die Übernahme von Admin-Sitzungen.

Weiterlesen nach der Anzeige

In einem Blogbeitrag haben die Pi-hole-Programmierer die Änderungen zusammengefasst und geben eine Übersicht über die geschlossenen Sicherheitslecks. Von den insgesamt sechs Schwachstellen gelten vier als hohes Risiko, eine als mittleres und eine als niedriges. User, die als „pihole“-User Code ausführen dürfen, können durch Ersetzen von „/etc/pihole/logrotate“ an root-Rechte gelangen (CVE-2026-50130, CVSS 8.8, Risiko „hoch“). Zudem war der Session-Timeout-Mechanismus faktisch wirkungslos, sodass jede jemals gültige Session-ID mit administrativem Zugang diesen dauerhaft gewährte (kein CVE-Eintrag, CVSS 8.8, Risiko „hoch“). Zudem waren Denial-of-Service-Attacken (DoS) aufgrund fehlender Ratenbegrenzung möglich (CVE-2025-62165, CVSS 7.5, Risiko „hoch“).

Angemeldete Admins konnten außerdem beliebige Befehle auf dem Pi-hole-Server ausführen, wenn Angreifer im Teleporter (das Tool zum Umzug von Pi-hole auf andere Systeme) zwei Lücken kombinierten (kein CVE-Eintrag, CVSS 7.2, Risiko „hoch“). Eine weitere Lücke erlaubte das Einschmuggeln von Befehlen, die als „pihole“-User im System ausgeführt werden (kein CVE-Eintrag, CVSS 6.6, Risiko „mittel“). Angemeldete Angreifer hätten zudem HTTP-Antwort-Header einschleusen können (kein CVE-Eintrag, CVSS 3.5, Risiko „niedrig“).

Die Sicherheitslücken schließen die Versionen Pi-hole-FTL v6.7, Pi-hole-Web v6.6 sowie Pi-hole-Core v6.4.3. Um die Aktualisierung auf die neuen Softwarestände durchzuführen, müssen Admins ein Terminal öffnen und darin den Befehl sudo pihole -up aufrufen. Der bringt die Komponenten auf den aktuellen Stand und startet die Dienste auch gleich neu. Interessierte finden zudem im Blogbeitrag detaillierte Änderungen und Verbesserungen an den Pi-hole-Komponenten.

Zuletzt hatte das Pi-hole-Projekt im Mai Schwachstellen im eingesetzten dnsmasq ausgebessert, durch die Angreifer etwa Schadcode hätten einschmuggeln können.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Progress warnt Admins: ShareFile deaktivieren


Progress hat Admins der Dokumentenaustausch-Plattform ShareFile – die ehemals unter Citrix ShareFile bekannt war – angeschrieben und sie aufgefordert, die Server umgehend herunterzufahren. Grund dafür ist demnach eine reale Bedrohungssituation durch Angreifer.

Weiterlesen nach der Anzeige

Ein Betroffener hat einen Screenshot der E-Mail von Progress auf Reddit geteilt. Das Unternehmen schreibt dort, dass es Grund zur Annahme hat, dass eine glaubwürdige Sicherheitsbedrohung von außerhalb besteht. Betroffen sind Progress ShareFile Storage Zone Controller. Es gebe keine Hinweise auf unbefugte Zugriffe auf ShareFile-Konten oder Daten. Als Vorsichtsmaßnahme hat Progress jedoch den Zugriff auf ShareFile-Konten über ShareFile-Controller temporär deaktiviert.

Progress weist dringend darauf hin, dass IT-Verantwortliche die Server herunterfahren müssen, auf denen die Storage-Zone-Controller laufen. Das sei ein dringend nötiger, zusätzlicher Schritt, um die Sicherheit der Daten zu gewährleisten.


E-Mail von Progress ShareFile mit Warnung vor externer Sicherheitsbedrohung und Handlungsaufforderung.

E-Mail von Progress ShareFile mit Warnung vor externer Sicherheitsbedrohung und Handlungsaufforderung.

Progress informiert Kunden über eine externe Sicherheitsbedrohung in ShareFile und fordert zum Herunterfahren der Server auf.

(Bild: Reddit-User)

Die temporären Zugriffsbeschränkungen habe das Unternehmen bereits umgesetzt, die zusätzlichen Maßnahmen von Admins seien als Vorsichtsmaßnahme nötig. Progress arbeite mit eigenen und externen IT-Sicherheitsexperten an der Untersuchung der potenziellen Bedrohung. Auf der Status-Seite zu ShareFile bestätigt Progress, dass das Unternehmen das Problem untersuche. Konkretere Hinweise etwa zum Auslöser nennt der Hersteller jedoch an keiner Stelle.

ShareFile war bereits im Visier von Angreifern, als die Plattform noch unter der Citrix-Flagge segelte. Mitte 2023 warnte die US-amerikanische Cybersicherheitsbehörde CISA vor beobachteten Angriffen auf den Datenaustauschdienst.

Weiterlesen nach der Anzeige


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Digital-Health-Podcast: Wie ein mehrfach Betroffener Datenlecks verhindern will


Cyberangriffe und Datenlecks im Gesundheitswesen sorgen regelmäßig für Schlagzeilen. Grund dafür sind oft veraltete Software, fehlende Verschlüsselung und eine Informationspflicht gegenüber Betroffenen, die kaum gelebt wird. Wie groß ist das strukturelle Versagen und wer trägt die Verantwortung?

Weiterlesen nach der Anzeige


Logo Digital-Health-Podcast

Logo Digital-Health-Podcast

Im Digital-Health-Podcast erklärt heise-online-Redakteurin Marie-Claire Koch gemeinsam mit Kolleginnen die Digitalisierung im Gesundheitswesen verständlich. Neben einer redaktionellen Einordnung gibt es regelmäßig Expertengespräche zu elektronischer Patientenakte, Telemedizin, KI, Gesetzgebung und den Auswirkungen für Praxen, Kliniken und Patientinnen.

Darüber spricht Marie-Claire Koch mit Manuel Dimmler, Softwareentwickler, der sich aus der Not heraus intensiv mit IT-Sicherheit beschäftigt. Er ist nicht nur vom Fach, sondern auch persönlich betroffen: Seine Familie war innerhalb von eineinhalb Jahren mit mehreren Datenschutzvorfällen im Gesundheitswesen konfrontiert – darunter auch ein Cyberangriff auf den Medizintechnikhersteller Zuther+Hautmann.

Bei den ZAR-Rehakliniken stieß Dimmler mehrfach auf Sicherheitslücken: Patientendaten inklusive medizinischer Befunde waren ohne Passwort und ohne Authentifizierung frei aus dem Internet abrufbar. Dass gemeldete Lücken oft nur punktuell geschlossen werden statt systematisch, hält er für symptomatisch.

Patienten bleiben dem weitgehend ausgeliefert. „Man kann ja nicht zu einer Reha-Klinik hingehen und sagen: ‚Ich würde gerne hier eine Reha machen, wie sicher ist ihre Software?‘ Da würden die einen erstmal komisch anschauen,“ sagt Dimmler. Außerdem geht es darum, dass Sicherheitsforscher eher kriminalisiert werden und welche konkreten Maßnahmen Dimmler für überfällig hält.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.

Lesen Sie auch


(mack)



Source link

Weiterlesen

Beliebt