IBM App Connect Enterprise ist unter anderem über eine „kritische“ Sicherheitslücke attackierbar. Angreifer können sich unter anderem höhere Nutzerrechte verschaffen. Sicherheitsupdates stehen zum Download bereit.

Systeme vor möglichen Angriffen schützen

Wie aus einer Warnmeldung hervorgeht, betreffen die Schwachstellen verschiedene Softwarekomponenten wie den JSON-Parser flatted. Darin steckt die kritische Lücke (CVE-2026-33228). Aufgrund von unzureichenden Prüfungen können Angreifer im Zuge einer Prototype-Pollution-Attacke präparierte JSON-Datenpakete an verwundbare Instanzen schicken und sich so etwa höhere Nutzerrechte verschaffen.

Aufgrund einer DoS-Lücke in fast-xml-parser (CVE-2026-33036 „hoch“) kann es zu Abstürzen kommen. Details zu den weiteren nun geschlossenen Schwachstellen stehen in der verlinkten Warnmeldung.

Die Entwickler versichern, die Sicherheitsprobleme in IBM App Connect Enterprise v12- Fix Pack Release 12.0.12.25 und IBM App Connect Enterprise v13- Fix Pack Release 13.0.7.0 gelöst zu haben. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen.

(des)

Am Mittwoch dieser Woche hatten der Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) ihre Warnung aus dem Februar vor Phishing-Attacken auf den Signal-Messenger hochrangiger Persönlichkeiten wie Politiker, Militärs und Diplomaten sowie Investigativjournalisten aktualisiert und bekräftigt. Einem Medienbericht zufolge ist die zweite Frau im Staat, Bundestagspräsidentin Julia Klöckner, Opfer eines solchen Spionageangriffs geworden.

Das haben dem Spiegel zufolge mehrere Quellen bestätigt. Die erneute Warnung der Sicherheitsbehörden ist offenbar auch darauf zurückzuführen. Klöckner hat nicht nur das zweithöchste Amt in Deutschland inne, sondern ist auch Teil des CDU-Präsidiums, das ebenfalls Signal-Chatgruppen nutzt – wo auch Bundeskanzler Friedrich Merz Teilnehmer ist. Merz wurde dem Bericht zufolge vom Bundesamt für Verfassungsschutz persönlich über den Vorgang unterrichtet. Die Untersuchung des Kanzler-Handys habe anders als bei Klöckner jedoch keine Auffälligkeiten ergeben.

Insgesamt sollen inzwischen mindestens 300 Betroffene in Deutschland bekannt sein. Der Verfassungsschutz hat demnach vor der öffentlich aktualisierten Warnung bereits am Dienstag die Fraktionsspitzen der Parteien im Bundestag sowie die Parteigeschäftsstellen vor der andauernden Messenger-Phishing-Kampagne in einem 20-seitigen Schreiben gewarnt.

Phishing-Masche „Signal-Support“

Die Masche der Phishing-Kampagne fußt darauf, dass die Angreifer sich etwa als Signal-Support bei potenziellen Opfern ausgeben und die Eingabe von Zugangsdaten fordert. Damit können sie die Konten übernehmen – entweder weitere Geräte hinzufügen und heimlich die Konversationen mitlesen oder das Konto komplett kapern und die Besitzer aussperren. In letzterem Fall können die bösartigen Akteure möglicherweise weitere Opfer finden oder sich als das Opfer ausgeben und mit den Kontakten kommunizieren. Die Verortung der Angreifer weist Richtung Russland, es handelt sich mutmaßlich um russisch-staatliche Akteure.

BfV und BSI haben gemeinsam einen Leitfaden veröffentlicht, der potenziellen Opfern rasch helfen soll, herauszufinden, ob sie erfolgreich attackiert wurden. Darin geben die Behörden auch Handlungsempfehlungen. Der Leitfaden scheint mit heißer Nadel gestrickt und enthält für einen Fall unlogische Tipps. Wenn das Konto übernommen und Besitzer ausgesperrt wurden, sollen diese etwa die PIN für den Zugriff aktualisieren – das kann aber nicht klappen. Der Kontakt des echten Signal-Supports ist da die korrekte Reaktion, die auch als weiterer Schritt genannt wird.

(dmk)

Cyberangriffe auf Krankenhäuser und andere Gesundheitseinrichtungen sind inzwischen an der Tagesordnung – die Digitalisierung des Gesundheitswesens schafft neue Angriffsflächen. Die Angriffe treffen Versorgung, Verwaltung und im Zweifel auch die Patientensicherheit. Auf dem Panel „Building Cyber-Resilient Health Systems: Nordic and German Strategies in Practice“ diskutierten Dr. Päivi Sillanaukee (Finnland), Søren Bank Greenfield (Dänemark), Just Ebbesen (Norwegen) und Stephan Krumm (Deutschland) unter der Moderation von Beatrice Kluge (Gematik), warum der Abstand zwischen Strategie und Wirklichkeit im Gesundheitswesen noch immer groß ist.

Strategien gibt es genug – es fehlt an der Umsetzung

Gleich zu Beginn wurde ein Grundproblem angesprochen: Auf europäischer und nationaler Ebene gibt es inzwischen zahlreiche Strategien, Vorschriften und politische Leitlinien. In der Praxis fehlt jedoch oft die Übersetzung in handhabbare Prozesse.

Søren Bank Greenfield, Leiter der Abteilung für Cyber- und Informationssicherheit bei der dänischen Health Data Authority, verdeutlichte, dass Kooperation zwar unverzichtbar sei, „geteilte Verantwortung“ allein in der Praxis aber nicht ausreiche. Entscheidend seien klar definierte Zuständigkeiten. Das eigentliche Defizit liege aus seiner Sicht darin, „dass Politik häufig Regeln formuliert, aber nicht ausreichend zeigt, wie diese in realen Organisationen umgesetzt werden sollen.“

Greenfield plädierte deshalb dafür, politische Maßnahmen immer mit konkreten Leitlinien, Pilotansätzen und Umsetzungswerkzeugen zu verbinden. Vorschriften müssten parallel zur Praxis gedacht werden, nicht von ihr losgelöst.

Mensch bleibt größte Schwachstelle

Dr. Päivi Sillanaukee, Sonderbeauftragte für Gesundheit und Wohlbefinden im finnischen Ministerium für Soziales und Gesundheit, lenkte den Blick auf den menschlichen Faktor. Viele Sicherheitsvorfälle hätten ihren Ursprung nicht in der Technik selbst, sondern in Fehlern bei Anwendung, Organisation und Aufsicht. Standards und Regeln seien wichtig, müssten aber verstanden, eingeübt und kontrolliert werden.

Als Beispiel verwies Sillanaukee auf den bekannten finnischen Vastaamo-Datenskandal aus dem Jahr 2020, bei dem Patientendaten eines privaten Psychotherapieanbieters im Netz landeten. Das Problem habe damals nicht in fehlender Regulierung gelegen, sondern darin, dass bestehende Vorgaben nicht umgesetzt worden seien. Daraus leitete sie die Notwendigkeit ab, neben Bewusstseinsbildung und Übungen auch die Aufsicht über die tatsächliche Implementierung von Sicherheitsmaßnahmen zu stärken.

Kliniken sitzen im Dilemma zwischen Schutz und Datennutzung

Die Krankenhausperspektive brachte Just Ebbesen, Sonderbeauftragter für Gesundheit und zukünftige Krankenhäuser am Universitätsklinikum Oslo / Norway Health Tech, in die Diskussion ein. Er arbeitet an der Schnittstelle von künftiger Klinikorganisation, neuen Versorgungsmodellen, Digitalisierung und Industriekooperation. Aus seiner Sicht stehen Kliniken vor einem strukturellen Zielkonflikt: „Einerseits müssen sie Systeme absichern, andererseits sind sie zunehmend auf Datenintegration, externe Geräte, Dienstleister und digitale Schnittstellen angewiesen“.

Gerade in spezialisierten Gesundheitseinrichtungen fallen heute enorme Datenmengen an. Wie diese Daten sicher genutzt werden können, ohne die Privatsphäre von Patientinnen und Patienten zu gefährden, erforscht etwa das Projekt AnoMed – mit dem Ziel, Gesundheitsdaten für Forschung und KI-Entwicklung nutzbar zu machen. Gleichzeitig sind Primärversorgung, Spezialversorgung und externe Datenquellen vielerorts noch unzureichend miteinander verbunden. Das erschwert nicht nur die Versorgung, sondern erhöht auch die Komplexität bei der Absicherung.

Deutschland: Regulierung, Fördermittel und Monitoring

Stephan Krumm, Fachreferent für Cybersicherheit und Interoperabilität beim Bundesministerium für Gesundheit, schilderte die deutsche Perspektive. Für Krankenhäuser gebe es bereits seit mehreren Jahren verbindliche Anforderungen an die Cybersicherheit. Die Herausforderung bestehe nun darin, sichtbarer zu machen, wo in der Praxis noch die größten Lücken liegen.

Zu diesen Baustellen gehörten unter anderem Altsysteme, fehlende Netzwerksegmentierung und der sehr unterschiedliche Reifegrad einzelner Einrichtungen. Krumm verwies in diesem Zusammenhang auf das Krankenhauszukunftsprogramm und den DigitalRadar, mit dem auch Fortschritte im Bereich der digitalen Reife und Cybersicherheit beobachtet werden.

Regulierung bleibt reaktiv

Ein wiederkehrendes Thema des Panels war die Geschwindigkeit von Bedrohungen. Dass Regulierung in der Praxis oft zu langsam greift, zeigte sich zuletzt auch beim BSI-Sicherheitskongress, wo die NIS-2-Umsetzung weit hinter den Erwartungen zurückblieb. Die Diskutierenden waren sich weitgehend einig, dass Regulierung fast zwangsläufig langsamer ist als die Entwicklung neuer Angriffsformen.

Greenfield argumentierte, Politik könne immer nur auf bekannte Risiken reagieren. Statt zu versuchen, jede neue Bedrohung einzeln zu regulieren, müsse der Fokus stärker auf universelle Fähigkeiten gelegt werden: Erkennung von Vorfällen, Zusammenarbeit zwischen Organisationen, Krisenmanagement, Kommunikationswege und belastbare Vertrauensstrukturen.

Kleine Einrichtungen als systemisches Risiko

Ein besonders wichtiger Punkt kam von Greenfield: „Kleine Praxen, Kliniken und andere medizinische Einrichtungen sind oft die übersehene Schwachstelle in einem immer stärker vernetzten Gesundheitssystem.“ Diese Einrichtungen wollten die Regeln meist einhalten, hätten aber weder die nötigen Fachkräfte noch die Zeit, sich tief in komplexe Sicherheitsanforderungen einzuarbeiten.

Deshalb warb Greenfield für einfache und robuste Unterstützungssysteme, die kleinere Einrichtungen technisch entlasten. Wenn immer mehr Akteure digital miteinander verbunden würden, dann müsse man auch die schwächsten Glieder dieser Kette gezielt absichern.

Norwegische Sicht: Pragmatismus statt Perfektion

Ebbesen argumentierte mehrfach für einen pragmatischen Ansatz. „Gesundheitssysteme könnten nicht vollständig abgeschottet werden, wenn sie zugleich moderne, datengetriebene Versorgung anbieten wollen. Entscheidend sei deshalb, Mittel dort einzusetzen, wo sie den größten Nutzen für Sicherheit und Versorgung gleichzeitig stiften.“

Europa soll seine Kräfte bündeln

Zum Ende weitete sich die Diskussion auf die europäische Ebene aus. Sillanaukee hob hervor, dass nordische Kooperation, gemeinsame Übungen und langfristige Austauschstrukturen wertvolle Erfahrungen geliefert hätten. Solche Formate müssten konsequenter auf europäischer Ebene gedacht werden.

Krumm unterstrich schließlich, „dass Europa bei künftigen KI-gestützten Bedrohungen nicht nationalstaatlich denken kann. Kein einzelnes Land wird auf Dauer mit den Ressourcen großer internationaler Technologieanbieter mithalten können.“ Wenn Europa eigene Antworten entwickeln wolle, müsse es Kompetenzen, Wissen und Fähigkeiten stärker bündeln.

Das Panel war sich einig, dass Cybersicherheit im Gesundheitswesen weit mehr ist als ein IT-Thema. Es gehe um Organisation, Zuständigkeiten, Ausbildung, Standards, Finanzierung und internationale Zusammenarbeit. Die größten Probleme lägen nicht unbedingt im Fehlen von Strategien, sondern darin, sie unter realen Bedingungen in Krankenhäusern, Praxen und anderen Einrichtungen wirksam umzusetzen.

(vza)