Anfrage an das BSI zur Sicherheit der Telematik-Infrastruktur nach der Ransomware-Attacke auf das Unternehmen medatixx GmbH & Co. KG
Am 09.11.2021 meldete die gematik auf ihrer Homepage: „Wie die medatixx GmbH auf ihrer Webseite erklärt, ist das Unternehmen Opfer eines Cyberangriffs geworden, bei dem wichtige Teile der internen IT-Systeme verschlüsselt wurden. Die medatixx GmbH ist ein Anbieter von Praxissoftware für Ärzte und betreut in diesem Kontext viele Kunden…“
Medatixx ist nach der CMG CompuGroup Medical der zweitgrößte Anbieter von Software für die Praxen von Ärzt*innen und Psychotherapeut*innen und soll in diesem Segment einen Marktanteil von 25 % haben. Auch die Software für die in den Praxen eingesetzten Konnektoren zum Anschluss an die Telematik-Infrastruktur wird von medatixx angeboten.
Offensichtlich sind bei Medatixx durch den Hackerangriff größere und schwer zu lösende Probleme entstanden. Denn zehn Tage später, am 19.11.2021 meldet das Unternehmen: „Wir können erste Erfolge vermelden bei der Wiederherstellung der Erreichbarkeit für unsere Anwenderinnen und Anwender… Wir arbeiten weiter daran, unsere gewohnten Support-Zeiten schrittweise wieder anbieten zu können…“ Um dann zur Beruhigung der Nutzer*innen mitzuteilen: „Nach jetzigem Stand richtete sich der Angriff gegen medatixx als Unternehmen, nicht gegen unsere Kunden. Die Funktionalität der Systeme in Ihrer Praxis / Ihrem MVZ / Ihrer Ambulanz ist nach heutigem Erkenntnisstand nicht betroffen.“ Eine Aussage, die auch die gematik in ihrer Meldung vom 09.11.2021 verbreitetet.
Wie passt dazu der unmittelbar folgende Hinweis?
„Wir empfehlen Ihnen ausdrücklich, unverzüglich vorsorglich Ihre Passwörter zu ändern… Passwortänderung in der Praxissoftware… Passwortänderung am TI-Konnektor… Passwortänderungen außerhalb der Praxissoftware: Windows-Anmeldungen, IT-Sicherheitssystem etc.“
Diese Frage stellte sich ein Mitglied des Vereins Patientenrechte und Datenschutz e. V. und hat deshalb versucht, auf der Homepage des Bundesamts für Sicherheit in der Informationstechnik (BSI) weitere Informationen zu finden. Leider vergeblich:
Quelle: Homepage des BSI
Dies war Anlass für eine Anfrage nach den Bestimmungen des Informationsfreiheitsgesetzes (IFG) an das BSI:
„Sehr geehrte Damen und Herren, nach dem Ransomware-Angriff auf das Unternehmen medatixx GmbH & Co. KG hat auch die Gematik in einer Pressemitteilung darauf hingewiesen, dass zum Schutz der IT-Systeme in den Praxen, die Fernwartung, Software oder Hardware von Medatixx nutzen, u. a. die Passwörter der Praxissoftware, der Windows Anmeldung, Server und Firewalls sowie des Konnektors geändert werden sollten. Somit scheint nicht ausgeschlossen zu sein, dass Passwörter von Praxen kompromittiert wurden, selbst wenn Virenscannern und auch Hardware-Firewalls eingesetzt werden. In ‚IT-Sicherheit: Beispiele und Tipps für Praxen zum Umgang mit Cyber-Kriminalität‘ unter Punkt 4 der Beispiele beschreibt die KBV ein vergleichbares Szenario. Es kann aber nicht davon ausgegangen werden, dass sich immer ein Angriff durch Fehlermeldungen im Praxisverwaltungssystem bemerkbar macht. Des weiteren sollte davon ausgegangen werden, dass eine Dateiverschlüsselung eher zum Ende eines Ransomware-Angriffs erfolgt und zuvor Daten unbemerkt aus dem Zielsystem, zwecks weiterer Erpressungsversuche durch Veröffentlichung, kopiert werden. Die KVB empfiehlt aber explizit ein komplette Neuinstallation des Servers und des Fernzugriff-Computers und nicht wie die Gematik lediglich ein Ändern der Passworte.
Meine Fragen an das BSI:
- Hält das BSI das Ändern von Passwörtern für eine ausreichende Maßnahme, um die Integrität von kompromittierten Systemen wiederherzustellen?
- Kann das BSI ausschließen, dass die Angreifer Zugangsdaten zu Systemen erlangen konnten, die Patientendaten verarbeiten?
- Hat das BSI die Betreiber der Praxissysteme informiert, dass eine Kompromittierung der Systeme nicht ausgeschlossen werden kann?
- Welche Maßnahmen empfiehlt das BSI den potentiell Betroffenen?
- Wird eine Neuinstallation der Praxissoftware empfohlen?
- Hat das BSI in seinen bisherigen Risikobetrachtungen eine so großflächige mögliche Kompromittierung von Praxissystemen berücksichtigt? Falls ja: Bitte entsprechende Unterlagen zur Verfügung stellen. Falls nein: Wird diese Risikobetrachtung nun nachgeholt
- Kann ausgeschlossen werden, dass die Angreifer Zugriff auf Zertifikate oder Quellcodes von PVS, Konnektor oder anderen Produkten von Medatixx hatten?
- Kann ausgeschlossen werden, dass vorhergehende Updates des Praxisverwaltungssystems o.a. betroffen sind?
- Erfolgte der Angriff auf Medatixx mit einem bekannten Typ von Ransomware und wenn ja, mit welchem?“
Auf die Antworten des BSI darf man gespannt sein.
Welche Unterlagen liegen der zuständigen Datenschutzbehörde dazu vor?
Was wurde wann gemeldet?