Unbefriedigende Antwort des BSI auf eine Anfrage zur Sicherheit der Telematik-Infrastruktur nach der Ransomware-Attacke auf das Unternehmen medatixx
Am 09.11.2021 meldete die gematik auf ihrer Homepage: „Wie die medatixx GmbH auf ihrer Webseite erklärt, ist das Unternehmen Opfer eines Cyberangriffs geworden, bei dem wichtige Teile der internen IT-Systeme verschlüsselt wurden. Die medatixx GmbH ist ein Anbieter von Praxissoftware für Ärzte und betreut in diesem Kontext viele Kunden…“
Offensichtlich sind bei Medatixx durch den Hackerangriff größere und schwer zu lösende Probleme entstanden. Das macht eine Veröffentlichung von Medatixx vom 20.12.2021 (am 26.12.2021 noch immer auf der medatixx-Homepage zu finden) deutlich: „Intensive Analysen im Rahmen der forensischen Untersuchungen des Angriffes ergaben, dass die in Praxen, MVZs und Ambulanzen eingesetzten Praxissoftwarelösungen von medatixx durch den sich in der ersten Novemberwoche ereigneten Cyber-Angriff mit hoher Wahrscheinlichkeit nicht betroffen sind. Darüber hinaus konnten bereits wichtige Schritte zur Wiederherstellung der Erreichbarkeit von Telefon, Sammel-E-Mailadressen sowie Software- und technischem Support der medatixx abgeschlossen werden…“
Quelle: Homepage von medatixx
Ein Mitglied des Vereins Patientenrechte und Datenschutz e. V. nahm das Problem als Anlass für eine Anfrage nach den Bestimmungen des Informationsfreiheitsgesetzes (IFG) an das BSI:
„… Meine Fragen an das BSI:
- Hält das BSI das Ändern von Passwörtern für eine ausreichende Maßnahme, um die Integrität von kompromittierten Systemen wiederherzustellen?
- Kann das BSI ausschließen, dass die Angreifer Zugangsdaten zu Systemen erlangen konnten, die Patientendaten verarbeiten?
- Hat das BSI die Betreiber der Praxissysteme informiert, dass eine Kompromittierung der Systeme nicht ausgeschlossen werden kann?
- Welche Maßnahmen empfiehlt das BSI den potentiell Betroffenen?
- Wird eine Neuinstallation der Praxissoftware empfohlen?
- Hat das BSI in seinen bisherigen Risikobetrachtungen eine so großflächige mögliche Kompromittierung von Praxissystemen berücksichtigt? Falls ja: Bitte entsprechende Unterlagen zur Verfügung stellen. Falls nein: Wird diese Risikobetrachtung nun nachgeholt?
- Kann ausgeschlossen werden, dass die Angreifer Zugriff auf Zertifikate oder Quellcodes von PVS, Konnektor oder anderen Produkten von Medatixx hatten?
- Kann ausgeschlossen werden, dass vorhergehende Updates des Praxisverwaltungssystems o.a. betroffen sind?
- Erfolgte der Angriff auf Medatixx mit einem bekannten Typ von Ransomware und wenn ja, mit welchem?“
Die Anfrage wurde dem BSI am 21.11.2021 per E-Mail übermittelt. Die Antwort des BSI ging bei dem Anfrager am 10.12.2021 ein. Sie war ebenso kurz wie inhaltlich unbefriedigend:
„… bei Ihrer Anfrage handelt es sich nicht um eine Anfrage im Sinne des Informationfreiheitsgesetzes (IFG), sondern um ein allgemeines Auskunftsbegehren… Das Unternehmen Medatixx GmbH wurde nach eigenen Angaben von einer Ransomware befallen. Betroffen seien laut Angabe von Medatixx nur interne IT-Systeme und keine Kundensysteme, dementsprechend gebe es keine Beeinträchtigung für die Praxis-Verwaltungssysteme. Dennoch empfiehlt das Unternehmen seinen Kunden, vorsorglich Passwörter für die entsprechenden Softwaresysteme zu ändern, insbesondere für den sog. Konnektor, über den eine Praxis mit der Telematik-Infrastruktur des Gesundheitswesens verbunden ist. Aus Sicht des BSI ist es ratsam, jegliche Kennwörter im Zusammenhang mit den Prozessen zu ändern. Für den Fall, dass ein System kompromittiert ist, genügt eine Änderung einzelner Passwörter vermutlich nicht, dies ist allerdings nur durch eine umfassende System-Analyse feststellbar. Und letztlich verweise ich gerne darauf, dass das BSI zum Thema Ransomware konkrete Hilfen für Prävention und Reaktion im Schadensfall bereitstellt, diese finden Sie an folgender Stelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ran[..] …“
Vor dem Hintergrund, dass
- die Probleme bei medatixx noch immer nicht behoben sind und
- zwischenzeitlich auch die CGM CompuGroup, der größte deutsche Anbieter von Hard- und Software für das Gesundheitswesen, Opfer eines Hackerangriffs wurde
kann die lapidare Antwort des BSI nur als ungenügend bewertet werden.