[English]Die CompuGroup Medical SE & Co. KGaA, ein großer Medizindienstleister, ist Opfer eines Cyberangriffs geworden. Das hat der in Koblenz beheimatete Medizindienstleister am Montag, den 20.12.2021 eingestanden. Die internen IT-Systeme sind wohl betroffen, was einige Ärzte, Apotheken, Labore und Kliniken betreffen dürfte, wenn diese mit dem Unternehmen Kontakt aufnehmen wollen. Hier einige Informationen, was bekannt ist. Ergänzung: Es war wohl die LockBit-Ransomware-Gang, die inzwischen den Angriff für sich reklamiert.
Anzeige
Der Cyberangriff
Das Unternehmen CompuGroup Medical SE & Co. KGaA ist Opfer eines Cyberangriffs geworden. Ich bin durch mehrere Blog-Leser direkt (danke dafür), sowie über Twitter auf den Sachverhalt aufmerksam geworden.
Auf der Webseite des Unternehmens gibt es zur Zeit folgende erste Stellungnahme, die eine technische Störung des internen IT-Systems als Folge eines Angriffs bekannt gibt:
Technische Störung
Wir sind von einem Angriff auf unsere internen Systeme betroffen. Die Sicherheit der Daten unserer Kunden hat für uns oberste Priorität, daher haben wir wichtige Teile unserer Dienste isoliert. Wir überprüfen nach und nach wichtige Dienste, um sie wieder in Betrieb zu nehmen. Derzeit haben wir keine Anhaltspunkte dafür, dass sich der Angriff auf Kundensysteme ausgewirkt hat. Die Untersuchungen dauern an
Zuletzt aktualisiert am 20. Dezember 2021 um 16:40 Uhr CET.
In einem Update gegen 22:50 Uhr wird dann ein Ransomware-Angriff eingestanden, der sich auf die Verfügbarkeit einiger internen Systeme wie E-Mail und Telefondienste auswirkt.
Anzeige
Technische Störung — Update
Wir sind Ziel eines so genannten Ransomware-Angriffs geworden und haben sofort mit Gegenmaßnahmen reagiert. Die überwiegende Mehrheit unserer Kundensysteme ist in Betrieb und wird als sicher eingeschätzt, so dass unsere Kunden weiterarbeiten können. Derzeit haben wir keine Anzeichen dafür, dass der Angriff Auswirkungen auf Kundensysteme oder Kundendaten hat. Der Angriff hat die Verfügbarkeit einiger unserer internen Systeme wie E-Mail und Telefondienste beeinträchtigt. Dadurch ist die Verfügbarkeit unserer Dienste und Hotlines zurzeit reduziert, während wir unsere Systeme schrittweise wiederherstellen. Die Verfügbarkeit unserer Kundensysteme und die Integrität der Daten haben für uns weiterhin höchste Priorität. Wir überwachen weiterhin alle Systeme genau und arbeiten mit allen relevanten Behörden zusammen. Wir werden Sie über neue Entwicklungen auf dem Laufenden halten.
Zuletzt aktualisiert am 20. Dezember 2021 um 22:50 Uhr CET.
Dieses Update gibt aber an, dass die Kundensysteme nicht beeinträchtigt sind. Und der Ransomwareangriff soll auch keine Auswirkungen auf die Daten der Kunden gehabt haben.
LockBit-Ransomware
Ergänzung: Es war wohl die LockBit-Ransomware-Gang, die inzwischen den Angriff für sich reklamiert, siehe folgender Tweet.
Ergänzung: Auch CGM Systemhaus ist wohl betroffen – es heißt auf der Webseite "Wir sind aktuell leider nur eingeschränkt telefonisch unter der Rufnummer 0261-13492000 für Sie erreichbar." Anwender, die zu CGM MEDISTAR oder CGM TURBOMED haben, können über E-Mail Kontakt aufnehmen. Mir liegen aber Meldungen aus Praxen vor, dass da alles bezüglich der "Software brennt" und wenig geht.
Die CompuGroup Medical SE & Co. KGaA?
Die CompuGroup Medical SE & Co. KGaA (auch CGM) ist ein börsennotiertes Softwareunternehmen mit Sitz in Koblenz, welches mit ca. 8000 Mitarbeitern (2021) und 746 Millionen Euro Umsatz (2019) zu den führenden internationalen Anbietern von Software für das Gesundheitswesen zählt. Es produziert Anwendungssoftware zur Unterstützung ärztlicher und organisatorischer Tätigkeiten in Arztpraxen, Apotheken, medizinischen Laboratorien und Krankenhäusern. Das Unternehmen hat über 1,5 Millionen Nutzer in 56 Ländern. Seit September 2013 ist die Aktie der CompuGroup Medical Bestandteil des Börsenindexes TecDAX.
Ähnliche Artikel:
Media Markt/Saturn: Ransomware-Angriff durch Hive-Gang, 240 Mio. US $ Lösegeldforderung
Cyber-Angriff auf Eberspächer-Gruppe – Belegschaft in Kurzarbeit
Ransomware-Angriff auf Arztdienstleister medatixx
Ransomware-Angriff auf Media Markt/Saturn
Cyber-Angriff auf IKEAs-Mail-System, Trojaner im Gepäck
Kisters AG Opfer eines Ransomware-Angriffs (10./11. Nov. 2021)
Cyber-Angriffe auf Pädagogische Hochschule Weingarten
Bestätigt: Volvo wurde Opfer eines Cyberangriffs der Snatch-Ransomware-Gruppe
Aua: Pluszahnärzte von Cyberangriff betroffen (Dez. 2021)
Software-Anbieter Kronos/UKG durch Ransomware befallen, für Wochen außer Gefecht
Log4j-Infos, belgisches Verteidigungsministerium betroffen?
Insides zu Irlands Health Service Executive Ransomware-Fall im Mai 2021
Anzeige
Ich habe es geahnt bzw. vor einigen Tagen festgestellt (über das bereitgestellte PS-Script) – die Software von denen benutzt Log4J-Bibliotheken mit ganz alten Versionsständen!
Was macht man denn da jetzt – die Praxen müssen kurz vor Quartalsende zur Abrechnung ein Update laden…!
Und nun? Machen oder lassen? Und vor allem, wie erklär ichs meinen "Kindern" – das verstehen die eh nicht, die wollen nur ihre Abrechnung machen!
Ich denke, Du wirst die Kunden aus den Praxen die Abrechnung machen lassen müssen. Besteht dort die Möglichkeit die ausgehenden Verbindungen auf die vorhandenen Connectoren zu begrenzen? Existieren die Connectoren-Gegenstellen denn noch – irgendwo habe ich mitbekommen, dass die Infrastruktur auch abgeschaltet worden ist – obwohl am 18.12. die COVID-19-Zertifikate-Struktur funktioniert hat.
Dafür hat der Drucker der Arztpraxis geschmiert und ich musste die QR-Codes aus der Praxis, den meine Frau und ich bekommen haben, elektronisch nachbearbeiten, um unsere COVID-19-Zertifikate einscannen zu können. Ich liebe ja Digitalisierung – früher musstest Du dir die irre Geschichte geben, ein zerfleddertes Impfbuch mitzunehmen, wenn nach Impfungen gefragt wird. Heute hast Du das alles schön digital auf dem Handy, zitterst, dass das Akku gerade leer ist und kannst im Fall der Fälle doch nichts mit dem Digital-Zeugs anfangen, weil mal wieder was gestört ist.
Die Impfzertifikate werden über das KV-Net erstellt, was nicht direkt mit CGM verbunden ist. Die Software (Turbomed) realisiert zwar die Konnektivität, aber die Route endet nicht bei CGM. Die QR Codes können also weiterhin erstellt werden. Das mit dem problematischen Ausdruck wird ein Software- oder Druckerfehler gewesen sein.
War ein Druckerfehler, der Laser hat geschmiert – tödlich bei QR-Codes. Ich habe dann elektron. nachbearbeitet und am Monitor mit Vergrößerung gescannt – dann ging es.
Guten Morgen,
verwunderlich, dass man nichts auf den bekannten Nachrichtenseiten (go..m, he..e usw.) darüber liest.
CGM ist nicht der erste Softwareanbieter im med. Bereich den es getroffen hat, davor hat Medatixx diese Probleme erfahren dürfen.
Die KV-Abrechnung dürfte davon nicht betroffen sein, da die Daten im eigenen System verschlüsselt und erst dann direkt zur KV übertragen werden (ausser man hat sich das ev. als Dienstleistung eingekauft).
Dann kann man aber eigentlich mit der KV eine Ausnahmeregelung vereinbaren, da ja der AIS-/PVS-Anbieter von einem "GAU" betroffen ist. Man sollte die KV jetzt halt nur schnellstmöglich informieren.
Schwierige Kiste mit den bekannten Nachrichtenseiten. Als Blogger habe ich das Privileg, a) schnell reagieren zu können und b) eine tolle Leserschaft zu haben und c) etwas vernetzt zu sein. Dank meiner Leserschaft habe ich sowohl zu Medatixx (da war ich gerade in Bad Ems, um eine Reha eines Familienangehörigen ein paar Tage zu beobachten), als auch zu CompuGrout Medical SE Hinweise aus der Leserschaft sowie Infos auf Twitter bekommen. Da ein fettes Danke (es haben sich 5 Leute gemeldet).
Wenn ich noch etwas an Belastungsmaterial bekomme (es gab einen Kontakt, der mir schrieb, dass er das vor einem Jahr bereits den oben genannten Medien als Risiko geschildert hat), kann ich ggf. heise einen Vorschlag für eine Artikel machen. Aber ich muss da nicht unbedingt was zu schreiben – bin ja Unruheständler ;-).
Ich empfehle Ihnen ein formloses Kontaktformular einzurichten für anonyme Hinweise :)
Die E-Mail-Adresse ist im Impressum – und es gibt Tipp-Geber, die dann eine Freemail-Adresse für die Nachrichten verwenden. Und wer mich kontaktiert, kann anonym bleiben, wenn gewünscht. Da gibt es dann sogar Infos von Mitarbeitern eines großen Arbeitgebers in Redmond …
Wenn es gar zu anonym bleibt – und ich bei Bedarf nicht mal nachfragen und/oder Fakten checken kann, nützt mir die Information nicht immer was. Gab da durchaus das Problem, dass ich solche Infos unter dem Gesichtspunkt "schmutzige Wäsche waschen" dann unter den Tisch fallen lassen musste. Denn als Blogger bewege ich mich in einem Rechtsrahmen, wo es durchaus schon mal eine Abmahnung geben könnte. Da ist es dann gut, wenn man Aussagen mit Fakten belegen kann.
Spinnen wir das ganze aber mal weiter… Die Angreifer sind ja nun clevere Leute, vielleicht war gar nicht die interne Infrastruktur von CGM das Ziel, sondern die Daten und Codes der Connectoren.
Die Koco-Box (Connector) die von CGM bereitgestellt wird, ist in vielen Praxen installiert und das Tor zum KV-Net und der TI (Telematik Infrastruktur). Wenn die Angreifer die internen Dokumente des Connectors (Aufbau, Struktur, Framework, Schnittstellen, API, Softwarecode) bekommen haben, dann seh ich schwarz. Weil man dann ohne weiteres Verbindung in das hochsensible KV-Net bekommt und Zugang zu Patientendaten, Impfdaten, KKS-Daten etc. hat.
> Angreifer sind ja nun clevere Leute
Korrekt. Daher werden viele erfolgreiche Angriffe mit dem Ziel einer reinen Datenextraktion bzw. dem Weiterhoppen in andere Netze überhaupt nicht bemerkt.
Bei Ransomware Angriffen, die man als Betroffener naturgemäss sehen kann, ist die Zielsetzung eine ganz andere.