Beim Laborbetrieb des medizinischen Dienstleisters amedes kommt es seit Dezember 2022 zu massiven Störungen – angeblich wegen einer Netzwerkstörung. Auf den Webseiten des Anbieters kann ich dazu nichts finden – die Umstände werfen bei mir die Frage auf, ob das Unternehmen Opfer eines Cyberangriffs geworden sein kann. Ergänzung: Stellungnahme von amedes nachgetragen.
Anzeige
amedes Medizinische Dienstleistungen
Die amedes-Gruppe bietet an über 70 Labor- und Praxisstandorten in Deutschland und Belgien interdisziplinäre und medizinisch-diagnostische Dienstleistungen für Patienten, niedergelassene Ärzte und Kliniken an. Das Unternehmen betreibt laut Wikipedia interdisziplinäre und medizinisch-diagnostische Dienstleistungen für Patienten, niedergelassene Ärzte und Krankenhäuser an über 90 Standorten in Deutschland, Österreich, Belgien und Dubai.
Die Muttergesellschaft hat ihren Sitz in Göttingen und befindet sich seit 2022 im Besitz einer Eigentümer-Gruppe aus Infrastruktur- und Pensionsfonds, bestehend aus OMERS Infrastructure, Goldman Sachs Asset Management und AXA IM Alts.
Eingeschränkter Laborbetrieb seit Dezember 2022
Ein Blog-Leser, der anonym bleiben möchte, hat mich per Mail informiert, dass die Amedes Laborkette die digitale Kommunikation, also digitaler Abrufe von Laboranforderungen und Befundübermittlung, seit 25.12.2022 hat eingestellt habe. Begründet wird dies mit einem Netzwerkproblem, welches auf Anfrage in einem Schreiben (siehe Screenshot) ohne Details benannt wird.
Anzeige
Es wird mitgeteilt, dass der Laborbetrieb bei amedes auf Grund einer schweren Netzwerkbeeinträchtigung weiterhin erheblich beeinträchtigt sei. Die Meldung stammt vom 28. Dezember 2022, meine Quelle berichtet von Problemen ab dem 25. Dezember 2022. Die Übermittlung der Befunde soll laut obigem Schreiben telefonisch erfolgen. Im Schreiben wird die Hoffnung ausgedrückt, das die "Netzwerkprobleme baldmöglichst behoben werden könnten".
Kann natürlich alles passieren, aber drei Tage Netzwerkstörung wären schon eine Hausnummer. Wir haben jetzt den 5. Januar 2023, und es scheint, dass das Problem immer noch besteht bzw. nicht wirklich mit einer Ursache benannt wurde. Meine Quelle aus der IT eines Krankenhauses hat Kollegen anderen Klinken kontaktiert und man kommt zum Schluss, dass etwas gravierenderes bei amedes passiert sein muss. Meine Quelle berichtet nach Kontakten mit der Telefonhotline von amedes folgendes:
- Bei der internen IT-Hotline laufe eine Bandansage, der zufolge alle ins Büro kommen sollen, weil VPN nicht funktioniert
- Die Kommunikation via Internet ist komplett eingestellt
Beim Versuch, die internen Kontakte in der IT von amedes auf den Sachverhalt anzusprechen, werde herumgedruckst. Es besteht der Eindruck, dass es Antworten so zu formulieren seien, dass diese nicht gegen die (obige) Firmenkommunikation verstoßen. Der Leser hat an Hand des Problembilds aber den Eindruck gewonnen, dass beim Dienstleister ein Cyberangriff – möglicherweise ein Ransomware-Befall mit Verschlüsselung der Daten – passiert sein könnte. Ein Mitarbeiter an der Telefonhotline hat sich wohl unvorsichtiger Weise verplappert und einen Hack bestätigt, wird kolportiert.
Bisher keine Meldung
Ich habe kurz im Internet gesucht und nichts bezüglich einer Meldung eines aktuellen Cyberangriffs gefunden. Natürlich kann es eine technische Netzwerkstörung sein. Es wäre aber arg bedenklich, wenn es sich bei der Netzwerkstörung um die Folge eines Cyberangriffs mit möglicherweise einem Ransomware-Angriff handelt, ohne dass dies kommuniziert wird. amedes bearbeitet mehr als 20.000 Fälle jährlich im Laborbetrieb des Gesundheitssystems, erfüllt als Unternehmen also die KRITIS-Voraussetzungen. Ich denke, dass sich die Datenschutz- und IT-Verantwortlichen in Praxen und Krankenhäusern da schon die Frage stellen, was da los ist und ob persönliche Daten von Patienten möglicherweise von einem Datenschutzvorfall betroffen sind.
Das alles könnte die amedia Gruppe mit einem klaren Statement entkräften oder aber – im Falle eines Cyberangriffs – zumindest kommunizieren. Ich werde die amedia Gruppe bezüglich dieses Artikels anfragen und ggf. die erhaltene Stellungnahme hier veröffentlichen.
Ergänzung: Die Nacht ist eine Anfrage mit Bitte um Stellungnahme an amedes per Mail herausgegangen. Eine Antwort steht aus. Als ich die die Nacht deren Hotline angerufen habe, wurde ich per Bandansage auf die Büroöffnungszeiten verwiesen. Beim Kontrollanruf auf die Telefonnummer 0800 5891-669 um 12:30 Uhr (5.1.2022) erfolgte die Bandansage, dass aus datenschutzrechtlichen Gründen keine Auskunft erteilt werden können. Man möge sich an den Arzt wenden.
Ist das immer so gehandhabt worden? Die obige Telefonnummer wird von der amedes Medizinische Dienstleistungen GmbH im Impressum als Kontaktmöglichkeit angegeben. Bin jetzt doch etwas verwirrt – ist diese Bandansage immer schon so gewesen?
Stellungnahme von amedes
Inzwischen hat sich amedes bei mir per E-Mail gemeldet und Unternehmenssprecherin Julia Ahlers bestätigt zum 5. Januar 2023 (13:47 Uhr) folgendes auf meine Anfrage:
unsere Telefonzentrale übermittelte mir Ihre Fragen, die ich Ihnen gern nachfolgend beantworte:
Bestehen die Netzwerkkommunikationsprobleme samt dem berichteten Zwang zur Übermittlung der Laborbefunde per Telefon weiterhin?
Die Laborbefunde wurden immer schriftlich per Fax oder per Fahrer übermittelt. In wichtigen Fällen, wie sonst auch üblich, wurden Ergebnisse vorab per Telefon kommuniziert. Aktuell ist die Übermittlung der Ergebnisse per DFÜ an nahezu allen Standorten wieder aktiv.
Lässt sich ein Cyberangriff als Ursache bestätigen oder ausschließen?
Die Ursache der Störung wird derzeit untersucht, alle denkbaren Parameter werden einbezogen.
Nach bisheriger intensiver Prüfung, auch mit Hilfe externer Experten, konnten wir keinen Hinweis darauf finden, dass auf personenbezogene oder sonstige Daten zugegriffen wurde oder Schadsoftware zum Einsatz kam.
Sofern es einen Cyberangriff gegeben hat, sind die Aufsichtsbehörden benachrichtigt und werden Details kommuniziert?
Wir sind selbstverständlich allen erforderlichen Berichtspflichten nachgekommen. Die Untersuchung der Störung dauert wie erwartet weiter an, daher bitten wir um Verständnis, dass wir zunächst weitere gesicherte Informationen abwarten. Sobald relevante Erkenntnisse aus dem Untersuchungsprozess vorliegen, werden wir dazu informieren.
Anzeige
Im Nachgang wird umso interessanter sein ob die Verantwortlichen die 72 Stunden Meldefrist bei einem DSGVO Vorfall eingehalten haben.
Ein verschlüsseltes System alleine bedeutet nicht automatisch einen DSGVO Vorfall. Die Wahrscheinlichkeit das vorher Daten abgezogen wurden um den Druck zu erhöhen ist hoch, muss aber so nicht zwingend stattgefunden haben. Kommt halt darauf an welche Gruppe hinter dem Angriff steckt.
Viele Opfer informieren Pauschal bei solch einem Vorfall auch wenn ein Datenabzug zu diesem Zeitpunkt evtl. noch nicht bestätigt ist. Man kann aber auch nach den 72 Stunden melden wenn man die Verspätung begründet.
"Ein verschlüsseltes System alleine bedeutet nicht automatisch einen DSGVO Vorfall. "
Strenggenommen richtig, kann man diese Ansicht in irgendeiner Situation wirklich vertreten?
Die Frage ist wann der Schutz personenbezogener Daten verletzt ist. Man könnte die Meinung vertreten, dass solange man nicht weiß was genau los ist (Normalfall) man auch nicht sagen kann, dass der Schutz der Daten wirklich verletzt wurde. Man stellt halt erstmal nur fest, dass irgendwas verschlüsselt wurde. So gesehen träte der Meldefall auch erst ein, wenn wirklich konkret was festgestellt wurde bzw. die Daten irgendwo auftauchen…. Selbst wenn bekannt ist um welche Schadware(version) es sich handelt, woher weiß man wie diese aggiert?
In den Moment wo man keinen Zugriff mehr auf die Daten hat weil jemand "Anderes" diese verschlüsselt hat wäre eigentlich schon der Schutz verletzt. Einmal weil man davon ausgehen muss, dass evtl. Daten abgeflossen sein könnten. Man ist ja u.a. gar nicht mehr in der Lage Auskunft darüber zu geben welche Daten überhaupt gespeichert wurden. Da sich "fremde unbekannte Software" im System befindet/befand die irgendwie Zugriff auf die Daten hatte wäre aus meiner Sicht auch schon wieder eine Verletzung des Schutzes.
"Ein verschlüsseltes System alleine bedeutet nicht automatisch einen DSGVO Vorfall."
Das ist unzutreffend. Sollten personenbezogene Daten verschlüsselt worden sein, greifen sämtliche DSGVO-Verpflichtungen, also auch die Meldepflichten.
Da gibt es viele Definitionen und Varianten und je nach Auslage findet man unterschiedliche Aussagen im Netz.
Wenn ich nicht mehr auf die Daten zugreifen kann und der Angreifer nur verschlüsselt, aber keine Daten vorher angezogen hat, und ich die Daten aus einen Backup schnell wieder zur Verfügung stellen kann habe ich keinen Vorfall. Hat man dagegen kein Backup wäre es meldepflichtig, da man die Kontrolle über seine Daten verloren hat. Natürlich muss auch sichergestellt sein das dass Einfallstor gefunden und geschlossen wird.
Anders herum gedacht wäre ja sonst auch jede unbeabsichtigte Löschung eines Kundendatensatze durch einen Mitarbeiter ein DSGVO Vorfall.
Letztendlich wird es darauf ankommen zu welchem Schluss die internen Analyse kommt sowie der/die Datenschutzbeauftragte.
Per Fax oder Fahrer? :D Muss kurz mal aufs Datum schauen: 2023. Wartet ab. 2050: Fax in Germany still working. Wir machen das wie mit der Glühbirne in den USA, die auch > 100 Jahre brannte. Dann kommt Deutschland ins Guinnessbuch der Rekorde. Das einzige Land der Welt, das noch berittene Boten zur Nachrichtenübermittlung einsetzt. Es braucht erst ein besonderes Postfach für Ärzte und Co. Au man … Es steht wirklich schlimm um unser Land.
Dude. Sei doch froh, dass es die Option Fax noch gibt und deine Befunde, auch wenn sie nicht lebensentscheidend sind (dann ja Option Telefon), zeitnah ankommen.
[!OFFTOPIC!] Na ja, ein bisschen traurig ist es schon. Da geht eine Ära zu Ende, nicht zuletzt, da nun zum 31.12.2022 auch die letzten Multi-Numbering Karten, mit denen man lustig munter bis dahin auf T.30 Standard mobil faxen konnte, abgeschaltet, bzw. die dahinterstehenden CSD-Dienste. Aber in der Firma haben wir mittlerweile auch nur noch fax2mail und es kommen pro Monat im Schnitt 3-4 Werbefaxe rein, sonst gar nichts mehr, die (Fax-)Nummern werden eher aus nostalgischen Gründen aktiv gehalten, mit Erreichbarkeit hat das nichts mehr zu tun.
Labordaten per Fax?
Kennen die die Gerichtsurteile nicht?
Die Übermittlung von personenbezogenen Daten per Fax ist lt. Gerichtsurteil ein Verstoß gegen die DSGVO.
Das erzähl mal den Fachärzten. Die wollen alles per Fax. Es war schon ein Problem die DFÜ vom Modem zum Internet Abruf zu wechseln.
Wenn die Bude wirklich verschlüsselt wurde, warum sollen dann alle Mitarbeiter ins Büro kommen? Dort sind nervige User in solchen Fällen bzw. Situationen alles, aber nicht hilfreich/sinnvoll/gewünscht.
Ich würde mal behaupten, dass sich das auf Mitarbeiter der IT bezieht. ;)
Dem ist definitiv so – es bezog sich auf IT-Mitarbeiter – dachte die Informationen "Bei der internen IT-Hotline …" sei vom Kontext eindeutig.
Nein :-)
Das ist wirklich dummes Zeug. Du meinst vielleicht Whattsapp :-P
tja vielleicht war es auch etwas anderes !?
Nachtrag: Es war wohl ein Cyberangriff
Eine anonym bleiben wollende Quelle hat mich darüber informiert, dass es einen Cyberangriff bei Amedes gab. Es heißt zwar weiter, dass die eingeschalteten Experten keinen Datenabfluss feststellen konnten. So etwas könnte auch an einer unzureichenden Protokollierung der Zugriffe liegen.
Mal schauen, was noch so in dieser Angelegenheit bekannt wird. Sofern mir etwas offizielles an Verlautbarungen zugeht, werde ich es hier veröffentlichen.
Mittlerweile gab es eine Stellungnahme von Amedes und es handelte sich um einen externen Angriff natürlich mit der Aussage das keine Kundendaten betroffen sind.
20.000 Fälle jährlich sind weit von der KRITIS-Grenze 1,5 Mio/Jahr entfernt.
Selbst 20.000/Tag (typ. für ein größeres Labor) können nicht stimmen bezogen auf die gesamte Laborgruppe. Kleinere non-KRITIS-Labore machen 2000-5000 Aufträge/Tag. Bitte mal die Angaben prüfen.
@Pepe: Hast du die Quelle für die Stellungnahme?
Weiß nicht, ob die öffentlich verteilt/publiziert wurde.