Cyberkriminelle sind laut Berichten nach dem 22. Januar 2025 in die Server des US-Tech-Unternehmens Cerner Oracle Health eingedrungen. Es besteht der Verdacht, dass Patientendaten von US-Bürgern abgezogen wurden. Das FBI untersucht den Vorfall, der Fragen nach der Sicherheit bei Oracle aufkommen lässt. Denn es ist der zweite Sicherheitsvorfall binnen weniger Tage, der bekannt wird.
Anzeige
Wer ist Oracle Health?
Oracle Health ist der Name einer Oracle-Geschäftseinheit, die Leistungen im Gesundheitswesen anbietet. Oracle Health bietet dazu eine "offene" Gesundheitsplattform mit Namen Millennium, mit intelligenten Werkzeugen für datengesteuerte, menschenzentrierte Gesundheitserfahrungen an (so der O-Ton). Die Plattform soll Patienten und deren Gesundheitsdienstleister, Kostenträger und Organisationen des öffentlichen Gesundheitswesens und Biowissenschaften mit einander verbinden.
In der Wikipedia findet sich die Information, dass die von Oracle Health angebotenen Leistungen letztendlich auf einen Zukauf des US-Unternehmens Cerner basieren. Cerner wurde im Juni 2022 für $28.3 Milliarden von Oracle aufgekauft und fungiert nun unter Oracle (Cerner) Health.
Hauptprodukt von Cerner war vor der Übernahme die Millennium-Plattform für den Gesundheitsdienst, ein weltweit genutztes System für elektronische Gesundheitsakten. Die Millennium-Plattform wurde für das US-Gesundheitswesen entwickelt, wird aber weltweit angeboten und stützt sich auf Oracle Server.
Oracle und Oracle Health in den Schlagzeilen
Vorab möchte ich zur Einordnung des Ganzen noch zwei Informationen beisteuern. Oracle Health macht mit der Millennium-Plattform seit Jahren negative Schlagzeilen, scheiterte das System doch in verschiedenen Ländern. Ich hatte kürzlich den Fall aus Schweden im Blog-Beitrag Digitales Krankenaktensystem (Oracle Millennium) in Schweden vor dem Aus? aufgegriffen. Dort sind auch Flops des Millennium-Systems in anderen Ländern erwähnt.
Anzeige
Und dann gibt es noch den angeblichen Hack der Oracle-Cloud, den ich die Tage im Beitrag Oracle-Hack durch Unternehmen bestätigt – 6 Millionen Daten erbeutet? berichtete. Während Oracle jeglichen Hack abstreitet, bestätigen Oracle-Firmenkunden gegenüber Sicherheitsforschern in den vom Hacker bereitgestellten Beispieldaten (LDAP-Daten, Zugangsdaten, E-Mails etc.) eigene, in Benutzung befindlichen Daten gefunden zu haben.
Beide Fälle haben nach bisherigem Wissen zwar nichts mit dem nachfolgend beschriebenen Sachverhalt zu tun, können aber etwas zur Einordnung des weiteren Vorfalls bei Oracle dienen.
Oracle Health angeblich gehackt, FBI ermittelt
Kommen wir zum Kernpunkt. Techmeme berichtet in einem Tweet, dass laut Quelle Hacker irgendwann nach dem 22. Januar 2025 in die Cerner-Server von Oracle eingedrungen seien und Patientendaten gestohlen haben, um den US-Medizinanbieter Oracle Health zu erpressen. Laut der US-Nachrichtenagentur Bloomberg hat das FBI Ermittlungen aufgenommen.
In einem Tweet las ich, dass Kunden von Oracle Health Benachrichtigungen über eine Sicherheitsverletzung erhalten haben. Diese sei nicht auf offiziellem Oracle-Briefpapier, sondern auf Normalpapier gedruckt und von Seema Verma, Executive Vice President & GM von Oracle Health, unterzeichnet worden.
Ars Technica berichtet hier über den Vorfall, und Bleeping Computer hat diesen Beitrag dazu veröffentlicht. Der berichtete Sachverhalt: Es gab mutmaßlich einen Hack auf Oracle Health, der mehrere US-Gesundheitsorganisationen und Krankenhäuser betrifft. Oracle Health hat den Vorfall noch nicht öffentlich bekannt gegeben. Aber Medien wie Bleeping Computer konnten von Quellen entsprechende Informationen erhalten und das oben erwähnte Schreiben des Oracle Heath-Chefs einsehen.
Kundendaten abgeflossen, nebulöse Informationspolitik
Der Hack wurde in privaten Mitteilungen (angeblich von Oracle) an betroffene Kunden (US-Kliniken) und in Gesprächen mit den Beteiligten bestätigt, dass bei dem Angriff Patientendaten gestohlen wurden. Bleeping Computer zitiert aus dem Oracle Health-Informationsbrief: "Wir schreiben Ihnen, um Sie darüber zu informieren, dass wir am oder um den 20. Februar 2025 von einem Cybersicherheitsvorfall erfahren haben, bei dem es um den unbefugten Zugriff auf einen Teil Ihrer Cerner-Daten ging, die sich auf einem alten Legacy-Server befanden, der noch nicht in die Oracle Cloud migriert war."
Der Hinweis auf einen "alten Legacy-Server" ist interessant, da es sich andeutet, dass der von Oracle bisher bestrittene Hack bei Oracle mutmaßlich auch diese alten Server betrifft (siehe Oracle-Hack durch Unternehmen bestätigt – 6 Millionen Daten erbeutet?).
Laut Oracle soll der Bedrohungsakteur kompromittierte Zugangsdaten von Kunden verwendet haben, um irgendwann nach dem 22. Januar 2025 in die Server einzudringen. Wundersamerweise ist es dem Angreifer dann remote gelungen, mit den angeblichen "Kunden-Zugangsdaten", weitere Daten vom Server zu kopieren. Diese gestohlenen Daten "könnten" laut Oracle Patienteninformationen aus elektronischen Gesundheitsakten enthalten. Bleeping Computer schreibt, dass mehrere Quellen bestätigen, dass bei dem Angriff Patientendaten gestohlen wurden.
Laut Bleeping Computer hat Oracle Health den betroffenen Krankenhäusern außerdem mitgeteilt, dass man als Unternehmen die Patienten nicht direkt benachrichtigen werde. Es länge in der Verantwortung der betroffenen Kunden (Kliniken), festzustellen, ob die gestohlenen Daten gegen den US HIPAA-Gesetzen verstoßen und zu prüfen, ob sie verpflichtet sind, Benachrichtigungen an Patienten zu versenden (wäre bei DSGVO-Verstößen auch nicht anders).
Erpressung von Kliniken
Quellen haben BleepingComputer mitgeteilt, dass die betroffenen Kliniken von einem Bedrohungsakteur mit dem Namen "Andrew" erpresst werden, der keine Verbindung zu bekannten Ransomware- oder Erpressergruppen angegeben hat. Der Bedrohungsakteur fordert Millionen von Dollar in Kryptowährung, um die Weitergabe oder den Verkauf der gestohlenen Daten zu verhindern, und hat Webseiten erstellt, wo er Details und Daten zum Hack bereitstellt, um die Krankenhäuser unter Druck zu setzen.
Oracle Health verweigerte auf eine zum 4. März 2025 von Bleeping Computer gestellte Anfrage jegliche Antwort. Betroffene Kunden von Oracle Health finden sich plötzlich in einem Alptraum wieder, sollen sie doch Kunden und Behörden nach den US HIPAA-Gesetzen benachrichtigen, wissen aber wohl nicht, was genau passiert ist. Patienten wissen nicht, ob ihre Krankenakte mit den Daten abgezogen wurde.
Laut Bloomberg hat das FBI inzwischen die Ermittlungen aufgenommen. Die beiden Vorfälle wecken Zweifel an der Zuverlässigkeit und Sicherheit von Oracles Angeboten – ob die Vorfälle miteinander zu tun haben, ist aber noch ungeklärt. Hier könnte das Unternehmen Oracle Transparenz schaffen, was aber wohl seit über einem Monat nicht passiert. Vielmehr wird gemauert und jeglicher Vorfall auf Oracle Server bestritten. Sollte sich ein Hack auf die Oracle Server bestätigen, werden wir wohl noch mehr von "Folgehacks" auf Oracle Kunden hören.
Ähnliche Artikel:
Digitales Krankenaktensystem (Oracle Millennium) in Schweden vor dem Aus?
Oracle-Hack durch Unternehmen bestätigt – 6 Millionen Daten erbeutet?
Anzeige
2.Fall innerhalb weniger Tage… naja die haben die Angreifer eben noch nicht draussen, sind die erstmal drinn kann sowas dauern. Verwundert mich jetzt eher nicht.
Sicher kannst du bei einem kompromitiertem System eigentlich nur sein durch komplettes Lowlevel Formatieren und neu aufsetzen oder am besten gleich Austausch der kompletten Hardware!
Sign-on Server auf dem Patchstand von 2014, mit einer "Known exploited vulnerability" aus 2022.
https://www.cloudsek.com/blog/the-biggest-supply-chain-hack-of-2025-6m-records-for-sale-exfiltrated-from-oracle-cloud-affecting-over-140k-tenants
Vielleicht sollte Larry Ellison sich mal ein bisschen weniger um seine Yachten und ein bisschen mehr um das Management seiner Firmen kümmern, und zwar nicht mit Schwerpunkt "wie können wir noch mehr Geld¹ aus unseren Kunden/Opfern quetschen?", sondern mit Schwerpunkt "Sicherheit und Leistung für Geld".
—
¹ siehe auch die ganze Industrie von Oracle-licensing consultants, oder die "neue, vereinfachte" Lizenz für Oracle Java mit Lizenzgebühren pro Mitarbeiter, inklusive dem Gärtner und dem Reinigungspersonal (wahrscheinlich auch, wenn die, wie heute üblich, outgesourct sind).
Zum Glück kann ja so etwas beim "European Data Health Space" nie, niemals passieren!
Die Gesundheitsdaten sind da sicher und pseudonymisiert.
Und bei der ePA ja sowieso! Alles bestens.
"Denk' ich an Deutschland in der Nacht…"
In Deutschland kann das gar nicht passieren. Da ist das Chef-Sache. Und außerdem haben wir Gesetze dagegen, die sowas zu 100 % verhindern werden! Und verboten ist es auch! Nein, eure Daten sind sischer.
Du hast die Ironie Tags vergessen.
Das glaubst Du doch selbst nicht, daß sich jemand davon abhalten lässt.
Warte mal ab, bis die ersten Daten aus der ePA im Netz stehen.
Du meinst, bis sie gefunden werden ;-)
Manche stehen bestimmt schon irgendwo im Netz, wenn ich überlege, was ich damals bei Vorerkundungen zur Installation der Konnektoren in Arztpraxen gesehen habe …
Soll das heißen die damals hochgelobten Online-Stoppschilder wären wirkungslos? Das kann doch gar nicht sein! ;)