Beim Anbieter von Praxistechnik für Augenärzte, der Heuser Medizintechnik GmbH, scheint es einen Cybervorfall gegeben zu haben. Ein Leser hat sich gemeldet, weil ihm "obskure Mails" des Anbieters zugeschickt wurden. Inzwischen liegt dem Leser eine Bestätigung für einen Cybervorfall vor. Ergänzende Informationen nachgetragen.
Wer ist die Heuser Medizintechnik GmbH
Die Heuser Medizintechnik GmbH ist laut eigener Aussage auf der Firmenwebseite ein "Vollausstatter für die Ophthalmologie", sprich, die verkaufen Praxiseinrichtungen und Geräte für Augenärzte.
Das Unternehmen wurde 1996 gegründet, und arbeitet seit dem im Bereich Praxisausstattung, Wartung und übernimmt auch Praxisauflösungen.
Ein Leserhinweis auf einen Vorfall
Blog-Leser Giesama hat sich zum 8. Juni 2026 zum späten Nachmittag im Diskussionsbereich des Blogs gemeldet und berichtet von einer möglichen Kompromittierung der Heuser Medizintechnik GmbH. Er schrieb: "Heuser Medizintechnik GmbH scheint kompromittiert worden zu sein. Am 05.06 und 08.06 haben wir 2 Emails mit dem Betreff angebot und ANGEBOT bekommen. Absender ist die Info von der Firma."
Erste Mail bereits verdächtig
Mir liegt keine dieser E-Mails vollständig vor, aber die Nachricht mit dem Betreff angebot begann mit dem Text:
Guten Tag
Anbei finden Sie den Vorschlag zur Prüfung.
Der Leser schreibt dazu, dass die erste E-Mail mit dem Betreff angebot bereits eine Merkwürdigkeit aufwies. Denn diese Mail enthielt noch eine Signatur vom Jahresanfang 2026 (es wurden noch Betriebsferien von 24.12.25-02.01.26 angekündigt, was im Juni dann doch etwas merkwürdig ist).
Diese E-Mail enthielt noch einen Anhang secure_message.pdf, wobei nach dem Öffnen des Anhangs, nach Angaben des Lesers, ein QR-Code gescannt werden sollte.
Zweite Mail ebenfalls mit obskuren Anhang
Bei der zweiten Mail ging es ebenfalls um ein vermeintliches Angebot, samt einer angehängten Datei ANGEBOT.pdf. Die Mail begann ebenfalls mit folgendem Text:
Guten Tag
Anbei finden Sie unser Angebot. Bitte prüfen Sie es.
Der Leser schrieb, dass die angehängte Datei ANGEBOT.pdf zu einer Windows-Freigabe führt. Die Texte der beiden E-Mails unterscheiden sich auch leicht, und es fehlen Satzzeichen. Beide Anhänge versuchten den Empfänger auf obskure Seiten zu locken, möglicherweise, um Schadsoftware auszurollen.
Verdacht auf einen Cybervorfall
Die weitere Merkwürdigkeit bestand darin, dass der Leser als Dienstleister für Praxen fungiert, die Mails mit "Angeboten" also keinen Sinn machten. Als Dienstleister sei man zuletzt vor 8 Monaten in Kontakt mit der Firma gewesen. Aber Angebote für die Ausstattung von Augenarztpraxen bekomme man grundsätzlich keine, denn diese gingen direkt an die Praxen, bzw. der Arzt.
Das legt den Verdacht nahe, dass zumindest ein Postfach des Unternehmens kompromittiert ist. Dritte missbrauchten das Postfach, um gefakte Angebote mit maliziösen Anhängen an die Einträge der Kontaktliste zu versenden. Ich habe auf der Webseite des Unternehmens nichts zu einem Cybervorfall vernommen.
Telefon mit Bandansage und Bestätigung
Der Leser berichtete, dass er versucht habe, bei der Firma anzurufen. Aber die Telefonleitung "sei tot gewesen". Gemeint ist, dass eine Ansage vom Band kam, dass alle Leitungen belegt seien.
In einem Nachtrag schrieb der Leser: "Gerade telefonisch die Bestätigung bekommen. Ob Kundendaten oder ähnlich abgeflossen sind, kann ich nicht sagen.". Es gab also nach Aussage des Lesers einen Cyberangriff auf die Heuser Medizintechnik GmbH. Auf deren Firmenwebseite habe ich noch nichts dazu vernommen. Telefonisch habe ich niemanden erreicht. Ich habe daher eine Stellungnahme des Unternehmens per E-Mail angefragt.
Auch habe ich beim Blog-Leser nach weiteren Details und ggf. Mail-Header oder Mail-Kopien nachgefragt. Wer Mails von der Firma bekommen hat, sollte also erst einmal davon ausgehen, dass diese kompromittiert sind und äußerste Vorsicht walten lassen.
Nachtrag: Der Blog-Leser und meine Wenigkeit haben von Heuser Medizintechnik GmbH eine schriftliche Bestätigung erhalten, dass am 04.06.2026 "mindestens ein Postfach" kompromittiert wurde. In der Folge haben zahlreiche Geschäftspartner, Kunden und Lieferanten Fake-E-Mails mit unserem Absender erhalten. In den Mails werden sie aufgefordert, Links zu öffnen oder gefälschte Rechnungen zu bezahlen.
Heuser Medizintechnik GmbH bittet Empfänger der Mails dringend, diesen Aufforderungen auf gar keinen Fall nachzukommen und die Mails unbedingt ungeöffnet aus dem Posteingang und dem Papierkorb zu löschen.
Die Heuser Medizintechnik hat den Vorfall unverzüglich angezeigt und bei den zuständigen Stellen gemeldet. Deren IT-Dienstleister haben die forensische Analyse aufgenommen und arbeiten mit Hochdruck daran, das Problem zu beheben. Eine erste gewissenhafte Überprüfung hat ergeben, dass keinerlei sensible Daten abgefischt wurden. Die gesamte Stellungnahme lässt sich in diesem Kommentar einsehen.
Heuser Medizintechnik wieder arbeitsbereit
Zum 11. Juni 2026 hat mir die Heuser Medizintechnik GmbH noch folgende Aktualisierung zukommen lassen, aus der hervorgeht, dass das Gröbste überstanden ist.
Die Heuser Medizintechnik GmbH hat die Folgen des Hacker-Angriffs vom 4. Juni, bei dem mindestens eines der E-Mail-Postfächer kompromittiert wurde, inzwischen vollständig im Griff.
Das Unternehmen ist ab sofort wieder sowohl über die zentrale E-Mail-Adresse info[@]heuser-technik[.]de als auch über die persönlichen Mail-Adressen der Mitarbeitenden zu erreichen.
Etliche IT-Experten haben in den vergangenen Tagen nahezu rund um die Uhr gearbeitet, um den Angriff forensisch zu analysieren. Sie haben den Fehler identifiziert, einen umfassenden Bericht erstellt – und vor allem: Sie haben Maßnahmen ergriffen und zusätzliche Sicherungen eingezogen, um weitere Angriffe in Zukunft zumindest maximal zu erschweren.
Selbstverständlich unterstützen wir die ermittelnden Behörden dabei, die Verursacher ausfindig zu machen. Ganz besonders froh sind wir, mit Sicherheit sagen zu können, dass keinerlei geschäftliche oder persönliche Daten abgeflossen sind.
MVP: 2013 – 2016
@Giesama – Danke für den Diskussionsbeitrag. Habt Ihr mal den QR Code mal Reversed? War das PDF schon Fake oder nur "buggy"? Der Text wär mir dabei egal – content counts. Mann sollte oder könnte die Ärzte warnen – wenn der QR Scan (vermutlich wohl gegen Smartphone) von Euch malicious ist. Bei Heuser-technik.de sieht man noch keine Warnung – man sollte möglichst Kunden adressieren. Warnung oder DSGVO-konforme Info habe ich bis jetzt ebenso nicht gefunden.
Zerlegt doch mal das PDF-Angebot – am besten in VM von Virustotal bis Hexedit. Wenn Leute wie wir Doom im PDF, auf Dildo oder Zahnbürste spielen legen Andere damit Tausende Arztkunden oder das Gesundheitssystem lahm.
Schaut doch mal – Tools für QR Code, nicht jedes decoded Alles, zB:
– zxing.org/w/decode.jspx
– qrcode-decoder.com
Auch wenn wir bei bekanntem Vektor nur blocken oder einige Arztpraxen, Kunden und Sprechstundenhilfen vor solchen PDF's warnen und etwas Soziales tun… Ziel wären die Parameter oder IoC's für uns.
Hallo,
also so tief habe ich solche Mails noch nie analysiert. Irgendwann ist immer das erste Mal.
Also, die Mails habe ich Herrn Born zur Verfügung gestellt.
Wie ich feststellen musste, waren es sogar 3 Mails. Die erste Mail am 05.05 war mit einer docx-Datei versehen mit dem Betreff "Prosposal" und dem Anhang "Business Invitation from Heuser Medizintechnik Gmbh (1).docx".
Der QR-Code Reverse hat das Ergebnis ausgespuckt:
iconhttps://23andmeinc.com
Laut Virustotal ist die URL als Phishing von ADMINUSLabs, BitDefender, CyRadar, Fortinet, LevelBlue, Sophos gekennzeichnet. Als Suspicious von Gridinsoft.
Die Docx-Datei wurde bei Virustotal nicht bemängelt.
Deine Anderen Vorschläge werde ich nun abarbeiten, da mich dies nun doch selbst interessiert. Dazu lernen ist immer gut :)
Ergebnisse werde ich dann hier und Herrn Born mitteilen.
Ich gehe schwer davon aus, dass sich, wie alle Firmen, diese Firma erstmal zurückhält, bis ein absehbarer Schaden vorliegt.
Mittlerweile gibs auch eine Benachrichtung auf der Webseite von Heuser.
"Liebe Kundinnen und Kunden,
liebe Geschäftspartner und Lieferanten,
die Heuser Medizintechnik ist aktuell Opfer eines Hacker-Angriffs. Am 04.06.2026 wurde mindestens eines unserer E-Mail-Postfächer kompromittiert. In der Folge haben zahlreiche Geschäftspartner, Kunden und Lieferanten Fake-E-Mails mit unserem Absender erhalten. In den Mails werden sie aufgefordert, Links zu öffnen oder gefälschte Rechnungen zu bezahlen. Wir bitten sie dringend, diesen Aufforderungen auf gar keinen Fall nachzukommen und die Mails unbedingt ungeöffnet aus dem Posteingang und dem Papierkorb zu löschen.
Die Heuser Medizintechnik hat den Vorfall unverzüglich angezeigt und bei den zuständigen Stellen gemeldet. Unsere IT-Dienstleister haben die forensische Analyse aufgenommen und arbeiten mit Hochdruck daran, das Problem zu beheben.
Eine erste gewissenhafte Überprüfung hat ergeben, dass keinerlei sensible Daten abgefischt wurden.
Selbstverständlich halten wir Sie auf dem laufenden. Sobald wir wissen, dass wir selbst wieder sicher E-Mails versenden können, werden wir uns direkt an Sie wenden.
Wir bedanken uns für ihr Verständnis.
Mit freundlichen Grüßen
Ihr Heuser Medizintehnik Team"
Danke für den Nachtrag – Heuser Medizintechnik hat sich auch bei mir auf meine Anfrage gemeldet und obigen Text geschickt – hatte aber noch keine Zeit, den nachzutragen.
…tja,
bis dahin sind wohl viel zu viele wenig potentiellle Opfer rechtzeitig von Heuser direkt gewarnt worden. Auch wenn mir die kleine Truppe von Heuser echt sympatisch scheint: Incident Management sieht anders aus. Die Formulierung "mit Hochdruck" am Problem … *seufz*
@Heuser – Bitte schreibt Eure Kunden an, nutzt Latein damit die Ärzte das auch verstehen zB "Email Agens morbus" oder so… ;-)
@Giesama – THX für Deinen sozialen Einsatz. Falls Hilfe nötig – gebe Günter Deine Nummer & kurzer Post, melde mich. Bin gerade etwas eingeschränkt.
Dein Link 23andmeinc.com führt zu
– iconhttps, du meinst wohl https
– http://www.wildwestdomains.com
– 172.67.161.234 [blocked candidate?]
– Assoziation 23andmeinc.com führt gedanklich zum Hack 23andme [Hackers r proud]
– 23andme führt zu Born in 2023 + Datenschutzstrafe 2025 bei Heise
– Könnte daher größer angelegt sein
– Bei Posts 0:00 Uhr ff schlafen "Andere", wir sind wohl nicht "Andere",
tja…
Die sind imho im Moment absolut am schwimmen – ich habe die Antwort-Mail nicht über offizielle Heuser-Accounts bekommen. Muss mal schauen, welche Kontakte ich anspreche (Ärztenachrichtendienst und Kassenärztliche Bundesvereinigung sind informiert – keine Ahnung, ob die reagieren.