Beim Anbieter von Praxistechnik für Augenärzte, der Heuser Medizintechnik GmbH, scheint es einen Cybervorfall gegeben zu haben. Ein Leser hat sich gemeldet, weil ihm "obskure Mails" des Anbieters zugeschickt wurden. Inzwischen liegt dem Leser eine Bestätigung für einen Cybervorfall vor.
Wer ist die Heuser Medizintechnik GmbH
Die Heuser Medizintechnik GmbH ist laut eigener Aussage auf der Firmenwebseite ein "Vollausstatter für die Ophthalmologie", sprich, die verkaufen Praxiseinrichtungen und Geräte für Augenärzte.
Das Unternehmen wurde 1996 gegründet, und arbeitet seit dem im Bereich Praxisausstattung, Wartung und übernimmt auch Praxisauflösungen.
Ein Leserhinweis auf einen Vorfall
Blog-Leser Giesama hat sich zum 8. Juni 2026 zum späten Nachmittag im Diskussionsbereich des Blogs gemeldet und berichtet von einer möglichen Kompromittierung der Heuser Medizintechnik GmbH. Er schrieb: "Heuser Medizintechnik GmbH scheint kompromittiert worden zu sein. Am 05.06 und 08.06 haben wir 2 Emails mit dem Betreff angebot und ANGEBOT bekommen. Absender ist die Info von der Firma."
Erste Mail bereits verdächtig
Mir liegt keine dieser E-Mails vollständig vor, aber die Nachricht mit dem Betreff angebot begann mit dem Text:
Guten Tag
Anbei finden Sie den Vorschlag zur Prüfung.
Der Leser schreibt dazu, dass die erste E-Mail mit dem Betreff angebot bereits eine Merkwürdigkeit aufwies. Denn diese Mail enthielt noch eine Signatur vom Jahresanfang 2026 (es wurden noch Betriebsferien von 24.12.25-02.01.26 angekündigt, was im Juni dann doch etwas merkwürdig ist).
Diese E-Mail enthielt noch einen Anhang secure_message.pdf, wobei nach dem Öffnen des Anhangs, nach Angaben des Lesers, ein QR-Code gescannt werden sollte.
Zweite Mail ebenfalls mit obskuren Anhang
Bei der zweiten Mail ging es ebenfalls um ein vermeintliches Angebot, samt einer angehängten Datei ANGEBOT.pdf. Die Mail begann ebenfalls mit folgendem Text:
Guten Tag
Anbei finden Sie unser Angebot. Bitte prüfen Sie es.
Der Leser schrieb, dass die angehängte Datei ANGEBOT.pdf zu einer Windows-Freigabe führt. Die Texte der beiden E-Mails unterscheiden sich auch leicht, und es fehlen Satzzeichen. Beide Anhänge versuchten den Empfänger auf obskure Seiten zu locken, möglicherweise, um Schadsoftware auszurollen.
Verdacht auf einen Cybervorfall
Die weitere Merkwürdigkeit bestand darin, dass der Leser als Dienstleister für Praxen fungiert, die Mails mit "Angeboten" also keinen Sinn machten. Als Dienstleister sei man zuletzt vor 8 Monaten in Kontakt mit der Firma gewesen. Aber Angebote für die Ausstattung von Augenarztpraxen bekomme man grundsätzlich keine, denn diese gingen direkt an die Praxen, bzw. der Arzt.
Das legt den Verdacht nahe, dass zumindest ein Postfach des Unternehmens kompromittiert ist. Dritte missbrauchten das Postfach, um gefakte Angebote mit maliziösen Anhängen an die Einträge der Kontaktliste zu versenden. Ich habe auf der Webseite des Unternehmens nichts zu einem Cybervorfall vernommen.
Telefon mit Bandansage und Bestätigung
Der Leser berichtete, dass er versucht habe, bei der Firma anzurufen. Aber die Telefonleitung "sei tot gewesen". Gemeint ist, dass eine Ansage vom Band kam, dass alle Leitungen belegt seien.
In einem Nachtrag schrieb der Leser: "Gerade telefonisch die Bestätigung bekommen. Ob Kundendaten oder ähnlich abgeflossen sind, kann ich nicht sagen.". Es gab also einen Cyberangriff auf die Heuser Medizintechnik GmbH. Wer Mails von der Firma bekommen hat, sollte also davon ausgehen, dass diese kompromittiert sind.
MVP: 2013 – 2016
@Giesama – Danke für den Diskussionsbeitrag. Habt Ihr mal den QR Code mal Reversed? War das PDF schon Fake oder nur "buggy"? Der Text wär mir dabei egal – content counts. Mann sollte oder könnte die Ärzte warnen – wenn der QR Scan (vermutlich wohl gegen Smartphone) von Euch malicious ist. Bei Heuser-technik.de sieht man noch keine Warnung – man sollte möglichst Kunden adressieren. Warnung oder DSGVO-konforme Info habe ich bis jetzt ebenso nicht gefunden.
Zerlegt doch mal das PDF-Angebot – am besten in VM von Virustotal bis Hexedit. Wenn Leute wie wir Doom im PDF, auf Dildo oder Zahnbürste spielen legen Andere damit Tausende Arztkunden oder das Gesundheitssystem lahm.
Schaut doch mal – Tools für QR Code, nicht jedes decoded Alles, zB:
– zxing.org/w/decode.jspx
– qrcode-decoder.com
Auch wenn wir bei bekanntem Vektor nur blocken oder einige Arztpraxen, Kunden und Sprechstundenhilfen vor solchen PDF's warnen und etwas Soziales tun… Ziel wären die Parameter oder IoC's für uns.