Noch ein kurzer Nachtrag von voriger Woche: Es ist ein Cyberangriff auf eine Reha-Klinik in Bad Wildungen bekannt geworden. Die Hintergründe des Angriffs von Ende August 2024 ist derzeit noch unklar. Die Betreiber der Reha-Klinik gehen aber davon aus, dass personenbezogene Daten abgeflossen sind. Die Generalstaatsanwaltschaft Frankfurt hat die Ermittlungen in diesem Fall aufgenommen – und Sicherheitsexperten analysieren derzeit, was genau passiert ist.
Anzeige
Ich hatte das Ganze vorige Woche zwar im Radio kurz mitbekommen, aber nicht gehört, welche Klinik betroffen sein sollte. Meine Recherchen im Umfeld von Frankfurt ergaben nichts – erst der Hinweis eines Lesers hat dann einen Fingerzeig in die richtige Richtung gebracht. Ich ziehe die Informationen daher in einem Nachtragsbeitrag heraus.
Information der Klinik
Es handelt sich bei der betroffenen Einrichtung um die "Klinik am Kurpark Reinhardshausen GmbH" in Bad Wildungen (Kreis Waldeck-Frankenberg, Nordhessen). Auf der Webseite der Klinik wird derzeit das nachfolgende Popup eingeblendet, welches darüber informiert, dass man zum 27. August 2024 Opfer eines Cyberangriffs geworden sei.
Der generelle Betrieb der Klinik sowie die Aufnahme von Patienten sei weitestgehend nicht betroffen, heißt es vom Betreiber. Die Fachklinik mit 228 Patientenbetten ist laut Webseite im Urologischen Reha-Bereich aktiv.
Anzeige
Die Verantwortlichen in der Klinik gehen davon aus, dass personenbezogene Daten vom Cyberangriff betroffen sein könnten. Leider nennt die Klinik keine Details (ob es ein Ransomware-Angriff oder lediglich ein Einbruch in die IT-Systeme war). In diesem HNA-Bericht wird dann aber bestätigt, dass es ein Ransomare-Angriff gewesen ein muss. Denn Geschäftsführer und Verwaltungsleiter, der Klinik für Anschlussheilbehandlungen im urologischen Bereich, Georg Schuster, wird mit der Aussage "Bevor die kriminellen Akteure die Daten in unserem Unternehmen verschlüsselt haben, ist es ihnen gelungen, Daten von unseren Server-Systemen zu kompromittieren." zitiert.
Der Betreiber gibt an, dass man unmittelbar, nachdem der Vorfall festgestellt wurde, die erforderlichen Maßnahmen ergriffen habe, um den Vorfall einzudämmen. Neben der Hinzuziehung der entsprechenden Behörden (Polizei, LKA, Staatsanwaltschaft, Hessische Datenschutzaufsichtsbehörde etc.) wurde ein Team von externen Spezialisten für Cyber Security und Datenschutz eines externen Unternehmens zur Unterstützung beauftragt. Die Spezialisten sind damit beschäftigt, die Systeme schrittweise wieder in Betrieb zu nehmen.
Ermittlungen der Generalstaatsanwaltschaft Frankfurt
Die Tagesschau bestätigt in diesem Beitrag, dass die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) bei der Generalstaatsanwaltschaft Frankfurt am Donnerstag die Ermittlungen in dem Fall aufgenommen hat. Welche persönlichen Daten in die Hände der Angreifer gelangt sind, wurde nicht mitgeteilt – es ist aber davon auszugehen, dass sowohl Daten von Patienten als auch von Klinikmitarbeitern betroffen sind. Sofern erbeutete Daten von den Angreifern öffentlich gemacht werden, will die Klinik zeitnah informieren.
Anzeige
Ich kann mir nicht vorstellen, für wen die abgeflossenen Daten interessant wären. Außer der Betroffene vielleicht, wenn das Backup rumzickt.
So mancher mit einem "Kurschatten" vielleicht?
So mancher, der wegen einer stigmatisierter Krankheit dort war?
Ich sehe, die haben im Apple Appstore sogar eine eigene App mit reichlich gesammelten Datenreichtum, so wie ich den Privacy-Hinweis lese…
Genau das ist der Grund weshalb so viele sagen "iCh HAbe niX zU VerBergEn" und alles an Daten raus hauen, was irgendein Service haben will.
Daten sind (schon seit geraumer Zeit) das neue Öl. Alles (!) an Daten ist interessant. Das wird aggregiert mit anderen Daten (auch mit denen Angehöriger), zu einem Gesamtbild gefasst und verkauft. Interesse daran haben z.B. Datenbroker, Versicherungen, potenzielle Arbeitgeber, andere Staaten (falls man mal auswandern will) etc.
Daher mein Rat: wenn dir das Vorstellungsermögen fehlt, erweitere deinen Horizont!
Äh, diese Klinik gehört doch zu einem Verbund! Sind dann die anderen Kliniken denn auch betroffen?
Was Patienten Daten betrifft eher nicht.
Da gibt's schon zwischen den Abteilungen Datenzäune.
Die Neurologie hat keine Informationen zu einem Patienten auf der Urologie. Schon seine Existenz ist verborgen.
Klar dass gegen die ePatienten Akte von Seiten der Ärzte und Kliniken Amok gelaufen wird.