ChipSoft-Ransomware-Angriff legt niederländische Patientendaten offen

Ransomware-Angriff trifft das Herzstück der niederländischen Gesundheitsakten

Ein schwerwiegender Ransomware-Angriff auf ChipSoft, einen der am weitesten verbreiteten Anbieter elektronischer Patientenaktensoftware in den Niederlanden, hat den niederländischen Gesundheitssektor erschüttert. Mindestens ein Dutzend Krankenhäuser hat bereits Meldungen bei der niederländischen Datenschutzbehörde (AP) eingereicht, und die Ermittler arbeiten noch daran, das volle Ausmaß des Vorfalls zu bestimmen.

Das Ausmaß der potenziellen Gefährdung ist beträchtlich. ChipSofts HiX-Plattform wird von etwa 70 % der niederländischen Krankenhäuser zur Verwaltung elektronischer Patientenakten genutzt. Das bedeutet, dass ein einziger Angriff auf einen Softwareanbieter Auswirkungen auf den Großteil des nationalen Krankenhausnetzwerks haben könnte und möglicherweise die persönlichen und medizinischen Daten von Millionen von Patienten betrifft.

Welche Daten könnten gefährdet sein

Elektronische Patientenakten enthalten einige der sensibelsten persönlichen Informationen überhaupt: Diagnosen, Behandlungsverläufe, Medikamentendetails, Identifikationsnummern und Kontaktdaten. Wenn Ransomware in ein System eindringt, das derartige Daten verarbeitet, gehen die Risiken weit über vorübergehende Betriebsunterbrechungen hinaus.

Die Ermittlungen konzentrieren sich derzeit auf die Frage, ob während des Angriffs Datenverkehr abgefangen wurde. Dies ist eine entscheidende Frage. Ransomware sperrt nicht immer nur Systeme und fordert eine Zahlung; immer häufiger schleusen Angreifer Daten vor oder während der Verschlüsselung aus, um sie als Druckmittel für sogenannte doppelte Erpressungsszenarien zu nutzen. Wenn Daten während der Übertragung abgefangen wurden, könnten Datensätze kopiert und vollständig aus sicheren Umgebungen entfernt worden sein.

Krankenhäuser, die ChipSofts Software nutzen, befinden sich nun in der schwierigen Lage, gleichzeitig Behörden zu informieren und zu verstehen, ob und welche Daten entwendet wurden. Gemäß den europäischen DSGVO-Vorschriften müssen Organisationen Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden an die zuständigen Aufsichtsbehörden melden und je nach Schwere des Risikos möglicherweise auch die betroffenen Personen informieren.

Warum das Gesundheitswesen ein bevorzugtes Ziel für Ransomware ist

Der Gesundheitssektor hat sich weltweit zu einer der am häufigsten von Ransomware-Angriffen betroffenen Branchen entwickelt. Dafür gibt es mehrere Gründe. Medizinische Datensätze sind auf Untergrundmärkten sehr wertvoll, da sie eine umfangreiche Kombination aus persönlichen und finanziellen Informationen enthalten. Krankenhäuser stehen zudem unter erheblichem Druck, ihre Systeme am Laufen zu halten, was sie möglicherweise dazu veranlasst, Lösegeldforderungen schnell zu begleichen, um den Betrieb wiederherzustellen.

Angriffe auf Software-Lieferketten, bei denen Kriminelle einen von vielen Organisationen genutzten Anbieter ins Visier nehmen, anstatt jede Organisation einzeln anzugreifen, vervielfachen den potenziellen Schaden erheblich. Durch das Eindringen in ein Unternehmen wie ChipSoft verschaffen sich Angreifer einen Zugang, der sich über das gesamte Netzwerk der Kunden erstreckt, die auf diese Software angewiesen sind. Dieser Ansatz ist für Angreifer effizient und verheerend für die betroffenen Organisationen und Einzelpersonen.

Die Niederlande sind kein Einzelfall. Gesundheitsdienstleister in ganz Europa und Nordamerika waren in den letzten Jahren mit ähnlichen Vorfällen konfrontiert, und der Trend zeigt keine Anzeichen einer Umkehr.

Was das für Sie bedeutet

Wenn Sie Patient in einem niederländischen Krankenhaus sind, das ChipSofts HiX-Software verwendet, könnten Ihre medizinischen und persönlichen Daten offengelegt worden sein. Folgendes sollten Sie in Betracht ziehen:

• Achten Sie auf Benachrichtigungen. Vom Datenschutzverstoß betroffene Krankenhäuser sind verpflichtet, Patienten zu informieren, wenn deren Daten betroffen waren. Achten Sie auf offizielle Mitteilungen Ihres Gesundheitsdienstleisters.
• Seien Sie wachsam gegenüber Phishing-Versuchen. Nach einem Datenschutzverstoß nutzen Angreifer häufig gestohlene Informationen, um überzeugende Phishing-E-Mails oder Telefonanrufe zu erstellen. Seien Sie skeptisch gegenüber unaufgeforderten Kontaktaufnahmen, die vorgeben, von Ihrem Krankenhaus oder Ihrer Krankenkasse zu stammen.
• Machen Sie von Ihren AP-Rechten Gebrauch. Gemäß der DSGVO haben Sie das Recht, von Organisationen Auskunft darüber zu verlangen, welche Daten sie über Sie gespeichert haben und wie diese verarbeitet wurden. Die niederländische Datenschutzbehörde ist die zuständige Stelle, wenn Sie Bedenken hinsichtlich des Umgangs mit Ihren Daten haben.
• Verstehen Sie die Grenzen Ihrer Kontrolle. Wenn Ihre Daten von einer dritten Partei wie einem Krankenhaus oder dessen Softwareanbieter aufbewahrt werden, haben Sie nur begrenzten direkten Einfluss auf deren Sicherheit. Das macht es umso wichtiger, dass Institutionen ihre Datenschutzverpflichtungen ernst nehmen.

Für Gesundheitsorganisationen und IT-Administratoren ist dieser Vorfall eine Erinnerung daran, dass das Management von Anbieterrisiken von Bedeutung ist. Die Abhängigkeit von einer einzigen Plattform für einen Großteil des nationalen Gesundheitssystems schafft ein Konzentrationsrisiko. Regelmäßige Sicherheitsprüfungen, Planung von Maßnahmen zur Reaktion auf Vorfälle sowie die Sicherstellung der Verschlüsselung von Daten während der Übertragung sind grundlegende Anforderungen und keine optionalen Extras.

Der ChipSoft-Vorfall wird noch untersucht, und das vollständige Bild der betroffenen Daten könnte noch Wochen auf sich warten lassen. Patienten haben Anspruch auf zeitnahe und transparente Kommunikation seitens der Institutionen, denen ihre sensibelsten Informationen anvertraut wurden. Behörden, Krankenhäuser und Softwareanbieter tragen gemeinsam die Verantwortung dafür, dass dieser Standard eingehalten wird.