So langsam wird das Ausmaß des Cyberangriffs auf die französischen Gesundheitsdienstleister Viamedis und Almerys sichtbar. Bei diesem Angriff wurden wohl die persönlichen Daten von 33 Millionen Franzosen erbeutet – d.h. jeder zweite Franzose muss davon ausgehen, dass seine Versichertendaten wie Name, Wohnort etc. inzwischen in den Händen von Kriminellen sind. Sind mehrere Super-Fails passiert, damit die „ausgebufften Hacker über Trivialitäten“ an die Daten gelangen konnten. Schöne Aussichten für unseren wackeren deutschen Gesundheitspolitiker, die von elektronischer Patientenakte (ePA) für gesetzlich Versicherte träumen – und auch schöne Aussichten für den europäischen Gesundheitsdatenraum (European Health Space), wo alles europaweit erfasst werden soll.
Erste Meldung zum Angriff
Ich hatte zum 8. Februar 2024 im Blog-Beitrag Sammelbeitrag: Sicherheitsvorfälle und -Meldungen (8.2.2024) über einen Cyberangriff auf den französischen Gesundheitsdienst Viamedis berichtet, bei dem persönliche Daten von Versicherten abgezogen wurden. Der Dienstleister bestätigt diesen Vorfall vom 1. Februar 2024 auf LinkedIn.
Viamedis verwaltet die Abrechnung für 84 Krankenversicherungen in Frankreich. In der Mitteilung hieß es, dass weder Bankdaten noch Postanschrift, Telefonnummer oder E-Mail-Adresse von diesem Angriff betroffen seien. Nur personenbezogenen Daten wie Familienstand, Geburtsdatum und Sozialversicherungsnummer, sowie Name des Krankenversicherers und Garantien, die dem Drittzahler offenstehen, seien entwendet worden. Es hieß, dass nur weniger als 50 Rechnungen von Leistungsempfängern von dem Angriff betroffen seien, wobei dort lediglich Informationen über den Krankentransport (Taxi, Krankenwagen) enthalten seien.
Anzeige bei der Staatsanwaltschaft wurde gestellt und ein Benachrichtigung und Erklärung an die zuständigen Behörden (CNIL, ANSSI) erfolgte. Die betroffenen Zusatzorganisationen wurden informiert. Gleichzeitig wurde die Zahlungsplattform zur Zahlungsabwicklung abgeschaltet, um die Folgen des Angriffs zu untersuchen. Die Betroffenen können weiter ihre Gesundheitskarte und ihre Drittzahlerkarte verwenden. Die vorübergehende Trennung von der Viamedis-Plattform wird sich nur auf bestimmte Angehörige der Gesundheitsberufe, insbesondere Optiker und Hörgeräteakustiker, auswirken.
Es wurde ein spezielles Informationssystem für Gesundheitsfachkräfte eingerichtet. Im gleichen Artikel ist dann noch die Rede davon, dass auch der Zahlungsabwickler Almerys von einem Cybervorfall betroffen sei.
33 Millionen Franzosen betroffen
So langsam wird aber wohl das Ausmaß der Angriffe auf die zwei Zahlungsabwickler im französischen Gesundheitssystem sichtbar. Ich hatte bereits in obigem Sammelbeitrag kurz angerissen, dass die Kollegen von Bleeping Computer hier schreiben, dass der Datenschutzvorfall bei Viamedis und Almerys insgesamt 33 Millionen Franzosen betrifft.
Obige zwei Tweets greifen das noch ein wenig genauer auf. Eine Mitteilung an die Commission Nationale de l’Informatique et des Libertés (CNIL, die französische Datenschutzbehörde) legt das Desaster offen. Die CNIL hat eine Untersuchung eingeleitet, da der Datenschutzvorfall bei Viamedis und Almerys, zwei Betreiber, die die Drittzahlerabwicklung für zahlreiche Zusatzkrankenversicherungen und Krankenkassen übernehmen, Ende Januar 2024 mehr als 33 Millionen Personen in Frankreich betrifft.
Golem schreibt hier, dass Yann Padova, Anwalt für digitalen Datenschutz und ehemaliger Generalsekretär der CNIL, davon ausgeht, dass es sich um die größte Datenschutzverletzung in der Geschichte Frankreichs handelt. Einen Vorfall vergleichbaren Ausmaßes habe es in Frankreich bisher noch nicht gegeben.
Golem bezieht sich auf einen Bericht von Euronews, dass die Hacker beim Anbieter Viamedis Phishing nutzten, um die Logins von Angehörigen der Gesundheitsberufe zu ermitteln. Mit Hilfe dieser Login-Daten gelangten sie in das System und konnten Daten abziehen. Der Anbieter Almerys erklärte, dass die Hacker sich Zugang zu einem Portal verschafft hatten, das von Angehörigen der Gesundheitsberufe genutzt wurde. Auch dort wurden dann Daten abgezogen.
Aktuell gibt die CNIL den Versicherten allgemeine Hinweise, auf ungewöhnliche Bewegung in Verbindung mit Abrechnungen im Gesundheitsbereich zu achten und generell vorsichtig zu sein. Man geht davon aus, dass die gestohlenen Daten mit anderen Daten aus früheren Datenlecks kombiniert werden. Die Betroffenen sollen von ihrer Krankenversicherung informiert werden.
Die Super-Fails des Systems
Ergänzung: Abschließender Gedanke, dass da mehrere Super-Fails passiert sind, damit die „ausgebufften Hacker über Trivialitäten“ an die Daten gelangen konnten. Es stellt sich erneut heraus, dass die Schwachstelle im System sitzt. Hier zwei Punkte, die mir im Kopf herum gehen:
- Ich habe in einem solchen System mehrere hunderttausend Leute, die Zugang zu diesen Abrechnungssystem für Krankenversicherte haben. Fällt einer dieser medizinischen Fachangestellten oder Verwaltungsangestellten auf Phishing oder einen Trojaner herein, und habe ich keine 2FA-Absicherung über eine Smartcard und Heilberufeausweis, kann der Zugang beliebig missbraucht werden.
- Die wackeren Software-Klempner, die diese Systeme implementiert haben, scheinen wohl Null Gehirnschmalz in Zugriffssicherung und Rechtekonzepte investiert zu haben. Wer einmal im System drin ist, kann alles sehen – nur so ist zu erklären, dass die Konten der gehackten medizinischen Fachangestellten missbraucht werden konnten, um die Daten abzuziehen.
Es ist mal wieder das alte Spiel: Sicherheit wird nicht beim Design mitgedacht, sondern man versucht im Nachhinein mit Voodoo was zu richten – was zuverlässig in die Hose geht. Die Digitalisierung im deutschen Gesundheitssystem mit eRezept, ePA etc. ist in meinen Augen momentan auf dem gleichen Pfad. Über Sicherheit und Datenschutz wird nicht nachgedacht – die Forschung soll alle Daten bekommen, die Mitglieder der GKV können höchstens per Opt-out (noch) aus dem Ganzen aussteigen.
Mal so gefragt. Ich folge dir und anderen Quellen schon länger. Aber ich habe den Eindruck, dass seit letztem Jahr vermehrt öffentliche Stellen/Dienstleister angegriffen werden. Ist das einfach nur persönliches Empfinden oder ist das tatsächlich so? Kannst du da einmal eine Einschätzung abgeben?
naja entgegen IT in der (Bundes)Verwaltung; im Bussiness, sind Malwarebanden gut organisiert und technisch auf dem Höchststand, da ist es nur logisch da abzugreifen wo sich viel holen lässt und man viel abkassieren kann… den eines muss man diesen Drecksäcken lassen ihr System und Können ist top of the art.
Stell dir vor die Blackhats würden als Whitehats arbeiten wo wir da technisch heute stehen würden!
Stimmt. Aber als Blackhat gibt es noch mehr zu holen und macht wahrscheinlich auch mehr Spaß.
In Deutschland wird man ja als Whitehat auch bestraft, was ja total behindert ist.
(Siehe Artikel)
„Das Jülicher Amtsgericht hat einen IT -Fachmann aus Linnich zu 3.000 Euro Strafe verurteilt. Er hatte 2021 eine Sicherheitslücke bei einem Online-Dienstleister aufgedeckt, die Firma informiert und die Softwarepanne im Internet veröffentlicht.“
Quelle: Amtsgericht Jülich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)
—
GB: Hab mir erlaubt, statt dem Google AMP-Link einen Verweis auf einen Blog-Beitrag einzusetzen.
Nun sie haben eben ein paar Vorteile auf ihrer Seite.
* Sie schulen sich selbst und gegenseitig im Internet ohne dafür Fortbildungskurse für tausende Euros zuzüglich Hotel- und Reisekosten aufzuwenden.
* Sie schlagen sich dafür auch mal Nächte um die Ohren, ohne Überstundenzulagen zu kassieren und gesetzliche Ruhezeiten einzufordern.
* Sie erarbeiten ihre Reputation in der Community, ohne aufwendige und formalisierte Zertifizierungsprogramme
* Sie „besorgen“ sich die erforderlichen Tools ohne hohe Ausgaben für Lizenzkosten und Supportverträge
* Sie müssen nicht ständig verschiedenen Ebenen der Geschäftsleitung reporten und dafür inhaltslose Powerpoint-Präsentationen zusammenclicken
* Sie können auch mal wegfahren ohne gleich eine Supportinfrastruktur als Urlaubsvertretung aufbauen zu müssen
* Und sie können vielleicht auch ganz gut von ein paar großen „Jobs“ leben, ohne ein permamentes Einkommen für die nächsten 40 Jahre aufrecht erhalten zu müssen.
Alles Vorteile, die die WhiteHats nicht haben 😯
und längst überholt, die meisten Punkte stimmen so halt auch nicht mehr da gibt’s etliche Belege schon dafür, dass der typische BlackHat auch nur ein BusinessModel mit seinen Strukturen (Vertrieb, Management, Support, etc.) hat, nur eben nicht legal ist, aber das Ganze professionialisiert hat. State sponsored actors verfolgen dann halt kein Business Model, die haben aber auch ihre fixen Strukturen und Organisationen im Hintergrund.
Anders wäre das auch gar nicht mehr in dem Ausmaß möglich, so etwas lässt sich nebenher betreiben. Du brauchst genauso Leute in Buchhaltung/Geldwäscher, Backoffice usw. Krankenversicherung, Lebensmittel, etc. müssen ja auch irgendwie bezahlt werden, und das möglichst so dass du dann nicht von der Finanz erwischt wirst.
Die romantisierte Vorstellung, dass der Hobby Bastler in seinem Keller am „I Love U“ Virus 2.0 arbeitet ist längst Geschichte und übergegangen in Proffessionalisierung.
naja Geschichte nicht, aber sicher die Minderheit!
„…habe den Eindruck, dass seit letztem Jahr vermehrt öffentliche Stellen/Dienstleister angegriffen werden…“
Der Punkt ist, das Annalena im EU-Parlament durchaus das Richtige sagte: „Wir sind im Krieg mit Russland“, wenn das mancher auch immer noch nicht begriffen hat. Und warum wohl formiert sich jetzt, nach zehn Jahren seit Putins (erstem) Überfall auf die Ukraine, endlich diese Allianz gegen russische Cyberattacken …
tagesschau.de/newsticker/liveblog-ukraine-montag-338.html#Cyberattacken
tagesschau.de/newsticker/liveblog-ukraine-montag-338.html
So wie die europäischen Schlafmützen nun auch endlich erkannt haben, das man Munition etc. Produzieren muss, wenn man sich im Krieg befindet (egal ob direkt/selber oder nur mittelbar als Unterstützer …)
Man fragt sich ja schon seit Jahrzehnten wie dumm man eigentlich sein muss um in der hohen Politik ein Amt zu ergattern. Der Qualitäts-Standard scheint auf diesen Ebenen eher „Loyalität, „brav nach plappern“ und „bloß nicht selber denken“ zu sein, wobei sich fragt, wer da im Hintergrund wohl eigentlich die Fäden zieht und regieren mag?
Wenn man mal so drüber nachdenkt, versteht man besser, wie Schröder das in 2005 meinte, als er noch am Wahlabend statt seine Niederlage Einzugestehen zur Merkel sagte, das sie doch niemals Kanzlerin werden könne … im Rückblick wird ja so manches klarer. Und Frau Scholz ist nun der perfekte Nachfolger für Merkel … passt alles auch zu den diversen Studien über Bildung, wonach man zu wissen meint, dass die Intelligenz jüngerer Zeitgenossen, sich gegenüber vorherigen Schülergenerationen, rückläufig entwickele … na wen wundert das, bei der Bildungspolitik seit Jahrzehnten. Inzwischen also die vierthöchste Schulabbrecher-Quote in Europa … hat man da noch irgendwelche Fragen?
Wenn die Klugen ihre Ruhe haben wollen (in Ruhe ihre miesen Geschäfte machen wollen), dann regieren eben die „weniger“ Klugen, um es so neutral wie möglich zu formulieren. Und da ist es leider völlig wurscht was man als Wähler wählt … denn auch Corruption ist letztlich einfach nur Dumm!
…und wieder einmal die Frage, wie dieser Kommentar sich mit dem Thema deckt???
Das kann bei UNS überhaupt nicht passieren!
Frankreich ist zentral organisiert, Deutschland wurde nach dem Wk2 föderal organisiert.
Das ist das Element „Segmentierung“.
Wenn der Computer eines Finanzamt aufgebrochen wird sind nur diese Daten weg. Bricht jemand ins Ordnungs und Meldeamt ein, sind die Melde-Daten des Ortes weg. Bricht jemand den Computer beim Arzt auf, sind die Daten seiner 2000 Patienten weg.
Patientendaten lagen bei den Kassenärztlichen Vereinigungen vor, oder bei einer der 280 Krankenkassen.
Uns kann so doch nicht/nicht viel passieren.
Segmentierung ist ein wichtiger Baustein.
Wir sind sicher!
Das Ironie-Tag ist verschütt gegangen ;) Sicher sind ja nur Tod und Steuern, wie man weiß!
Ergänzend könnte man aber sagen, dass vielfach auch die papierhafte Briefbrücke zwischen den Teilnehmern Infektionen unterbricht. Ein (noch) Vorteil des aktuellen/akuten „Digitalisierunglevels Deutschland“.
Auch 2FA ist kein Allheilmittel, wie es so oft rüberkommt. Wenn diese Hürde genommen wurde (infiziertes Gerät) hat der Angreifer dieselben Rechte wie der Nutzer, der sich gerade 2FA hat.
Das Problem hier ist, dass man nach dem nehmen einer Hürde an viel zu viele Daten auf einmal herangekommen ist.
Aber genau das ist wieder das andere Problem bzw. der nahezu unüberbrückbare Canyon zwischen Entwicklern und Anwendern. Die Anwender wollen möglichst einfach und aufwandslos an alles herankommen, und die Entwickler sollen das dann sicher gestalten.
Die Quadratur des Kreises.
Zu diesem Thema habe ich schon meine Krankenkasse einen Widerspruch mit der gültigen Rechtslage zugeschickt, die ein endgültiges Kreuz durch dieses Teufelswerks setzt. Von meiner Kasse habe ich schon eine Antwort erhalten, und ein ePA wird für mich nicht angelegt. Bei Interesse schicke ich gerne den Musterbrief zu.
also an dem Musterbrief wäre ich auch interessiert.
Dito, hätte ebenfalls Interesse an dem Musterbrief!