Ich kann nun eine weitere Informationen zu den IT-Ausfällen bei Ameos-Kliniken und Einrichtungen beitragen. Nachdem ich über die IT-Probleme berichtete, hat sich die Ameos-Gruppe aus der Schweiz auf meine Presseanfrage gemeldet. Die IT-Dienste wurden nach einem „Angriff“ (Hackerangriff oder Cyberangriff ist unklar) vorsorglich abgeschaltet, was weitgehende Störungen der angeschlossenen Kliniken verursachte.
Wer ist Ameos?
Bei der AMEOS Group handelt es sich um einen Anbieter aus der Schweiz, der seit 23 Jahren aus Zürich aktiv ist und zahlreiche Kliniken und weitere medizinische Einrichtungen in Deutschland, Österreich und der Schweiz betreibt.
Insgesamt handelt es sich um 101 Einrichtungen in Raum DACH mit über 10.900 Betten, wobei Ameos 18.000 Mitarbeiter beschäftigt. Unter dem Strich ist es wohl einer der größten Anbieter in DACH im Medizinbereich. Wenn dort die IT Probleme bereitet, trifft das viele Kliniken und Einrichtungen, da es wohl eine zentrale Softwareanbindung an deren Dienstleister gibt.
Berichte über IT-Ausfälle in Kliniken
Mir waren aus diversen Quellen Berichte über massive IT-Probleme in deutschen Kliniken gemeldet worden. Ich hatte zum 8. Juli 2025 im Blog-Beitrag IT-Ausfall in deutschen Kliniken (7.-8. Juli 2025); Ameos betroffen – was ist da los (Citrix Bleed 2)? über diese Meldungen berichtet und seitdem kontinuierlich Informationen nachgetragen.
Aus dem aktuellen Bild war klar, dass die IT-Störung deutschlandweit Ameos-Einrichtungen betraf und seit am 7. Juli 2025 begann. Gegenüber Presseanfragen hieß es, von Ameos nur, das die Ursache in Zusammenarbeit mit einem Dienstleister bekannt sei und behoben werde. Es wurde von einem Netzwerkfehler gesprochen, ohne nähere Erläuterungen zu geben.
Es war ein Cyberangriff
Es scheint von den Betreibern auch ein „massiver Deckel“ auf jegliche Informationsweitergabe gegeben zu haben – mir sind entsprechende Informationen zugegangen. Ich bin daher von einem Cybervorfall ausgegangen, zumal ich aus ungenannt bleiben wollenden Quellen erfahren habe, dass von IT-Abteilungen Rechner eingesammelt wurden, um neu aufgesetzt zu werden. Diese Information blieb aber zu vage, um auf Details zu schließen.
Aber es gibt inzwischen ein schlüssigeres Bild. Ich hatte schriftliche bei der Presseabteilung von Ameos nachgefragt und um mehr Details zur Art der Störung gebeten. Zum 9.7.2025 ging mit nach 16:00 Uhr eine Pressemitteilung der Gruppe zu, die ich im Blog-Beitrag IT-Ausfall in deutschen Kliniken (7.-8. Juli 2025); Ameos betroffen – was ist da los (Citrix Bleed 2)? im Wortlaut wiedergegeben habe. Hier die Kernpunkte:
- Die Einschränkungen der IT-Dienste in den Kliniken und Häusern der Gruppe ging auf eine zentrale, vom Dienstleister vorgenommene Abschaltung der Netzwerke zurück. Damit standen alle abhängigen Dienste nicht mehr bereit.
- Grund für die Abschaltung der Netzwerke war, dass die AMEOS IT am Montagabend (7. Juli 2025) einen Angriff identifizierte und vorsorglich alle digitalen Systeme abgeschaltet hat.
Seit diesem Zeitpunkt arbeiten die IT-Mitarbeiter mit höchster Priorität an der Wiederinbetriebnahme der IT-Services. Die digitalen medizinischen Anwendungen sind bereits wieder in den Betrieb überführt worden. In der Pressemitteilung heißt es:
Die Versorgung der Patientinnen und Patienten in den AMEOS Klinika sowie der Bewohnerinnen und Bewohner in den AMEOS Pflege- und Eingliederungseinrichtungen war und ist zu jeder Zeit sichergestellt. Die Notaufnahmen sowie therapeutische und diagnostische Leistungen, wie beispielsweise das Notfalllabor, waren jederzeit erreichbar und standen zur Verfügung.
Kann man so zur Kenntnis nehmen – insgesamt hatte dieser Vorfall aber wohl gravierende Auswirkungen, da einige Häuser sich aus der Notfallversorgung abmelden mussten, weil Labor- und Röntgenuntersuchungen nicht mehr möglich waren.
Bei Wertpapier-Depots würde man das Ganze als „Klumpenrisiko“ bezeichnet, wenn alle Wertpapiere zur gleichen Branche oder zum gleichen Land gehören und beim Absturz der Wert des Depots pulverisiert wird. Aber wir sorgen schon mal dafür, dass Kliniken landauf/landab von einem Betreiber mit zentraler IT betrieben werden. Knipsen wir da die IT aus, ist bei zahlreichen Kliniken Schicht im Schacht.
Was offen geblieben ist
In der Pressemitteilung wurde also nur ein Cyberangriff als Ursache für die Netzwerkabschaltung bestätigt. Kein Wort, welche Auswirkungen der Angriff auf die IT hatte und ob er erfolgreich war, ob Daten abgeflossen sind und so weiter.
Im Blog-Beitrag IT-Ausfall in deutschen Kliniken (7.-8. Juli 2025); Ameos betroffen – was ist da los (Citrix Bleed 2)? hatte ich ja frühzeitig die Frage aufgeworfen, ob eine Schwachstelle im Citrix Netscaler oder Citrix Gateway da mit rein spielen könnten – es war reine Spekulation und ist es immer noch.
In diesem Kommentar schreibt eine Quelle, dass in den AMEOS-Kliniken das Produkt ish.med von der Oracle Tochter Cerner zum Einsatz kommt. Das Produkt ish.med ist ein Klinik-Verwaltungssystem, welches auf SAP aufsetzt und 2027 aus dem Support fällt. Im Jahr 2022 hat Thieme kma in diesem Artikel einige Hintergründe zu diesem Thema offen gelegt.
Das Bild wird dann durch einen mutmaßlichen Ex-Mitarbeiter von Ameos abgerundet, der hier schreibt, dass die zentralen Fachanwendungen im Rechenzentrum des Dienstleisters liegen. Der Zugriff erfolge per Citrix von Terminalservern aus. Eine weitere anonyme Quelle gab dann Cancom als Ameos-Dienstleister an.
Aktuell scheint die Webseite sauber, aber interessant ist dieser Kommentar, der der URL cancom-mase.com, die auf cancom.de weiterleitet, thematisiert und schreibt, dass zumindest eine Netscaler-Version 13.0-92.19 verwendet wurde. Nach meinen Artikel Citrix Bleed Teil 2: Wird Schwachstelle CVE-2025–5777 bereits ausgenutzt? wäre das ein Problem, wenn die Netscaler-Software dort als aktives Gateway für Zugriffe auf Ameos-Dienste verwendet wird. Um das Ganze im Kontext zu betrachten – in nachfolgender Link-Liste finden sich zwei Altfälle, wo die seinerzeit Citrix-Bleed genannte Schwachstelle konkret ausgenutzt wurde. Ob das aktuell auch zutrifft, ist derzeit spekulativ und es bleibt die weitere Entwicklung abzuwarten – vielleicht ergeben sich ja noch Informationen (auch aus der Leserschaft).
Ähnliche Artikel:
Citrix Bleed Teil 2: Schwachstelle CVE-2025–5777 weitet sich aus
Citrix Bleed Teil 2: Wird Schwachstelle CVE-2025–5777 bereits ausgenutzt?
IT-Ausfall in deutschen Kliniken (7.-8. Juli 2025); Ameos betroffen – was ist da los (Citrix Bleed 2)?
„Cyber-Angriff“ auf Klinikum Esslingen – Citrix-Bleed ausgenutzt?
Convotis (Geiger BDT) bestätigt Cyberangriff, Infrastruktur über Citrix Netscaler ADC kompromittiert?
„Es scheint von den Betreibern auch ein „massiver Deckel“ auf jegliche Informationsweitergabe gegeben zu haben – mir sind entsprechende Informationen zugegangen.“
Den Satz verstehe ich leider nicht ganz. Gab es einen auf den Deckel für den Betreiber, weil der Betreiber Informationen weitergegeben hat oder gab es vom Betreiber für Kunden auf den Deckel, weil die Informationen weitergegeben haben?
Sollte in so einem Fall nicht auch Teil der Reaktion sein, dass man die Öffentlichkeit informiert? Wenn Unternehmen ein Cyberangriff geheim halten wollten, dann haben diese Unternehmen oft Sorge, dass man beim tiefer graben die ganzen Schandtaten in der IT-Infrastruktur findet – so zumindest mein denken.
Ich habe keinen Druck bekommen, sonst wäre das schon offen gelegt worden, so etwas wäre eine Steilvorlage für mich.
Ich gehe auch davon aus, dass mein vorheriger Beitrag samt meiner Nachfrage dazu geführt hat, dass man vom Anbieter etwas mehr kommuniziert hat. Die Journalistenanfragen des NDR und der Lübecker Nachrichten waren ja noch sehr verhalten beantwortet worden.
Also (zumind.) ich hab‘ die Formulierung des Artikelschreibers so aufgefasst, dass als „Deckel“ quasi vom Betreiber eine Art Sperre für die Informationsbeauskunftung an das Personal und alle sonstig Beteiligten „befohlen“ wurde.
Und ja, das vermittelt die aus der Politik gewohnte Anrüchigkeit – freiwillig nichts sagen und erstmal alles abstreiten! 🤷♂️
Das Ding mit der Kommunikation kennt man ja… die Berichte der (sog.) Leitmedien sind ja auch noch entsprechend dürftig.
Allerdings frag‘ ich mich auch, was man bereits einen Tag nach Feststellung bereits für forensische Analyseergebnisse bzgl. Datenabfluß etc. erwarten kann.
Es kommt halt immer darauf an, wie der Betreiber den Vorfall bemerkt hat, wenn da schon steht, dass der Betreiber Rechner einsammelt, bedeutet das, dass sie den Ursprung nicht ermitteln konnten und dass sie Informationen sammeln, um den Ursprungsort zu ermitteln. Sobald nämlich irgendeine Behörde, auch in der Schweiz davon Wind bekommt, darf nichts mehr formatiert werden, um den Schadenssachverlauf nicht zu gefährden und ermitteln zu können.
Das ist übrigens auch, der die Verfahrensweise in Deutschland, erst verschleiern und ermitteln, um etwaige Hacker, die sich noch im Netz aufhalten, nicht zu verschrecken, dann die Schadensanalyse, wichtig für die Versicherung und dann das öffentliche Bekenntnis um sich als Sieger gegen die Hacker in presse, Rundfunk und TV zu präsentieren und das man alles in Griff hat.
Überspitzt gesagt
Na ja, wie sonst soll(te) man aber auch agieren, um eben aus durchaus mehrerlei validen Interessen keine chaotischen Zustände zu initiieren oder gar zu befördern und/oder sich auch hinsichtlich von weiterführenden Konsequenzen angreifbar zu machen?
Sorry, aber niemand knüpft den Strick selbst, an dem er aufgehangen werden soll, oder?
zu einem solchen Unternehmen hat man als Patient doch vollstes Vertrauen.
oh, ich sehe gerade dass alle Kliniken ringsum zu Ameos gehören.
Gesundheitsvorsorge und Marktwirtschaft passen nun mal sehr gut zusammen…
Leider bleibt mir trotz Berichterstattung unklar, in welchem Umfang bzw. welcher Verteilung IT-Infrastrukturen und IT-Belegschaften einerseits an den AMEOS-Standorten und andererseits bei einem oder mehreren Dienstleistern angesiedelt sind.
Ein klares ‚den Klinikverbund trifft keine Schuld, weil der Dienstleister patzte‘ konnte sich AMEOS jedenfalls nicht abringen.
Insofern bleibt das ungute Gefühl, dass der erfolgreiche Angriff etwas mit unzureichender Wartung und Absicherung der IT-Systeme infolge Personalmangel zu tun haben könnte, und deshalb i. Z. mit verschiedenen Berichten von Ende 2024 (Bsp. (1)) über eine Vielzahl anderer Missstände in den AMEOS-Kliniken zu sehen ist.
_
(1) https://www.ndr.de/nachrichten/niedersachsen/osnabrueck_emsland/Nach-Vorwuerfen-gegen-Ameos-Politiker-verlassen-Klinik-Beirat,ameos200.html
Ich glaube, das ist das was Dir ein guter Anwalt als erstes sagt: keine Spekulationen zur Schuldfrage machen. Dafür wird meistens ein externer Gutachter eingeschaltet, schließlich geht es hier nicht nur um sehr viel Geld (Schadenersatz), sondern ggf. auch um Folgeschäden für die Patienten durch ausgefallene bzw. verschobene Behandlungen. Beim Fall der hier im Blog umfangreich thematisierten SIT hat es ein halbes Jahr gedauert, bis ein vollständiger Bericht vorlag.
Gibts irgendwo Gesamtbericht bzgl. SIT? ich kenn da nur halbgeschwärzte PDFs von eher nicht so offiziellen Quellen?
Ich weiß nicht, was Du unter „Gesamtbericht“ verstehst? Mir lagen zwei Fassungen der Forensik-Analyse als PDF vor, die ich aber niemals veröffentlicht habe – aber ganz offiziell die Freigabe hatte, Ergebnisse daraus zu publizieren. Was die Allgemeinheit wissen musste, ist eigentlich öffentlich.
Die eigentlich in der Branche bekannte Regel Nummer 1:
Informationsbereitstellung für Berichterstattung wird so unklar gehalten, wie nur irgendwie möglich. Die Story wird geleugnet, vernebelt, verschleiert, beschönigt, verharmlost, verdreht, verzögert, bis das öffentliche Interesse irgendwann genug nachgelassen hat.
Jede Berichterstattung zu jedem Vorfall war niemals die ganze Wahrheit und wird es auch nie sein.
Liegt in der Natur der Sache, denn „was ist die gesamte Wahrheit?“, es gibt immer mehrere Sichtweisen.
Ich muss mal schauen, ob die These mit Citrix Bleed 2 sich erhärten lässt. Ein Kontakt hat mir die Tage gesteckt, dass einige Kliniken da immer noch schlecht aufgestellt sind – da sind einige Warnung an deren IT-Abteilungen rausgegangen (war ja bereits beim letzten Vorfall der Weg, der aber nicht gereicht hat).
Mir fehlen die Werkzeuge, die Erfahrung und schlicht auch die Zeit sowie die Lust, da weiter zu bohren. In den beiden Artikeln steckt doch schon mehr an Informationen, als mir bisher in der Gerichterstattung so untergekommen ist.
Wenn man davon ausgeht dass Angreifer sich oft längere Zeit in den erfolgreich angegriffenen Systemen umsehen bevor sie letztlich zuschlangen ist CitrixBleed2 evtl. eher unwahrscheinlicher denke ich. Gibt ja leider unzählige mögliche Angriffsszenarien.
Es gab auch einen IT Vorfall an einer Schule im Westerwald.
Wie Mainz den Datenklau an Westerburger Schule sieht
Hier wurde vom Schulleiter eine Software selbst geschrieben mit personenbezogenen Daten. Ob ein Abfluss erfolgt ist, ist leider nicht ersichtlich. Leider Paywall Artikel.
Zum groben Sachverhalt: Mitte Mai 2025 wurde die Berufsbildende Schule (BBS) in Westerburg Opfer eines Hacks. Dieser hatte es auf das digitale Klassenbuch der Einrichtung abgesehen.
Was genau dahinter steckt, und ob bzw. welche Daten abgegriffen wurden, ist mir unbekannt. Die Medienberichterstattung scheint sich nun darauf zu beschränken, dass dem Ministerium in Mainz vorgeworfen wird, „zu langsam bei der Schuldigitalisierung zu sein“. O-Ton: „der Verband Bildung und Erziehung (VBE) eine klare Meinung. Die Gewerkschaft wirft dem Land vor, bei der Digitalisierung viel zu langsam zu agieren.“ Mutmaßlich war die Software zum Führen des digitalen Klassenbuchs eine Eigenentwicklung der Schule.
Die Webseite „Datenschutz Schule“ hat hier einige Details bereitgestellt.
…gibt es in dieser Angelegenheit eigentlich schon irgendwelche neuen Erkenntnisse? Findet hier an dieser Stelle ein Update statt, falls es was Neues gibt?
Nur wenn ich aus Leserkreisen neue Informationen bekomme, die einen Nachtrag oder einen eigenen Artikel erfordern. Ich schaue aber nicht ständig nach, was Ameos so treibt – so wichtig sind die nun auch nicht (für mich als Blogger gibt es genügend anderen Stoff, der die Leserschaft tangiert).
Alles klar, danke! Ich gucke hier einfach weiter regelmäßig rein.