Cyberattacke auf Klinikdienstleister: Datendiebe erbeuten Patientendaten –Wie kann so etwas passieren?
Hacker attackieren immer wieder Unternehmen und Einrichtungen. (Symbolbild)
Nicolas Armer/dpa- Cyberangriff auf Klinik-Dienstleister betrifft mehrere Kliniken in Baden-Württemberg.
- Täter nutzen schwache Passwörter, Phishing, veraltete Software oder unbekannte Lücken.
- Nach Infektion: Ausbreitung im Netz, Admin-Rechte, Datenklau und Verschlüsselung – Backups im Visier.
- Erbeutete Daten dienen Erpressung, werden teils verkauft und für Phishing oder Betrug genutzt.
- Behörden raten zu Updates, restriktiven Zugängen und geprüfter Software, 100 Prozent gibt es nicht.
Die Zusammenfassung wurde durch künstliche Intelligenz erstellt.
Der Cyberangriff auf einen bundesweit tätigen Klinik-Dienstleister betrifft mehrere Krankenhäuser in Baden-Württemberg sowie ihre Patientinnen und Patienten. Doch aus Sicht von Fachleuten ist es im Grunde nur ein Beispiel von vielen. Sicherheitslücken ebnen Kriminellen den Weg in die IT-Sicherheitsnetze von Unternehmen, Institutionen und auch Privatleuten.
Wie laufen solche Cyberangriffe ab?
Im ersten Schritt verschaffen sich Täter Zugriff auf ein IT-Netzwerk eines Unternehmens oder einer Einrichtung, wie das Cybercrime-Zentrum (CCZ) Baden-Württemberg bei der Generalstaatsanwaltschaft Karlsruhe erklärt. Die Möglichkeiten seien vielfältig – beispielsweise über ausgespähte Zugangsdaten etwa von Mitarbeitern oder schwache Passwörter, die geknackt wurden. In anderen Fällen würden bekannte Schwachstellen ausgenutzt, wie Software, die nicht mit den neuesten Sicherheitsupdates aktualisiert wurde. Oder aber die Kriminellen finden bis dato unbekannte Schwachstellen.
Was macht eine Schadsoftware?
Eine andere häufige Variante ist dem Landesdatenschutzbeauftragten zufolge der Versand von Mails mit Schadcode, wie Dokumente mit Makros (automatisierte Befehle). „Wenn der Empfänger diese schadhafte Software (unabsichtlich) ausführt, übernimmt die Schadsoftware die Kontrolle über den Computer und die Angreifer versuchen auch wiederum im lokalen Netz, weitere Systeme zu übernehmen“, erklärte ein Sprecher der Behörde in Stuttgart.
Die Täter versuchen laut Cybercrime-Zentrum, sich innerhalb des IT-Netzwerkes auszubreiten (Lateral movement) und höhere Zugriffsrechte – in der Regel Admin-Rechte – zu erlangen (Privilege escalation). In der letzten Phase würden dann sensible Unternehmensdaten ausgeleitet, die Systeme verschlüsselt und möglicherweise vorhandene Backups gelöscht.
Was passiert mit abgefischten Daten?
Diese werden dem CCZ zufolge in der Regel zunächst als Mittel der Erpressung gegenüber dem betroffenen Unternehmen eingesetzt. Dann werde gedroht, die Daten auf zum Beispiel extra dafür eingerichteten Seiten im Darknet zu veröffentlichen, wenn das geforderte Lösegeld nicht bezahlt werde. „Möglich ist aber auch ein Verkauf der Daten an andere Cyberkriminelle“, erklärte ein Sprecher des Zentrums. So könnten die enthaltenen Informationen sehr gezielt für weitere Cyberangriffe verwendet werden, wie Phishing oder Betrug. „Auch ein Identitätsmissbrauch ist möglich.“
Wie gefährlich sind Buchungen?
Der Landesdatenschutzbeauftragte nennt als Beispiel Hotelbuchungen: Wenn Angreifer Zugang zum Buchungssystem beim Hotel oder beim Vermittler des Zimmers bekommen, können sie Daten kopieren, sich dann als das Hotel ausgeben und per Mail, SMS oder WhatsApp-Nachricht zum Beispiel eine Bestätigung für eine Buchung verlangen. Dadurch würden Kunden auf eine Internetseite gelockt und bekämen eine Zahlungsaufforderung. „Es sind reale Daten, wodurch die Kontaktaufnahme des Angreifers glaubwürdig wird“, erklärte der Sprecher. Wenn man zahlt, sei das Geld aber wahrscheinlich weg.
Kann man sich wappnen?
Solche Angriffe könnte man laut dem Landesdatenschutzbeauftragten mit verhältnismäßig einfachen Mitteln unterbinden: Sensible Systeme wie Firewalls sollten nicht direkt über das öffentliche Internet erreichbar sein. Die Ausführung von fremder, ungeprüfter Software sollte ausgeschlossen werden. „Wir empfehlen verantwortlichen Stellen sehr, IT-Sicherheit ernst zu nehmen und organisatorisch und personell angemessen zu berücksichtigen“, teilte die Behörde mit. Eine 100-prozentige Sicherheit werde es nie geben können. „Allerdings lassen sich viele Vorfälle vermeiden, wenn alle Beteiligten die Grundlagen der IT-Sicherheit beachten und resiliente Systeme verwenden.“
Ein typischer Fehler von Verantwortlichen ist nach Einschätzung der Fachleute, dass sie – wenn überhaupt – nur die Empfänger von Phishing-Mails über den Vorfall informieren. „Vielmehr sollten die Verantwortlichen genau schauen, auf welche Daten zugegriffen wurde, diese sind potenziell beim Angreifer.“
Wie viele derartige Fälle gibt es?
Das ist unklar, die Dunkelziffer dürfte hoch sein. „Wir sehen nur die Fälle, in denen die Unternehmen Strafanzeige erstatten oder der Angriff aus anderen Gründen öffentlich bekannt wird“, erklärte der CCZ-Sprecher. „Soweit ein Unternehmen keine Strafanzeige erstattet oder das geforderte Lösegeld bezahlt, erhalten wir in der Regel keine Kenntnis von dem Angriff.“
Im Bundeslagebild Cybercrime des Bundeskriminalamts heißt es etwa: „Angriffe mit Verschlüsselungstrojanern stellten 2025 erneut eine herausfordernde Bedrohung für Unternehmen dar.“ Im Vergleich zum Vorjahr sei die Zahl der angezeigten Fälle um zehn Prozent auf 1.041 gestiegen. 96 Prozent der Angriffe richteten sich demnach gegen Unternehmen, Organisationen und Institutionen.
Nach vier Jahren gefasstWie oft fließt Lösegeld?
Die Zahlungsbereitschaft Geschädigter sei gesunken. In einer bundesweiten Fallerhebung hätten nur sieben Prozent (2024: neun Prozent) der Geschädigten sogenannter Ransomware-Angriffen angegeben, Lösegeld gezahlt zu haben.
Beim Landesdatenschutzbeauftragten steigt die Anzahl gemeldeter Datenpannen aufgrund von immer mehr und komplexeren Datenverarbeitungen seit Jahren. Im vergangenen Jahr seien 4.059 Pannen gemeldet worden (2024: 3.559). Bei mehr als 1.000 Meldungen sei es um Phishing, Hackerangriffen und Sicherheitslücken in technischen Systemen gegangen.