BIG direkt: Cyberangriff legt Krankenkasse lahm

Inhaltsverzeichnis

Die Krankenkasse "BIG direkt gesund" hat ihre Systeme nach einem mutmaßlichen Cyberangriff herunterfahren müssen und war tagelang für die Versicherten nicht erreichbar. Inzwischen seien erste Funktionen wiederhergestellt, erklärte ein Sprecher gegenüber heise online, und auch die Erreichbarkeit habe sich verbessert. Betroffen sind rund 513.000 Versicherte.

Während äußere Anzeichen einen Cyberangriff – möglicherweise mit Ransomware – vermuten lassen, will die Krankenkasse das auf Anfrage nicht bestätigen und spricht von einem "unberechtigten Zugriff" auf ihre Systeme. Dieser sei am 28. März festgestellt worden. Daraufhin seien sofort sämtliche Verbindungen gekappt und die betroffenen Server heruntergefahren worden.

Bisher gebe es keine Erkenntnisse, dass Daten abgeflossen seien, sagte ein Sprecher der Krankenkasse gegenüber heise online. Die BIG hat externe IT-Experten hinzugezogen und den Vorfall den Ermittlungsbehörden sowie den zuständigen Aufsichtsbehörden gemeldet.

Die betroffenen Systeme würden nun nach und nach wieder in Betrieb genommen, hieß es weiter. Priorität habe dabei die Auszahlung von Leistungen, die zum Wochenbeginn wieder angelaufen sei. Auch die Kommunikation mit den Versicherten konnte wieder aufgenommen werden, dabei könne es aber noch zu Engpässen kommen.

Attacke auf IT-Dienstleister mit Auswirkungen

Ein Zusammenhang mit dem Cyberangriff auf den IT-Dienstleister Materna, der ebenfalls Ende März entdeckt wurde, besteht nach Angaben der BIG nicht. Der Dortmunder IT-Dienstleister Materna Information & Communications SE war am 25. März Opfer eines umfassenden "Cyber-Angriffs auf Netzwerkebene" geworden und hatte betroffene Server und Dienste abschalten müssen. Nach Informationen von heise online handelt es sich hierbei um den Angriff mit einer Ransomware, auch wenn Materna das bisher nicht bestätigen will.

Cyberangriffe auf öffentliche Einrichtungen wie Krankenkassen oder zentrale Dienstleister wie Materna haben massive Auswirkungen. Bei der BIG sind über eine halbe Million Versicherte betroffen. Das ganze Ausmaß des Angriffs auf Materna ist noch nicht abzusehen, allerdings lassen sich einzelne Systemausfälle etwa im Luftverkehr auf den Angriff zurückführen.

Check-in down in Hamburg und Berlin

Unmittelbar nach dem Angriff kam es zu Ausfällen der Self-Check-in-Automaten an den Flughäfen Hamburg und Berlin-Brandenburg, die von Materna betrieben werden. Inzwischen funktionieren die Automaten wieder, der Osterreiseverkehr sei nicht beeinträchtigt, sagte ein Sprecher der Flughafengesellschaft Berlin-Brandenburg.

Auch bei der Lufthansa war es infolge des Angriffs auf Materna zu Problemen gekommen. Die Check-in-Automaten am Frankfurter Flughafen sowie der Online-Check-in waren betroffen. Die Dienste seien sofort nach Bekanntwerden des Angriffs unterbrochen und Alternativen geschaffen worden, erklärte ein Lufthansa-Sprecher. "Zum aktuellen Zeitpunkt gibt es keinen Anhaltspunkt, dass bei dem Angriff Kundendaten entwendet oder kompromittiert wurden."

Auch Verkehrsverbund Hannover angegriffen

Am Freitag vergangener Woche hat die Verkehrsbetriebe der niedersächsischen Landeshauptstadt Hannover (Üstra) erwischt. Das Unternehmen musste den Verkauf des Deutschlandtickets einstellen. Der Kundenservice ist nur eingeschränkt verfügbar. Alle Computersysteme seien heruntergefahren worden. Die Üstra hat den Vorfall der Polizei gemeldet und zusätzlich zur eigenen Unternehmens-IT externe Experten hinzugezogen, sagte ein Sprecher. Auch hier ist nicht bestätigt, dass es sich um einen Ransomware-Vorfall handelt.

Am heutigen Donnerstag teilte die Üstra mit, dass das Deutschlandticket regulär für den 1. Juni 2023 buchbar sein werde. Wer es ab dem 1. Mai buchen möchte, könne die Bestellung in der "FahrPlaner-App" vornehmen. Die Bestellung sei bis zum 30. April möglich. Das klappe aufgrund einer Kooperation mit dem Verkehrsverbund Bremen/Niedersachsen. Es könne im Übrigen auch beim 365-Euro-Ticket als Sozial- und Job-Ticket in der Region Hannover zu Verzögerungen kommen.

Ob diese verschiedenen Angriffe in irgendeiner Form zusammenhängen, lässt sich zur Stunde nicht sagen. Die betroffenen Unternehmen machen unter Hinweis auf laufende Ermittlungen keine Angaben zu Einzelheiten. Ob und welche Ransomware eingesetzt wurde, ist deshalb auch nicht bekannt.

Zuletzt hatte auch der Speichermedienhersteller Western Digital einen Angriff gemeldet. Ein Universitätsklinikum im spanischen Barcelona musste infolge einer Ransomware-Attacke Operationen verschieben.

Laut einer Erhebung des Sicherheitsanbieters Nord Security kam es im vergangenen Jahr weltweit zu 2263 Ransomware-Attacken, davon 96 in Deutschland. Weltweit waren demnach fast 2000 Unternehmen betroffen. Allerdings ist davon auszugehen, dass nicht alle Attacken auch bekannt werden. Nord Security schreibt diese Angriffe insgesamt zwanzig Ransomware-Gruppen zu, wobei Lockbit mit einem Drittel der Angriffe und Conti mit einem Viertel zu den aktivsten zählen.

(vbr)