MOVEit-Sicherheitslücken: Millionen Gesundheitsdaten bei US-Dienstleister abgegriffen
Kriminelle konnten bei dem US-Regierungsdienstleister Maximus sensible Daten von Millionen Menschen erbeuten. Der Angriff soll über Sicherheitslücken in der Datenübertragungssoftware MOVEit erfolgt sein. Darüber wurden bereits in den vergangenen Monaten Daten bei zahlreichen internationalen Unternehmen abgegriffen – auch in Deutschland.
Das US-amerikanische Unternehmen Maximus ist als Dienstleister im Gesundheits- und Sozialwesen unter anderem für die US-Regierung tätig. Auch in anderen Ländern ist das Unternehmen aktiv. In einer Mitteilung an die US-Börsenaufsicht SEC aus der vergangenen Woche heißt es nun, die Angreifer hätten Zugriff auf personenbezogene Daten von etwa acht bis elf Millionen Personen erhalten. Die genaue Anzahl könne erst nach Abschluss der Untersuchung in einigen Wochen genannt werden.
Zu den abgegriffenen Daten zählten auch Sozialversicherungsnummern sowie “geschützte Gesundheitsdaten”. Nähere Details nannte das Unternehmen nicht. Weiter heißt es in der Mitteilung, das Unternehmen habe seine Kunden sowie Aufsichtsbehörden informiert. Von dem Datendiebstahl betroffene Personen würden “in geeigneter Weise” ebenfalls benachrichtigt.
Krankenversicherte betroffen
Unter den betroffenen Personen sind auch mehr als 600.000 Mitglieder der staatlichen US-Krankenversicherung Medicare. Das teilte die zuständige Behörde am Freitag mit. In ihrem Fall seien unter anderem Namen, Sozialversicherungsnummern, Geburtsdaten, Anschriften, Telefonnummern und E-Mail-Adressen gestohlen worden. Zu den betroffenen Gesundheitsdaten zählten auch Diagnosen und Angaben zu Behandlungen.
Die Software MOVEit des US-amerikanischen Anbieters Progress Software wird beispielsweise von Behörden und Unternehmen verwendet, um Daten an Geschäftspartner und Kunden zu übermitteln. Auch Maximus setzt die Software eigenen Angaben zufolge ein, um Daten mit Regierungskunden auszutauschen. Seit Ende Mai wurden mehrere Sicherheitslücken in der Software bekannt, für die inzwischen Updates veröffentlicht wurden. Auch der Angriff auf das US-Unternehmen Maximus soll sich bereits Ende Mai ereignet haben.
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte Anfang Juni eine Sicherheitswarnung herausgegeben und darin erklärt, es bestehe “unmittelbarer Handlungsbedarf” – die vom Hersteller bereitgestellten Updates sollten “unverzüglich” installiert werden.
Laut der IT-Sicherheitsfirma Emsisoft sind inzwischen weltweit mehr als 500 Organisationen und die Daten von über 37 Millionen Personen betroffen. Das Unternehmen hatte unter anderem Mitteilungen über Datenlecks sowie Börsenmitteilungen für die Statistik ausgewertet.
Daten von deutschen Bankkunden und Versicherten
In Deutschland war zuletzt bekannt geworden, dass die Sicherheitslücken in MOVEit auch ausgenutzt wurden, um beim Dienstleister Majorel Daten abzugreifen. Über das Tochterunternehmen Kontowechsel24.de will der Anbieter Bankkunden den Wechsel von einem Geldhaus zum anderen erleichtern. Bei dem Angriff wurden Daten von Tausenden Kunden der Deutschen Bank, Postbank sowie der Direktbanken ING und Comdirect entwendet.
Auch beim deutschen Vergleichsportal Verivox sowie bei einem externen Dienstleister der Barmer-Krankenkasse hatten Angreifer die MOVEit-Lücken ausgenutzt und personenbezogene Daten erbeutet.
In den USA wurden beispielsweise Millionen Führerscheindaten von Einwohnern der US-Bundesstaaten Louisiana und Oregon entwendet. Auch eine US-Bank und die Hotelgruppe Radisson Hotels Americas hatten kürzlich Datendiebstähle bestätigt.
Hinter den Angriffen soll die Gruppe “Cl0p” (auch “Clop”) stehen. Wie die IT-Nachrichtenseite TechCrunch berichtet, drohen die Kriminellen damit, die bei Maximus erbeuteten Daten zu veröffentlichen. (js)