Hack gegen Software-Firma Medatixx: Warum Tausende Ärzte ihre Passwörter ändern müssen

Eine Erpressersoftware legt ein Unternehmen lahm, dessen Computerprogramme viele Praxen nutzen. Die müssen nun schnell handeln.

Mitten in einer neuen Welle der Corona-Pandemie und der Booster-Impfungen bedeutet ein Hackerangriff zusätzlichen Ärger für Tausende deutsche Arztpraxen.

Das Unternehmen Medatixx mit Sitz in Eltville am Rhein und Bamberg vertreibt erfolgreich Software für Praxen und ist nun Opfer von Ransomware - Erpressersoftware - geworden. Medatixx teilte mit, Mitte vergangener Woche seien seine zentralen Systeme verschlüsselt worden. Ransomware nimmt die Daten eines Computersystems als "Geisel" und macht sie erst wieder für den Besitzer lesbar, wenn der Lösegeld an die kriminellen Hacker gezahlt hat. Zumindest, wenn der Erpresste Glück hat und die Gangster einen guten Tag.

Medatixx ist nun so gut wie unsichtbar. Der zentrale Kundensupport des Unternehmens ist ausgefallen. Wer am Dienstagfrüh die Hotline für Kunden anrief, hörte nur eine Bandansage: Wegen einer "technischen Störung" sei man nicht erreichbar. Wer eine E-Mail an das Unternehmen schreibt, erhält eine Fehlermeldung. In der Mitteilung des Unternehmens heißt es: "Die Ermittlungsbehörden und die für uns zuständige Datenschutzbehörde sind ebenfalls eingeschaltet."

Medatixx hat Ärzte, die seine Computerprogramme nutzen, aufgerufen, ihre Passwörter zu ändern. Das betrifft Tausende Mediziner, denn das Unternehmen ist nicht irgendeine Software-Klitsche, sondern die Nummer zwei der Branche in Deutschland hinter der Compugroup aus Koblenz. Medatixx rühmt sich eines Marktanteils von 28 Prozent. Es geht um mehr als 20 000 Praxen, mit 40 000 Ärzten und noch mehr Praxismitarbeitern.

Zwar habe der Angriff nicht die Computer der Praxen selbst getroffen, sondern das zentrale System von Medatixx. Es sei aber nicht auszuschließen, "dass bei uns gespeicherte Daten entwendet wurden". Dazu könnten auch Passwörter zählen, mit denen Ärzte den Zugang zu ihren Systemen absichern, in denen intime Röntgenbilder, Laborwerte, Befunde und Rezepte lagern.

Medatixx will offensichtlich ausschließen, dass Hacker in die Computer der Praxen eindringen

Deshalb ruft Medatixx seine Kunden auf, nicht nur "unverzüglich" das Passwort für die Praxissoftware zu ändern, sondern auch das für Windows und den sogenannten TI-Konnektor, einen speziell gesicherten Router, der die Daten besonders gut geschützt übertragen soll. Er verbindet die Computer der Praxen und ihre Kartenlesegeräte mit der Telematik-Infrastruktur (TI), über die das deutsche Gesundheitswesen vernetzt ist. Krankenhäuser, Apotheken, Ärzte und Krankenkassen haben also ihr eigenes, mit spezieller Hardware verbundenes Netz.

Offensichtlich will Medatixx ausschließen, dass Hacker über das Software-Haus in die Computer der Praxen selbst eindringen. Dann könnten sie auch die Telematik-Infrastruktur infiltrieren, zu der nur legitimierte Praxen Zugang haben.

Auch wenn noch unklar ist, ob einzelne Praxen oder die TI-Infrastruktur nun gefährdet sind: Die Vorsichtsmaßnahme des massenhaften Passwortwechsels zeigt, wie heikel Angriffe auf Unternehmen sind, die mit Zehntausenden anderen Systemen verbunden sind. Sie können besonders verheerend sein, weil es auf einen Schlag viele weitere Angriffsziele gibt.

Erpressung und Eskalation

Das Katz-und-Maus-Spiel zwischen Ransomware-Erpressern und Polizei eskaliert in diesen Tagen. Neben dem Angriff auf Medatixx wurde am Montag bekannt, dass Teile des Geschäfts von Mediamarkt und Saturn in ganz Europa mit Erpressersoftware lahmgelegt worden sind. Ein Unternehmenssprecher bestätigte die Attacke und erklärte: "In den stationären Märkten kann es derzeit bei einigen Dienstleistungen zu einem eingeschränkten Service kommen." Kunden können derzeit keine online bestellte Ware im Laden abholen, und das Unternehmen keine Ware aus einzelnen Filialen zu den Onlinekunden nach Hause liefern lassen. Einen Bericht von RTL Nieuws aus den Niederlanden, wonach die Erpresser 50 Millionen Dollar fordern, wollte ein Sprecher nicht bestätigen. Das Bundesamt für Sicherheit in der Informationstechnik sei eingeschaltet.

Europol meldete unterdessen einen Fahndungserfolg. In Rumänien seien zwei Verdächtige verhaftet worden, die Unternehmen mit der mittlerweile berüchtigten Erpressersoftware "REvil" angegriffen haben sollen. Ihnen werden 5000 digitale Infektionen vorgeworfen, mit denen sie eine halbe Million Euro in Lösegeld für die verschlüsselten Daten erbeutet haben sollen. Auch in Südkorea und Kuwait gab es in den vergangene Tagen Festnahmen.

Der Zugriff erfolgte offensichtlich global koordiniert. Das US-Justizministerium gab bekannt, es habe mehr als sechs Millionen Dollar beschlagnahmt und Anklage gegen einen der Verhafteten sowie einen weiteren Mann erhoben. Der in Rumänien gefasste ukrainische Staatsbürger soll demnach im Sommer daran beteiligt gewesen sein, das US-Software-Unternehmen Kaseya digital zu infiltrieren und so mehr 1000 andere Firmen infiziert zu haben, die Kaseya-Software nutzten. Die USA stufen Ransomware mittlerweile als so drängendes Problem ein, dass das Cyber-Kommando der US-Armee bei der Jagd mithilft.