Alte Sicherheitslücke ermöglicht Zugriff auf Patientendaten und mehr
IT-Experten haben für den "K-Tipp" Schweizer Unternehmen und Behörden auf ihre IT-Sicherheit abgeklopft. Dabei war es ihnen möglich, sensible Patientendaten, Zahlungsverläufe oder Vermögensverhältnisse einzusehen. Den Zugang erlangten Sie über eine alte Schwachstelle.
Die gute Nachricht zuerst: Die meisten Schweizer Unternehmen und Ämter scheinen die Daten ihrer Kundinnen und Kunden gut zu schützen. Dies legen zumindest die Ergebnisse eines Tests des Konsumentenmagazins "K-Tipp" (hinter Paywall) nahe. Im Auftrag deren Redaktion untersuchten IT-Experten insgesamt 4434 IT-Systeme, darunter Schweizer Firmen, Kantonen, Gemeinden, Spitäler, AHV-Ausgleichskassen, Treuhändern und Anwaltskanzleien. Resultat: Nur bei 8 Systeme gelang es den Experten, auf persönliche Daten zuzugreifen.
Patientendaten und mehr
Die Testergebnisse der 8 ungeschützten Organisationen haben es jedoch in sich. Zu ihnen gehören laut dem K-Tipp eine Waadtländer AHV-Ausgleichskasse, eine Zürcher Berufsfachschule, eine Waadtländer Privatschule, eine Migros-Klubschule und ein Aargauer Treuhänder. "Interessierte hätten etwa Zugriff auf Zahlungen der Ausgleichskasse und die finanziellen Verhältnisse von Treuhandkunden gehabt", fasst die Zeitschrift zusammen.
Am ausführlichsten dokumentiert der Bericht jedoch die Testergebnisse des Seespitals in Horgen ZH. Hier sei es während Monaten möglich gewesen, die E-Mails und Adressbücher sämtlicher Mitarbeiter einzusehen - inklusive jener der Ärzte. Auch E-Mails mit sensiblen Gesundheitsdaten von Patienten seien darunter gewesen. Und: Es sei sogar möglich gewesen, E-Mails im Namen eines beliebigen Arztes zu verschicken.
Zugangstor: Alte Sicherheitslücke in Microsoft Exchange Server
Gegenüber dem K-Tipp teilt das See-Spital mit, "es könne ausgeschlossen werden, dass Hacker eingedrungen seien". Noch deutlicher wird die Gesundheitseinrichtung gegenüber "Medinside":
"Die Vorwürfe zur mangelhaften Informationssicherheit sind für das See-Spital nicht nachvollziehbar", lässt sich Sprecher Frank Engelhaupt zitieren. "Wir, wie auch unsere externen Spezialisten, haben keine Indizien, die auf eine Ausnutzung möglicher Schwachstellen, unbefugten Zugriff auf sensitive Daten oder kriminelle Handlungen hinweisen". Die K-Tipp-Redaktion widerspricht dem: Man könne die Ergebnisse der Recherche mit Screenshots beweisen.
Im Bericht enthüllt die Zeitschrift auch, wie die IT-Experten auf die persönlichen Daten zugreifen konnten. Dabei nutzten sie eine Schwachstelle in Microsoft Exchange Server aus. Brisant dabei: Die Schwachstelle ist seit mehr als einem Jahr bekannt, und Microsoft hatte schon Anfang März 2021 einen Patch veröffentlicht, um die Sicherheitslücke zu schliessen. Diverse Sicherheitsbehörden hatten seither mehrfach zum Einspielen der Patches aufgerufen.
Laut dem K-Tipp kursieren seit August Anleitungen zum gezielten Ausnützen der Schwachstelle im Netz. Fachkenntnisse seien nicht erforderlich.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Valtech übernimmt Kin + Carta
"Datenschutzrechtliche Fragen sind noch nicht vollständig geklärt"
Datengetriebenes ITSM & AIOps: moderne IT-Herausforderungen beherrschen
U-Blox bringt IoT ins Geschäft mit Rasenmährobotern
Daten verstehen und managen: Der erste Schritt zur Digitalisierung
Digitalisierung – Game Changer für das Gesundheitswesen?
Dank Nutanix mit klarem Blick in die Zukunft
Künstliche Intelligenz – ist Ihre Infrastruktur bereit dafür?
Wenn die Tribute von Panem ein Disney-Film wären
