Zero-Day-Exploit AOK: Software zur Datenübertragung war anfällig

Anbieter zum Thema

Governikus GmbH & Co. KG

Nach Erkennung einer Schwachstelle in einer Datenübertragungssoftware der AOK wurde diese zur Sicherheit abgeschaltet. Um welche Software es sich im Speziellen gehandelt hat und welche Art von Daten möglicherweise gefährdet waren.

Der sichere Umgang mit Daten ist ein heikles Thema. Insbesondere dann, wenn die übertragenen Daten personenbezogene Informationen beinhalten und die Datenübertragung über externe Partner realisiert wird, ist absolutes Vertrauen in das Verfahren unabdingbar. In der vergangenen Woche haben mehrere AOKs erfahren, dass das Prinzip „Vertrauen ist gut – Kontrolle ist besser“ durchaus seine Berechtigung hat. Doch was war passiert?

MOVEit Software öffnete Angreifern Tür und Tor

Die Software „MOVEit Transfer“ des Anbieters „Progress“ wurde viele Jahre von verschiedenen Krankenkassen und staatlichen Behörden zur Abwicklung von Datentransfers im In- und Ausland eingesetzt. Zu den Anwendern gehören auch verschiedene Landesverbände sowie der Bundesverband der AOK. Ursprünglich wurde sich für die MOVEit-Software entschieden, da sie diverse Compliance-Standards erfüllt, ISO-zertifiziert ist und vollumfänglich DSGVO-konform operiert.

Ende Mai wurde von Progress selbst eine Sicherheitswarnung veröffentlicht, dass eine Schwachstelle entdeckt wurde, die es Außenstehenden wohl ermöglicht hatte, Zugriff auf Datenbanken und die darin abgelegten Datensätze zu erhalten. Als Teilnehmer der KRITIS-Struktur hat die AOK diese Datenpanne dem Bundesamt für Sicherheit in der Informationstechnik (BSI) pflichtgemäß gemeldet. Dieses hatte die entdeckte Lücke zunächst als Bedrohung der höchsten Stufe klassifiziert und spricht nach jetzigem Stand (KW23) immer noch von einer „geschäftskritischen Bedrohungslage, die den Regelbetrieb massiv beeinträchtigt“. Betroffen waren unter anderem die AOKs Baden-Württemberg, Bayern, Bremen/Bremerhaven, Hessen, Niedersachsen, Rheinland-Pfalz/Saarland, Sachsen-Anhalt und PLUS sowie der AOK-Bundesverband. Die entsprechenden Krankenkassen prüfen derzeit noch, inwiefern Sozialdaten von Versicherten dem Zugriff Unbefugter ausgesetzt waren. Zum jetzigen Zeitpunkt sind alle Verbindungen der AOK, die auf dem System von Progress basieren, bis zum Aufspielen eines Patches gekappt worden.

Sicherheitslücke wohl seit langem im Programmcode verankert

In der Sicherheitsmeldung des Unternehmens wird von einem Zero-Day-Exploit gesprochen. Das bedeutet, dass die Sicherheitslücke seit langer Zeit – vielleicht sogar seitdem es das Programm gibt – im Code eingebettet war. Auf der Webseite wurden weiterhin Reparaturmöglichkeiten für betroffene Systeme vorgegeben. Der Großteil der Cyberangriffe hat wohl in den Vereinigten Staaten stattgefunden, es ist jedoch nicht auszuschließen, dass auch Datenbanken von europäischen und deutschen Firmen kompromittiert wurden. Im Zuge der Abschaltungen der entsprechenden Datenbanken gibt es derzeit noch größere Verzögerungen im Betriebsablauf der AOK. Sobald die entsprechenden Updates auf die Server der AOK eingespielt und die Prüfungsverfahren des BSI abgeschlossen worden sind, ist davon auszugehen, dass der Regelbetrieb der Krankenkassen zeitnah wiederhergestellt werden kann.

(ID:49531363)