Am 25. April wurde der IT-Dienstleister Bitmarck Opfer eines Hackerangriffs. Das Unternehmen betreut derzeit 80 von 96 gesetzlichen Krankenkassen und ist damit einer der wichtigsten IT-Dienstleister im Gesundheitswesen. Der Angriff hat Auswirkungen auf das Tagesgeschäft der Krankenkassen und betrifft damit sowohl Ärzte als auch Patienten.
Technische Störungen und Einschränkungen im Tagesgeschäft
Der Hackerangriff hat mehre Systeme von Bitmarck lahm gelegt. Die elektronische Patientenakte (ePA), die Zustellung elektronischer Arbeitsunfähigkeitsbescheinigungen (eAU) und elektronische Arztbriefe funktionieren bei einigen Krankenkassen nur noch eingeschränkt oder gar nicht mehr. Ebenso ist die Prüfung von Zuzahlungsbefreiungen für einige Versicherte derzeit nicht möglich.
Auf den Alltag in den Arztpraxen und damit auf die Versorgung der Patienten wirkt sich der Angriff erfreulicherweise nur bedingt aus. Ärzte können Behandlungen weiterhin durchführen, allerdings sorgen die technischen Einschränkungen für Verzögerungen in der Verwaltung.
Bitmarck nimmt Systeme vom Netz
Bitmarck ist derzeit mit der Abwehr des Angriffs beschäftigt, weshalb mehrere Systeme vom Netz genommen wurden. Diese Maßnahme reicht soweit, dass sogar der Webserver abgeschaltet wurde. Über eine provisorische Website informiert das Unternehmen über das Ausmaß des Angriffs.
Sicherheit der Daten unklar
Obwohl das Unternehmen auf seiner Webseite betont, dass der Angriff nach aktuellem Stand keine Daten von Kunden oder Versicherten betrifft, zweifeln einige Experten an der Sicherheit der Gesundheitsdaten.
Immerhin ist dies schon der zweite erfolgreiche Hackerangriff auf Bitmarck. Bereits im Januar konnten sich Angreifer Zugriff auf Daten verschaffen, die anschließend im Darknet auftauchten. Der IT-Dienstleister hatte damals zunächst behauptet, dass von den Angreifern keine Daten abgezogen wurden.
Informationssicherheit ist kein Randthema
Der aktuelle Vorfall unterstreicht die Bedeutung von gelebter Informationssicherheit. Es steht außer Frage, dass Bitmarck als IT-Dienstleister im Gesundheitswesen umfassende Maßnahmen in Sachen Datenschutz und Informationssicherheit ergriffen hat. Doch offensichtlich genügten diese nicht, um die bestehenden Risiken ausreichend zu minimieren.
Vielen anderen Unternehmen würde es bei einem Angriff ähnlich ergehen. Allerdings muss dies nicht sein. Organisationen, die sich gezielt absichern und beispielsweise ein ISMS einführen, können ihre Risiken maßgeblich senken. Entscheidend hierbei ist unter anderem der Fokus: Informationssicherheit darf kein Randthema sein, sondern erfordert mehr Aufmerksamkeit denn je.