DatenschutzHackerangriffeCyberkriminalität

Medtronic bestätigt Datenpanne: Hacker erbeuten 9 Millionen Datensätze

Von CyberDeutsch Redaktion
Medtronic bestätigt Datenpanne: Hacker erbeuten 9 Millionen Datensätze
Zusammenfassung

Der Medizintechnik-Konzern Medtronic hat bestätigt, dass Hacker in seine Netzwerke eingedrungen sind und Daten aus unternehmensinternen IT-Systemen gestohlen haben. Die Bestätigung folgt auf Ankündigungen der Cyberkriminellen-Gruppe ShinyHunters, die den Diebstahl von über 9 Millionen Datensätze mit persönlichen Informationen behauptet. Medtronic ist mit 90.000 Mitarbeitern in 150 Ländern der weltweit größte Medizingeräte-Hersteller und generiert einen jährlichen Umsatz von 33,5 Milliarden Dollar. Das Unternehmen betont, dass die Sicherheitsverletzung weder Patienten noch Produkte beeinträchtigt hat und die Geschäftstätigkeit ungestört weiterlaufen könne. Für Deutschland und Europa ist dieser Vorfall erheblich relevant: Medtronic versorgt europäische Krankenhäuser und Patienten mit lebensrettenden Geräten. Während das Unternehmen argumentiert, dass Patientensysteme separat gesichert sind, könnten personenbezogene Daten von deutschen und europäischen Patienten oder Mitarbeitern kompromittiert worden sein. Die Drohung von ShinyHunters mit Datenlecks und Lösegelderpressung unterstreicht die wachsende Bedrohung durch Ransomware-Gangs gegen kritische Infrastrukturen. Deutsche Behörden und Datenschutzbehörden müssen mögliche DSGVO-Verstöße prüfen.

Der weltgrößte Medizingerätehersteller Medtronic hat in der vergangenen Woche einen Cyberangriff auf seine Corporate-IT-Systeme bestätigt. Die Ankündigung folgt auf Behauptungen der berüchtigten Datenerpressungsgruppe ShinyHunters, die über 9 Millionen Datensätze aus dem Unternehmen gestohlen haben soll.

Medtronic, mit einem Jahresumsatz von 33,5 Milliarden Dollar eines der größten Medizintechnik-Unternehmen weltweit, teilte in einer Stellungnahme mit, dass die Sicherheitsverletzung keine direkten Auswirkungen auf Kundenprodukte oder den Betrieb von Fertigung und Vertrieb hatte. Das Unternehmen betont, dass die Netzwerke, die seine Produkte und Herstellungsprozesse unterstützen, von den kompromittierten Corporate-IT-Systemen abgetrennt seien und somit unabhängig geschützt blieben.

“Hospital-Kundennetzwerke sind von Medtronic-IT-Netzen vollständig isoliert und werden von den IT-Teams der Kunden selbst verwaltet,” heißt es in der Erklärung des Unternehmens. Diese Architektur-Separierung ist ein wichtiger Sicherheitsfaktor im Medizinbereich, da sie verhindert, dass eine Kompromittierung der administrativen Systeme unmittelbar lebenswichtige Geräte gefährdet.

Die Hackergruppe ShinyHunters hingegen behauptet, “Terabytes an internen Unternehmungsdaten” erbeutet zu haben und forderte unter Erpressungsdruck zur Verhandlung auf. Die Gruppe listete Medtronic am 18. April auf ihrer Leak-Website auf und setzte eine Deadline zum 21. April zur Zahlung. Mittlerweile ist das Unternehmen nicht mehr auf der Publikationsliste der Gruppe sichtbar — ein Indiz dafür, dass möglicherweise Verhandlungen aufgelöst oder die Daten gelöscht wurden.

Medtronic erklärte, dass eine Untersuchung läuft, um festzustellen, ob persönliche Daten der Hacker tatsächlich zugänglich waren. Sollte eine Exposition bestätigt werden, verspricht das Unternehmen, Benachrichtigungen zu versenden und Unterstützungsservices bereitzustellen.

Für deutsche Unternehmen und Patienten im Gesundheitswesen könnte dieser Vorfall erhebliche Konsequenzen haben. Die Datenschutz-Grundverordnung (DSGVO) verpflichtet betroffene Organisationen zur Meldung bei Behörden wie dem Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI). Bußgelder können bis zu 4 Prozent des Jahresumsatzes betragen. Das BSI verfolgt solche Vorfälle bei kritischen Infrastrukturen intensiv, um Sicherheitslücken zu identifizieren und Gegenmaßnahmen einzuleiten.

Ähnliche Artikel