Die Hackergruppe ShinyHunters setzte Medtronic unter Druck, indem sie das Unternehmen am 17. April auf ihrer Leak-Website listete. Die Kriminellen forderten eine Lösegeldzahlung bis zum 21. April und drohten mit der Veröffentlichung der gestohlenen Daten. Nach diesem Datum verschwand Medtronic von der Website – ein klassisches Zeichen dafür, dass möglicherweise verhandelt oder gezahlt wurde. Offiziell äußert sich Medtronic jedoch vorsichtig: Das Unternehmen bestätigt den Angriff, weigert sich aber bisher, den Datendiebstahl explizit einzugestehen. Stattdessen erklärt das Unternehmen, es arbeite daran, herauszufinden, welche persönlichen Informationen möglicherweise offengelegt wurden.
Medtronic betont, dass die Infrastruktur-Separierung das Unternehmen geschützt habe. Die Netzwerke für Produktsysteme, Herstellung und Vertrieb seien getrennt von den Corporate-IT-Systemen organisiert. Auch Kundennetze in Krankenhäusern würden separate, von den Kundenteams verwaltete Sicherheitsarchitekturen nutzen. Dies bedeutet: Patienten, die von Medtronic-Geräten abhängen, sind nicht unmittelbar gefährdet.
Bemerkenswert ist die Reaktion der Diabetes-Tochter MiniMed, die eine Meldung an die SEC eingereicht hat und versichert, dass ihre IT-Systeme nicht betroffen seien. Dies deuten darauf hin, dass der Angriff gezielt bestimmte Bereiche traf, möglicherweise Verwaltungs- oder Personaldaten.
Für deutsche Unternehmen und Behörden ist dieser Vorfall ein Weckruf: Selbst Technologie-Giganten mit dezentralisierter Infrastruktur und hohem Sicherheitsbewusstsein können Ziel von professionellen Hackergruppen werden. ShinyHunters ist bekannt für gezielte Angriffe auf Gesundheits- und Finanzsektor. Das BSI empfiehlt Organisationen, ihre Incident-Response-Planung regelmäßig zu überprüfen und Datenschutz-Audits durchzuführen. Die DSGVO-Bußgelder für unzureichende Sicherheitsmaßnahmen können bis zu 4 Prozent des Jahresumsatzes erreichen – für Unternehmen im Gesundheitswesen ist das erheblich.