Angreifer verschafften sich zwischen dem 8. und 11. Juni Zugriff auf ein Dateispeichersystem eines Drittanbieters, in dem archivierte Patientendaten von One Medical Seniors sowie der übernommenen Gesundheitsorganisation Iora Health gespeichert waren. Die Hackergruppe Shinyhunters behauptet, 8,8 Terabyte an Unternehmens- und Patientendaten exfiltriert zu haben. Amazon hat für One Medical 2023 fast vier Milliarden Dollar bezahlt. Das Einfallstor war ein Altsystem des mitgekauften Unternehmens. Ein Kommentar von Gerald Eid, Regional Managing Director DACH bei Getronics.
„Der Fall One Medical verdient besondere Aufmerksamkeit, weil er ein Muster sichtbar macht, das weit über das Gesundheitswesen hinausreicht. Wer ein Unternehmen übernimmt, übernimmt nicht nur dessen Kunden und Umsatz, sondern auch dessen Datenschulden. Altsysteme laufen nach einer Übernahme häufig weiter, weil die Migration aufwendig ist und andere Prioritäten drängen. Das Resultat: Jahre später liegen Daten auf Systemen, die in keinem aktuellen Sicherheitskonzept mehr auftauchen – und von niemandem aktiv überwacht werden.
Das ist kein Amazon-Problem. Es ist ein strukturelles Problem jeder Übernahme, bei der die IT-Sicherheit nachrangig behandelt wird.
Die eigentliche Schwachstelle war dabei nicht Amazon selbst, sondern ein externer Dienstleister von One Medical, dessen Speichersystem kompromittiert wurde. Damit wiederholt sich das Muster, das wir zuletzt beim Angriff auf den Abrechnungsdienstleister deutscher Universitätskliniken gesehen haben: Die eigenen Systeme bleiben intakt – die Angreifer kommen durch die Lieferkette. Die Angriffsfläche eines Unternehmens endet nicht an den eigenen Systemgrenzen. Sie umfasst jeden Partner, jeden Dienstleister und jede übernommene IT-Infrastruktur, die noch irgendwo läuft.
Was folgt daraus?
- M&A-Prozesse brauchen ein Sicherheits-Audit der übernommenen Systeme – nicht irgendwann, sondern als fester Bestandteil des Integrationsprozesses. Wer das überspringt, übernimmt blinde Flecken.
- Drittanbieter müssen in das eigene Risikomanagement einbezogen werden – auch dann, wenn sie nur archivierte Daten halten. Archivierte Gesundheitsdaten sind für Angreifer genauso wertvoll wie aktuelle.
- Datensparsamkeit ist keine Empfehlung, sondern eine Schutzmaßnahme – Daten, die nicht mehr gebraucht werden, sollten gelöscht werden. Gesundheitsdaten von 2019 sind 2026 noch genauso verwertbar wie damals.
