Wenn Altsysteme zur Zeitbombe werden: Was der One-Medical-Angriff über M&A-Sicherheit verrät

Veröffentlicht von Firma Getronics Germany am

Angreifer verschafften sich zwischen dem 8. und 11. Juni Zugriff auf ein Dateispeichersystem eines Drittanbieters, in dem archivierte Patientendaten von One Medical Seniors sowie der übernommenen Gesundheitsorganisation Iora Health gespeichert waren. Die Hackergruppe ShinyHunters behauptet, 8,8 Terabyte an Unternehmens- und Patientendaten exfiltriert zu haben. Amazon hat für One Medical 2023 fast vier Milliarden Dollar bezahlt. Das Einfallstor war ein Altsystem des mitgekauften Unternehmens.

Dieser Fall verdient besondere Aufmerksamkeit, weil er ein Muster sichtbar macht, das weit über das Gesundheitswesen hinausreicht. Wer ein Unternehmen übernimmt, übernimmt nicht nur dessen Kunden und Umsatz, sondern auch dessen Datenschulden. Altsysteme laufen nach einer Übernahme häufig weiter, weil die Migration aufwendig ist und andere Prioritäten drängen. Das Resultat: Jahre später liegen Daten auf Systemen, die in keinem aktuellen Sicherheitskonzept mehr auftauchen – und von niemandem aktiv überwacht werden.

Das ist kein Amazon-Problem. Es ist ein strukturelles Problem jeder Übernahme, bei der die IT-Sicherheit nachrangig behandelt wird.

Die eigentliche Schwachstelle war dabei nicht Amazon selbst, sondern ein externer Dienstleister, dessen Speichersystem kompromittiert wurde. Damit wiederholt sich das Muster, das wir zuletzt beim Angriff auf den Abrechnungsdienstleister deutscher Universitätskliniken gesehen haben: Die eigenen Systeme bleiben intakt – die Angreifer kommen durch die Lieferkette. Die Angriffsfläche eines Unternehmens endet nicht an den eigenen Systemgrenzen. Sie umfasst jeden Partner, jeden Dienstleister und jede übernommene IT-Infrastruktur, die noch irgendwo läuft.

Was folgt daraus?

  • M&A-Prozesse brauchen ein Sicherheits-Audit der übernommenen Systeme – nicht irgendwann, sondern als fester Bestandteil des Integrationsprozesses. Wer das überspringt, übernimmt blinde Flecken.
  • Drittanbieter müssen in das eigene Risikomanagement einbezogen werden – auch dann, wenn sie nur archivierte Daten halten. Archivierte Gesundheitsdaten sind für Angreifer genauso wertvoll wie aktuelle.
  • Datensparsamkeit ist keine Empfehlung, sondern eine Schutzmaßnahme – Daten, die nicht mehr gebraucht werden, sollten gelöscht werden. Gesundheitsdaten von 2019 sind 2026 noch genauso verwertbar wie damals.

Die Lehre aus dem One-Medical-Angriff ist dieselbe wie aus jedem vergleichbaren Vorfall der vergangenen Jahre. Cyberresilienz beginnt nicht im Sicherheitscenter des eigenen Unternehmens. Sie beginnt bei der Frage, wer eigentlich für die Systeme verantwortlich ist, die im Hintergrund laufen – und ob irgendjemand weiß, dass es sie noch gibt.

Über die Getronics Germany GmbH

Getronics ist ein weltweit führender Anbieter von Technologielösungen mit einem Team von über 4.000 Mitarbeitern in 22 Zentren und bietet umfassende End-to-End-Dienste auf der ganzen Welt an. Das Unternehmen ist eines von nur 17 Organisationen weltweit, welches im Magic Quadrant 2023 von Gartner für ausgelagerte Digital Workplace Services positioniert ist, und außerdem das führende Gründungsmitglied der Global Workspace Alliance (GWA).

Firmenkontakt und Herausgeber der Meldung:

Getronics Germany GmbH
Alexanderstr. 1
10178 Berlin
Telefon: +49 (30) 20638400
Telefax: +49 (391) 580135296
http://www.getronics.com/de/

Ansprechpartner:
Noel Lach
Kafka Kommunikation GmbH & Co.KG
Telefon: +49 (89) 74747058-0
E-Mail: Getronics@kafka-kommunikation.de
Weiterführende Links
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel

Kategorien: Allgemein
Schlagwörter:

Verwandte Beiträge

Allgemein

Kellner & Kunz treibt Automatisierungsstrategie mit Intelligent Supply Chain Execution von Infios voran

Infios, ein weltweit führender Anbieter im Bereich der Intelligent Supply Chain Execution, unterstützt den Werkzeughersteller und C-Teile-Spezialisten Kellner & Kunz AG bei der weiteren Umsetzung seiner Automatisierungsstrategie. Die anstehende Integration fortschrittlicher Robotik in die Inbound-Logistik Weiterlesen…

Allgemein

20 unabhängige Kanzleistandorte, ein gemeinsamer Sicherheitsmaßstab für CMS Law

CMS Law ist eine internationale Anwaltskanzlei mit mehr als 20 weltweit verteilten Sozietäten. Mithilfe von übergreifenden Cybersicherheitsstandards hat sich CMS Law auf ein einheitlich hohes Sicherheitsniveau verpflichtet. HiSolutions überprüfte die Umsetzung der Sicherheitsmaßnahmen durch Penetrationstests Weiterlesen…

Allgemein

Schneller zu einsatzbereiten Edge-AI-Lösungen

congatec, einer der führenden Anbieter von Embedded- und Edge-Computing-Technologien, und die in Penang ansässige ECTrons Sdn. Bhd., Spezialist für Embedded-Computing-Lösungen, haben eine strategische Partnerschaft zur Entwicklung und Vermarktung KI-gestützter Industrial-Computing-Lösungen geschlossen. Die Vereinbarung wurde am Weiterlesen…