News Detail

BITMARCK bestätigt unbefugten Zugriff auf Infrastruktur

Am 19.01.2023 hat unser Cyber Defence Team einen unbefugten Zugriff auf einen Teil der IT-Infrastruktur von BITMARCK festgestellt. Ein unberechtigter Dritter hatte durch Verwendung gestohlener Zugangsdaten kurzzeitig Zugang zu einem IT-System von BITMARCK, im Darknet wurden als Folge dessen Informationen des Unternehmens geteilt. Seit dem untersuchen interne und externe Sicherheitsberater sowie Forensiker den Vorfall und die Auswirkungen. Dies gestaltet sich aufwändig, denn der Angreifer hat die Daten in unterschiedlichen Formaten veröffentlicht und dabei viele inhaltliche Duplikate erzeugt. Bei den Inhalten handelt es sich um Screenshots, aber auch um Dateien, die in Projektverzeichnissen von gemeinsamen Kundenprojekten abgelegt waren. Es befanden sich keine Gesundheitsdaten darunter. 

Die Kernsysteme und Datenaustauschverfahren – sprich die Systeme und Verfahren, in denen Gesundheitsdaten verarbeitet werden – sowie die Elemente der Telematik-Infrastruktur sind nicht betroffen. Bisher konnte BITMARCK davon ausgehen, dass bei den abgeflossenen Daten Versichertendaten nicht betroffen waren. Doch die nun nahezu abgeschlossene Auswertung hat ergeben, dass im Rahmen des unbefugten Zugriffs auch fragmentierte Datensätze von Versicherten abgeflossen sind.  

Die betroffenen Krankenkassen wurden umgehend informiert und befinden sich im ständigen Austausch mit BITMARCK. Wir sind uns der datenschutzrechtlichen Relevanz des Vorfalls bewusst. Warum diese - veralteten - Datenbestände im betroffenen Kollaborationstool vorlagen, wird nun mit höchster Priorität untersucht. Aus den Ergebnissen dieser Untersuchung leiten wir weitere Schutzmaßnahmen und Handlungsanweisungen ab.

FAQ

(Stand 06.02.2023)

Was ist passiert?
Am 19.01.2023 hat unser Cyber Defence Team einen unbefugten Zugriff auf einen Teil der IT-Infrastruktur von BITMARCK festgestellt. Ein unberechtigter Dritter hatte durch Verwendung gestohlener Zugangsdaten kurzzeitig Zugang zu einem IT-System von BITMARCK, im Darknet wurden als Folge dessen Informationen des Unternehmens geteilt.

Sind Gesundheitsdaten betroffen?
Betroffen war ein Kollaborationstool (JIRA/Confluence). Die Kernsysteme und Datenaustauchverfahren – sprich die Systeme und Verfahren, in denen Gesundheitsdaten verarbeitet werden – waren beziehungsweise sind nicht betroffen, ebenso wenig Elemente der Telematik-Infrastruktur.

Was hat BITMARCK unternommen?
Wir haben unverzüglich Sofortmaßnahmen eingeleitet, die den Empfehlungen des BSI sowie interner und externer Sicherheitsberater folgen. Die Integrität des betroffenen Systems konnte durch die gemeinsamen Anstrengungen der internen und externen Experten wiederhergestellt und der Angriffsvektor umgehend geschlossen werden. Kontakte zu entsprechenden Behörden wurden ebenfalls aufgenommen.

Arbeitet BITMARCK den Vorfall allein auf?
Nein, externe Forensiker und weitere Experten unterstützen uns bei der Auswertung und Analyse. Die externen Forensiker haben zudem die bislang von BITMARCK getroffenen Maßnahmen und eingeleiteten Schritte nachvollzogen und bewertet – die externen Experten kamen eindeutig zu dem Schluss, dass BITMARCK die richtigen Maßnahmen und Reaktionen gezeigt bzw. eingeleitet hat.

Bin ich als Kunde von BITMARCK betroffen? Sind meine Daten oder Systeme betroffen?
Wir sind uns unserer Verantwortung für die Sicherheit der Daten und Systeme unserer Kunden bewusst. Alle betroffenen Kunden wurden von BITMARCK unmittelbar über den unbefugten Zugriff informiert. Mit diesen Kunden steht BITMARCK überdies im ständigen, aktiven Austausch. Für alle anderen Kunden gilt: Zum jetzigen Zeitpunkt sind weder Sie noch Ihre Systeme oder Daten betroffen.

In der Presse ist die Aussage zu lesen, dass angeblich eine Million Datensätze im Darknet geteilt wurden. Stimmt das?
Diese Zahl wird anhand von Screenshots aus dem Darknet von Dritten kommuniziert/vermutet. Wir beteiligen uns nicht an solchen Mutmaßungen. Gesichert ist: Unsere Analysen haben ergeben, dass sich zahlreiche Dubletten unter den Daten befinden.

Wurden durch den unbefugten Zugriff die Daten in irgendeiner Form verändert?
Nein, das ist nicht der Fall.

Kann der Angriff eingegrenzt werden?
Ja - aufgrund der Log-Files kann exakt nachvollzogen werden, wann der unbefugte Nutzer beispielsweise welche Datei gelesen hat - und welche nicht. Der gesamte Zugriff kann in Zeit und Umfang genau rekonstruiert und nachvollzogen werden.

Wann wird die Untersuchung abgeschlossen sein?
Gemeinsam mit externen Experten arbeiten wir mit höchster Priorität an der gründlichen, lückenlosen und gesamthaften Aufklärung der Situation. Ein Zeitpunkt kann zum jetzigen Zeitpunkt nicht genannt werden. Wir sind uns der datenschutzrechtlichen Relevanz des Unterfangens bewusst.