Wenn Altsysteme zur Zeitbombe werden: Was der One-Medical-Angriff über M&A-Sicherheit verrät

Angreifer verschafften sich zwischen dem 8. und 11. Juni Zugriff auf ein Dateispeichersystem eines Drittanbieters, in dem archivierte Patientendaten von One Medical Seniors sowie der übernommenen Gesundheitsorganisation Iora Health gespeichert waren. Die Hackergruppe ShinyHunters behauptet, 8,8 Terabyte an Unternehmens- und Patientendaten exfiltriert zu haben. Amazon hat für One Medical 2023 fast vier Milliarden Dollar bezahlt. Das Einfallstor war ein Altsystem des mitgekauften Unternehmens.

Dieser Fall verdient besondere Aufmerksamkeit, weil er ein Muster sichtbar macht, das weit über das Gesundheitswesen hinausreicht. Wer ein Unternehmen übernimmt, übernimmt nicht nur dessen Kunden und Umsatz, sondern auch dessen Datenschulden. Altsysteme laufen nach einer Übernahme häufig weiter, weil die Migration aufwendig ist und andere Prioritäten drängen. Das Resultat: Jahre später liegen Daten auf Systemen, die in keinem aktuellen Sicherheitskonzept mehr auftauchen – und von niemandem aktiv überwacht werden.

Das ist kein Amazon-Problem. Es ist ein strukturelles Problem jeder Übernahme, bei der die IT-Sicherheit nachrangig behandelt wird.

Die eigentliche Schwachstelle war dabei nicht Amazon selbst, sondern ein externer Dienstleister, dessen Speichersystem kompromittiert wurde. Damit wiederholt sich das Muster, das wir zuletzt beim Angriff auf den Abrechnungsdienstleister deutscher Universitätskliniken gesehen haben: Die eigenen Systeme bleiben intakt – die Angreifer kommen durch die Lieferkette. Die Angriffsfläche eines Unternehmens endet nicht an den eigenen Systemgrenzen. Sie umfasst jeden Partner, jeden Dienstleister und jede übernommene IT-Infrastruktur, die noch irgendwo läuft.

Was folgt daraus?

M&A-Prozesse brauchen ein Sicherheits-Audit der übernommenen Systeme – nicht irgendwann, sondern als fester Bestandteil des Integrationsprozesses. Wer das überspringt, übernimmt blinde Flecken.
Drittanbieter müssen in das eigene Risikomanagement einbezogen werden – auch dann, wenn sie nur archivierte Daten halten. Archivierte Gesundheitsdaten sind für Angreifer genauso wertvoll wie aktuelle.
Datensparsamkeit ist keine Empfehlung, sondern eine Schutzmaßnahme – Daten, die nicht mehr gebraucht werden, sollten gelöscht werden. Gesundheitsdaten von 2019 sind 2026 noch genauso verwertbar wie damals.

Die Lehre aus dem One-Medical-Angriff ist dieselbe wie aus jedem vergleichbaren Vorfall der vergangenen Jahre. Cyberresilienz beginnt nicht im Sicherheitscenter des eigenen Unternehmens. Sie beginnt bei der Frage, wer eigentlich für die Systeme verantwortlich ist, die im Hintergrund laufen – und ob irgendjemand weiß, dass es sie noch gibt.

Über die Getronics Germany GmbH

Getronics ist ein weltweit führender Anbieter von Technologielösungen mit einem Team von über 4.000 Mitarbeitern in 22 Zentren und bietet umfassende End-to-End-Dienste auf der ganzen Welt an. Das Unternehmen ist eines von nur 17 Organisationen weltweit, welches im Magic Quadrant 2023 von Gartner für ausgelagerte Digital Workplace Services positioniert ist, und außerdem das führende Gründungsmitglied der Global Workspace Alliance (GWA).

Firmenkontakt und Herausgeber der Meldung:

Getronics Germany GmbH
Alexanderstr. 1
10178 Berlin
Telefon: +49 (30) 20638400
Telefax: +49 (391) 580135296
http://www.getronics.com/de/

Ansprechpartner:

Noel Lach
Kafka Kommunikation GmbH & Co.KG
Telefon: +49 (89) 74747058-0
E-Mail: Getronics@kafka-kommunikation.de

Weiterführende Links

Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.