EPD-Infoplattform von eHealth Suisse gehackt

30. September 2022, 14:52
image

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

Am 19. September stellten die Betreiber von Patientendossier.ch unbefugten Zugriff auf ihre Datenbank fest. Cyberkriminelle hatten sich dort eingeschlichen und Informationen entwendet. Die Website dient der Koordinationsstelle eHealth Suisse dazu, Bevölkerung und Gesundheitspersonal über das elektronische Patientendossier (EPD) zu informieren.
Es habe sich vermutlich um einen Bruteforce-MySQL-Angriff gehandelt, um an das Passwort eines Administrators heranzukommen und sich dadurch Zugang zur Datenbank zu verschaffen, heisst es beim Bundesamt für Gesundheit (BAG) auf Anfrage von inside-it.ch. Entwendet wurden Kontaktdaten von Nutzenden, die ein Kontaktformular für Fragen oder die Bestellung von Informationsmaterial benutzt hatten. In diesen finden sich die für solche Vorgänge notwendigen Angaben: Namen und E-Mail-Adressen sowie teilweise Anschriften. Der Kontakttext sei ebenfalls einsehbar gewesen, so das BAG weiter.
Von EPD-Nutzern hinterlegte Gesundheitsdaten oder sensible Kundeninformationen seien zu keinem Zeitpunkt vom Angriff betroffen gewesen, versichert das Bundesamt in einer Mitteilung. Auf der Informationswebsite werden solche Angaben weder gespeichert noch verarbeitet.
Das BAG schreibt auch, dass die Sicherheitslücke schnell gefunden und geschlossen worden sei. 3 bis 5 Tage sollen die Cyberangreifer im System gewesen sein, präzisiert das Bundesamt gegenüber inside-it.ch. Der Betrieb der Website sie nun wieder sicher. Mit den produktiven EPD-Plattformen gebe es keinerlei technologischen oder inhaltlichen Zusammenhang.
Betrieben wird die Plattform von der Digitalagentur Netnode aus Luzern. Neben eHealth Suisse zählen auch das Kantonsspital Aarau und Swiss Medtech zu den aktuellen Kunden des 11-köpfigen Drupal-Spezialisten. Die Firma war bis Redaktionsschluss für eine Stellungnahme nicht zu erreichen.
Der Vorfall wurde dem Nationalen Zentrum für Cybersicherheit NCSC gemeldet. Das BAG hat zudem gemeinsam mit der Gesundheitsdirektoren-Konferenz GDK Anzeige erstattet. Die beiden Organisationen verantworten zusammen mit eHealth Suisse die Website. Sie hätten den Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) über einen möglichen Diebstahl von Nutzer-Kontaktdaten sowie betroffene Nutzende über den Vorfall informiert, teilen sie mit.

Loading

Mehr zum Thema

image

Mutmasslicher Cyberangriff auf den Vatikan

Russische Hacker sollen verschiedene Websites des Zwergstaates angegriffen haben, weil der Papst den Angriffskrieg in der Ukraine als "grausam" bezeichnete.

publiziert am 1.12.2022
image

Neues digitales Organspenderegister soll 2025 kommen

Das BAG prüft in einer internen Studie verschiedene Umsetzungsvarianten eines neuen digitalen Organspenderegisters – mit und ohne staatliche E-ID.

publiziert am 30.11.2022 2
image

Polizei in San Francisco will Roboter zum Töten einsetzen

Eine Mehrheit eines kommunalen Gremiums hat die umstrittene Richtlinie nach wochenlanger Prüfung und einer hitzigen Debatte angenommen. Kritische Stimmen wehren sich gegen den Entscheid.

publiziert am 30.11.2022
image

NCSC warnt vor neuer Office-365-Phishing-Variante

Der neue Trick scheint noch ausgeklügelter zu sein als bisherige Phishing-Tricks.

publiziert am 29.11.2022