Ich wünsche mir, dass Heise den Vorfall bei der Bitmarck einmal in einem sehr ausführlichen Artikel journalistisch aufbereitet. Bitte dann auch mit etwas mehr Biss und weniger leerem Blabla der Bitmarck. Da sind viele Fragen offen.
Wir wissen, dass bereits jemand im Januar bei Systemen der Bitmarck eingebrochen ist (https://www.heise.de/news/Cyber-Vorfall-Datenleck-bei-GKV-IT-Dienstleister-Bitmarck-7468476.html). Dabei sind - entgegen der ursprünglichen Aussagen der Bitmarck - Daten von mehr als 300.000 Versicherten aus einem Jira-System kopiert wurden (https://www.golem.de/news/bitmarck-it-dienstleister-der-krankenkassen-gehackt-2304-173762.html). Dazu gab es wohl auch einen Artikel in der c't 6/2023. Jedenfalls wollte die Bitmarck damals "mit höchster Priorität" untersuchen, warum diese Daten dort überhaupt gespeichert waren (https://www.heise.de/news/Nach-Bitmarck-Leak-Versichertendaten-aber-keine-Gesundheitsdaten-betroffen-7481102.html). Was ist dabei eigentlich herausgekommen? Welche Konsequenzen wurden gezogen? Es ist schon ein starkes Stück, dass reale Daten der Versicherten irgendwie unplanmäßig in einem Jira-System gelandet sind. Da hat ja wohl mehr als eine Stelle versagt.
Jetzt haben wir erneute Einbrüche in die Systeme der Bitmarck (wobei es natürlich denkbar ist, dass der Hack vom Januar noch die Grundlage dafür lieferte, sei es durch die erbeuteten Daten oder übernommene Systeme im Netzwerk) . Dass die Bitmarck dabei die Kontrolle verloren hat, war schon kurz nach der Meldung anhand der Beschreibungen und Maßnahmen klar (bsp. https://www.heise.de/forum/p-42573216/.
Die versuchen jetzt, die Systeme wieder ans Laufen zu bekommen und die Beschreibung hier im Artikel, wie sie das tun, erweckt nicht gerade mein Vertrauen. Das sieht doch sehr nach Trial and Error aus. Die halten sich (und ihre externe Unterstützen) entweder für extrem gut oder die Angreifer für bestenfalls durchschnittlich oder sie haben keine andere Wahl mehr, weil sie keine realistische Möglichkeit haben, nur die Daten ohne möglichen Schadcode wiederherzustellen. Über genau diese Hintergründe und Rahmenbedingungen würde ich sehr gerne etwas in einem ausführlichen Artikel lesen.
Bis jetzt werden doch arg viel die Blabla-Statements der ISO 27001-zertifizierten Bitmarck in der Presse gestreut (vgl. das gute Posting von "rüdiger" dazu: https://www.heise.de/forum/p-42593758/) und viel zu wenig kritisch hinterfragt.
Passend zu dem Artikel fände ich es wichtig, das Ganze einmal in einem weiteren Artikel mit seinen Auswirkung für das Gesundheitssystem zu beleuchten. Der Leser "Es hat Boing gemacht" hat hier schon einmal für einen Themenblock wichtige Punkte angesprochen (vgl. https://www.heise.de/forum/p-42594000/). Da darf man auch ruhig mal dem verantwortlichen Minister, der bereits unsere Gesundheitsdaten kontrolliert (haha) verhökern will (vgl. https://www.heise.de/news/Opt-out-statt-Opt-in-Operation-Neustart-fuer-die-E-Patientenakte-7443600.html) und dem es natürlich nicht "um eine bessere Versorgung" der Bevölkerung geht, ein paar unbequeme Fragen stellen.
p. s.:
Wie bekommen bei den im Artikel genannten tollen Prioritäten die ganzen kleinen Leistungserbringer wie Physiopraxen jetzt eigentlich ihr Geld?
Das Posting wurde vom Benutzer editiert (04.05.2023 12:16).