Thought Leadership
Die Cybercrime-Gruppe ShinyHunters will neun Millionen Datensätze und mehrere Terabyte interner Informationen von Medtronic erbeutet haben. Der Medizintechnikkonzern bestätigt einen unautorisierten Systemzugriff, schweigt aber bislang zur Lösegeldfrage.
Medtronic ist Opfer eines Cyberangriffs geworden. Das hat das Unternehmen offiziell eingeräumt, nachdem die berüchtigte Erpressergruppe ShinyHunters den Konzern auf ihrer Leak-Seite gelistet und mit der Veröffentlichung gestohlener Daten gedroht hatte.
Medtronic gehört zu den größten Medizintechnikkonzernen der Welt und beschäftigt nach eigenen Angaben über 95.000 Menschen in 150 Ländern. Eine Niederlassung befindet sich auch in Deutschland. Das Produktportfolio reicht von Herzschrittmachern und Insulinpumpen bis hin zu Operationsrobotern.
Produkte und Patientensicherheit angeblich nicht betroffen
In einer Stellungnahme versucht der Konzern zu beruhigen: Es seien keine Auswirkungen auf Produkte, Patientensicherheit, Kundenanbindungen, Fertigung, Logistik oder Finanzberichtssysteme festgestellt worden. Die Netze für Unternehmens-IT, Produkte und Produktion seien voneinander getrennt. Auch die Netzwerke der Kliniken seien von der Medtronic-IT separiert und würden von den IT-Abteilungen der Krankenhäuser selbst betrieben.
Medtronic hat festgestellt, dass Unbefugte auf Daten in bestimmten IT-Systemen des Unternehmens zugegriffen haben. Wir haben keine Auswirkungen auf unsere Produkte, die Patientensicherheit, die Verbindungen zu unseren Kunden, unsere Fertigungs- und Vertriebsabläufe, unsere Finanzberichtssysteme oder unsere Fähigkeit, den Bedürfnissen der Patienten gerecht zu werden, festgestellt. Die Netzwerke, die unsere unternehmensweiten IT-Systeme, unsere Produkte sowie unsere Fertigungs- und Vertriebsabläufe unterstützen, sind voneinander getrennt. Die Netzwerke unserer Krankenhauskunden sind von den IT-Netzwerken von Medtronic getrennt und werden von den IT-Teams der Kunden gesichert und verwaltet.
Medtronic
Ob personenbezogene Daten abgeflossen sind, lässt das Unternehmen vorerst offen. Man arbeite daran, zu identifizieren, welche persönlichen Informationen möglicherweise eingesehen wurden, heißt es lediglich.
ShinyHunters nennt neun Millionen Datensätze
Die Gruppe ShinyHunters hatte Medtronic am 17. April auf ihrer Leak-Plattform veröffentlicht. Laut den Angaben der Erpresser sollen mehr als neun Millionen Datensätze mit personenbezogenen Informationen sowie mehrere Terabyte an Unternehmensdaten erbeutet worden sein. Bis zum 21. April sollte Medtronic ein Lösegeld zahlen, andernfalls werde man die Daten veröffentlichen.
Inzwischen ist der Eintrag von der Leak-Seite verschwunden. In der Szene gilt das üblicherweise als Indiz dafür, dass das Opfer gezahlt hat. Belegt ist das im konkreten Fall nicht. Medtronic hat sich zu der Frage bislang nicht geäußert.
Diabetes-Tochter MiniMed meldet sich bei der SEC
Besonders heikel ist der Vorfall mit Blick auf die Diabetes-Sparte des Konzerns. Die Tochter MiniMed, die unter anderem Insulinpumpen und kontinuierliche Glukosemesssysteme herstellt, hat in einem Pflichtbericht an die US-Börsenaufsicht SEC mitgeteilt, dass die eigenen IT-Systeme von dem Vorfall nicht betroffen seien.
Damit bleibt vorerst unklar, welche Daten genau in die Hände von ShinyHunters gefallen sind – und ob darunter auch sensible Gesundheits- oder Patientendaten sind. Die Medizintechnik-Branche gerät immer wieder ins Fadenkreuz Cyberkrimineller. Erst kürzlich war der Medizintechnikhersteller Stryker betroffen.
