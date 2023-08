Mehr als 4 Millionen Menschen hat das Department of Health Care Policy and Finance (HCPF) in Colorado über einen Leak Ihrer Gesundheitsdaten informiert. Dabei wurde die weit verbreitete MOVEit-Sicherheitslücke ausgenutzt, um Systeme von IBM zu kompromittieren. Das berichtet unter anderem der lokale Nachrichtendienst KOAA5. IBM hat sich noch nicht öffentlich zu dem Vorfall geäußert.

IBM ist einer der Drittanbieter, der die Anwendung MOVEit Transfer von Progress einsetzt, um Daten des Ministeriums für Gesundheitspolitik und -finanzierung zu übertragen. Am 28. Mai hatten sich Unbefugte demnach Zugang zu den Daten verschafft und diese kopiert. Zu den geleakten Informationen könnten neben demografischen Daten unter anderem welche zur Krankenversicherung gehören, aber auch die Sozialversicherungsnummern sowie klinische und medizinische Informationen, etwa zur Diagnose, Laborergebnissen, Medikamenten oder medizinischen Behandlungen, wie das HCPF informiert (PDF).

Zwar seien von diesem Problem keine Regierungssysteme des Bundesstaates Colorado betroffen, aber es wurde "auf bestimmte HCPF-Dateien in der von IBM verwendeten MOVEit-Anwendung von einem nicht autorisierten Akteur zugegriffen". Betroffenen Personen sichert das HCPF zwei Jahre lang kostenlose Kreditüberwachungsdienste und welche zur Wiederherstellung der Identität zu.

IBM fixt und prüft

Auch das Department of Social Services (DSS) von Missouri könnte von dem Ausnutzen der MOVEit-Sicherheitslücke und der damit verbundenen Schwachstelle bei IBM betroffen sein. Nach Angaben des DSS hatte IBM am 2. Juni 2023 über den Vorfall informiert und auch darüber, "dass IBM alle empfohlenen MOVEit-Security-Fixes angewendet hat". Während untersucht wurde, ob auf die Daten des DSS zugegriffen wurde, hatte IBM den Einsatz der MOVEit-Anwendung eingestellt. Die Zahl derer, deren Daten gestohlen wurden, ist noch unklar. Die Einwohner von Missouri wurden zudem aufgefordert, Kreditauskünfte auf verdächtige Aktivitäten zu überprüfen, informiert das DSS (PDF).

MOVEit-Lücke betrifft weltweit

In der Vergangenheit erlangte die MOVEit-Sicherheitslücke vor allem durch die Ransomware-Gang Clop Bekanntheit, die mit den ergaunerten Daten zahlreiche Unternehmen erpresst hatte. Auf deren Website im Darknet sind aber weder HCPF noch DSS gelistet. Zudem weisen sie ausdrücklich darauf hin, keine Daten aus medizinischen Einrichtungen oder von Regierungen zu stehlen. Ende Mai wurde publik, dass weltweit mehr als 2.000 Unternehmen von der MOVEit-Sicherheitslücke betroffen und zwischenzeitlich verwundbar waren.

Unternehmen bangten

Viele Unternehmen nach Bekanntwerden der Sicherheitslücke und dem Vorgehen von Clop um ihre Daten gebangt, darunter auch die AOK. Diese hatte nach eingehender Prüfung allerdings keinen Datenabfluss feststellen können, ein Hinweis auf die Krankenkassen erschien auf der Ransomware-Seite von Clop ebenfalls nicht. Sicherheitsexperten bemängeln den Einsatz der Software von Progress. Immer wieder sei MOVEit durch SQL-Injections aufgefallen. Durch den Einsatz verschiedener Tools zum Scannen nach Sicherheitsrisiken und Einleiten entsprechender Maßnahmen dürften derartige Schwachstellen heutzutage nicht mehr vorkommen.

