Von den kritischen Schwachstellen in dem Programm MOVEit-Transfer des Herstellers Progress Software, die Mitglieder der Cybergang Clop seit geraumer Zeit ausnutzen, ist jetzt auch der US-Dienstleister Maximus betroffen. Das auf das Gesundheits- und Sozialwesen spezialisierte Unternehmen hat viele Kunden in der öffentlichen Verwaltung in Ländern wie den USA, Australien, Kanada, Italien, Schweden und Großbritannien. Es hat nun in einer Pflichtnotiz gegenüber der US-Börsenaufsicht SEC bekanntgegeben, dass aufgrund einer Zero-Day-Sicherheitslücke in der einschlägigen Software persönliche Informationen einer "signifikanten Zahl" von Betroffenen abgeflossen seien. Man nutze MOVEit, um Daten über Personen zu verwalten, "die an verschiedenen Regierungsprogrammen teilnehmen".

"Geschützte Gesundheitsinformationen" geleakt

Laut der Erklärung hat Maximus umgehend nach Bekanntwerden des Vorfalls mit dessen Untersuchung mithilfe "externer Rechts-, Forensik- und Datenanalyseexperten" begonnen und Abhilfemaßnahmen ergriffen, um die gemeldeten Schwachstellen zu beheben. Die betroffenen Dateien seien inzwischen identifiziert, ihre Prüfung aber noch nicht abgeschlossen. Bislang gehe man davon aus, dass persönliche Daten einschließlich Sozialversicherungsnummern und "geschützter Gesundheitsinformationen" von "mindestens 8 bis 11 Millionen Personen" enthalten seien, die das Unternehmen "voraussichtlich" noch benachrichtigen werde. Direkte Kunden sowie die Bundes- und Landesaufsichtsbehörden seien bereits informiert worden. In den USA verwaltet die Firma Gesundheitsfürsorgeprogramme wie Medicaid und Medicare sowie Angebote zur Integration von Sozialhilfeempfängern in den Arbeitsmarkt.

Die bisher durch den Vorfall verursachten Kosten schätzt Maximus auf "etwa 15 Millionen US-Dollar". Sollten sich die schlimmsten Befürchtungen des Dienstleisters bewahrheiten, wäre es das bislang größte Leck von Gesundheitsdaten in diesem Jahr, schreibt das Magazin "Techcrunch". Die Clop-Cyberkriminellen, die mit Russland in Verbindung gebracht würden und für die MOVEit-Hacks verantwortlich seien, hätten nach eigenen Angaben 169 Gigabyte an Daten bei Maximus abgegriffen und drohten mit deren Veröffentlichung. Insgesamt seien bisher mehr als 500 Organisationen und persönliche Daten von mehr als 34,5 Millionen Menschen weltweit von den Sicherheitslücken betroffen.

169 Gigabyte Daten erbeutet

Zu den Opfern gehören laut Clop und Berichten zufolge etwa die AOK Niedersachsen, die Barmer, die BBC, British Airways, Ernst & Young, PricewaterhouseCoopers, Schneider Electric, Shell und Siemens Energy. Hierzulande sorgte jüngst der Dienstleister Majorel für Schlagzeilen in Verbindung mit den MOVEit-Lücken, die seiner Tochter Kontowechsel24.de und damit auch großen Kunden im Finanzsektor wie ING, Comdirect, sowie Deutsche Bank und Postbank zu schaffen machte: Sie alle mussten Anfang Juli den Zugriff auf sensible Kundendaten einräumen.

(tiw)