Der Medizintechnikhersteller Medtronic hat confirmed a cybersecurity breach nach einer Bedrohungsgruppe behauptet, Millionen von Datensätzen und internen Unternehmensdaten gestohlen zu haben.
Das Unternehmen gab bekannt, dass eine unbefugte Partei Zugang zu Daten innerhalb von Teilen seiner IT-Umgebung erhalten hatte. Der Vorfall wurde identifiziert und eingedämmt, wobei Medtronic eine interne Untersuchung einleitete und externe Cybersicherheitsspezialisten einschaltete, um das Ausmaß und die Auswirkungen zu bewerten.
Die Offenlegung des Sicherheitsverstoßes folgte auf Vorwürfe der Erpressungsgruppe ShinyHunters, die Medtronic Mitte April auf ihrer Leckseite gelistet hatte. Die Gruppe behauptete, mehr als 9 Millionen Datensätze exfiltriert zu haben, darunter personenbezogene Daten, sowie große Mengen interner Unternehmensakten.
Laut den Angreifern könnten die gestohlenen Daten öffentlich veröffentlicht werden, falls die Lösegeldforderungen nicht innerhalb einer festgelegten Frist erfüllt werden. Medtronic hat jedoch weder das Volumen noch die genaue Art der in diesen Behauptungen genannten Daten bestätigt, und die Listung wurde inzwischen von der Leak-Plattform der Gruppe entfernt.
In seiner offiziellen Erklärung betonte Medtronic, dass der Datenverstoß auf Unternehmens-IT-Systeme beschränkt sei und weder die Medizinprodukte, Fertigungsbetriebe noch die Patientenversorgungsinfrastruktur betrifft. Das Unternehmen erklärte außerdem, dass Krankenhaussysteme, die mit seinen Produkten verbunden sind, unabhängig verwaltet werden und von dem Vorfall nicht betroffen sind.
Diese Segmentierung zwischen Unternehmens- und operativen Netzwerken scheint eine Schlüsselrolle bei der Begrenzung der potenziellen Auswirkungen gespielt zu haben. Durch die Isolierung kritischer Systeme verringerte das Unternehmen das Risiko, dass Angreifer seitlich in Umgebungen vordringen, die mit medizinischen Geräten oder der Gesundheitsversorgung verbunden sind.
Medtronic hat nicht offengelegt, wie die Angreifer zunächst Zugang erhielten, und keine technischen Details zur Eindringlingsmethode wurden öffentlich bestätigt. Die Untersuchung ist noch im Gange, wobei das Unternehmen daran arbeitet herauszufinden, ob auf sensible personenbezogene Daten zugegriffen wurde und ob die betroffenen Personen benachrichtigt werden müssen.
Der Vorfall spiegelt einen breiteren Trend in Cyberkriminalitätsoperationen wider, bei dem Angreifer Datenexfiltration und Erpressung über Systemstörungen stellen. In solchen Fällen wird die Drohung, gestohlene Daten zu veröffentlichen, als Druckmittel genutzt, um Organisationen zu Verhandlungen zu drängen, selbst wenn die Kerngeschäfte unbeeinträchtigt bleiben.
Im weiteren Verlauf der Untersuchung hebt der Fall anhaltende Risiken hervor, denen große Gesundheits- und Technologieanbieter ausgesetzt sind, insbesondere solche, die umfangreiche IT-Umgebungen von Unternehmen neben kritischen Betriebssystemen betreuen.