Kurz vor Weihnachten wurde CompuGroup Medical (CGM) zum Opfer eines Cyber-Angriffs. Lange blieb der Konzern auf Tauchfahrt, jetzt hat der Spezialist für Praxis- und Apotheken-EDV die Sache für sich abgehakt. Der Schaden geht in die Millionen.
Im Dezember wurde CGM zum Ziel eines so genannten Ransomware-Angriffs. „CGM hat entschlossen die Systeme, Mitarbeitenden und Kunden geschützt und gemeinsam mit öffentlichen Stellen und externen Experten Maßnahmen ergriffen, um auf den Ransomware-Angriff zu reagieren und diesen abzuwehren“, so der Konzern. Dabei habe man die Geschäftsaktivitäten in allen wesentlichen Belangen fortgeführt und auch die regulatorisch erforderlichen Updates für die Produkte rechtzeitig vor dem Jahreswechsel ausgeliefert.
Einen Schaden auf Kundenebene gab es nach Konzernangaben nicht: Es lägen „weder Anhaltspunkte für eine illegale Extraktion oder Veröffentlichung von Daten vor, noch gibt es einen Beweis dafür, dass Daten von den Angreifern heruntergeladen wurden“. Alle wesentlichen Systeme und Prozesse seien wiederhergestellt worden. „CGM wird daher in Zukunft nicht mehr darüber berichten.“
Für den Konzern war der Angriff mit erheblichen Kosten verbunden: Insgesamt seien für die Aufarbeitung und Bereinigung der Attacke Aufwendungen von vier Millionen Euro entstanden. Die Kosten für externe Aufwände werden auf 3 Millionen Euro beziffert.
Umso erstaunlicher ist die Aussage des Managements, dass die im Dezember eingetretene Ransomware-Attacke ein „bereits identifiziertes Risiko“ gewesen sei. „Um solche Sicherheitslücken zu vermeiden, werden sowohl in der Softwareentwicklung als auch -pflege hohe Anforderungen an das Qualitätsmanagement gestellt.“ Hohe Anforderungen würde auch an das interne Information-Security-Management-System gestellt, das mittlerweile nach ISO/IEC 27001 – der international anerkannten Norm für Informationssicherheitsmanagementsysteme – zertifiziert worden sei. „Der kontinuierliche Ausbau der internen Strukturen und die dadurch stetig steigende Transparenz bewirkte im Laufe des Jahres 2021 schrittweise eine umfangreichere Identifikation und Bewertung der Risiken.“
APOTHEKE ADHOC Debatte