Cyber Incident Victim: Sächsische Landesärztekammer
Date:
May 2025
Location:
Germany
Summary
The website of the Sächsische Landesärztekammer was targeted in a cyberattack that deployed an encryption trojan on an externally hosted web server by exploiting a vulnerability. No personal data were compromised during the incident. The organization's IT team, together with external security experts, immediately enacted protective measures and continues to analyze and secure the affected systems. Employees were instructed to remain vigilant with incoming email, especially those containing attachments or links, and to change their passwords. As a precaution, the compromised web server and the internal CMS servers were temporarily taken offline, and a stepwise restoration of the services is now underway.
| CIA Posture | Motives | Tactics, Techniques & Procedures |
|---|---|---|
| Available to members | 2 motives | 1 technique |
| Threat Actors | Type | Location |
|---|---|---|
| 0 actors | Available to members | Available to members |
Description
Am 2. Mai 2025 wurde die Website der Sächsischen Landesärztekammer Ziel eines Cyberangriffs, bei dem ein Verschlüsselungstrojaner eingesetzt wurde. Der Angriff richtete sich gegen den bei einem externen Anbieter gehosteten Webserver und nutzte eine dort vorhandene Schwachstelle aus. Laut den veröffentlichten Angaben wurden dabei keine personenbezogenen Daten kompromittiert. Die IT-Abteilung der Kammer reagierte unmittelbar und schaltete externe IT‑Sicherheitsexperten ein, um sofortige Sicherheitsmaßnahmen zu ergreifen. Gemeinsam begannen sie mit einer intensiven Analyse des Vorfalls und der Absicherung des betroffenen Systems.
Als Teil der unmittelbaren Reaktion wurden alle Mitarbeiter umgehend über den Vorfall informiert und aufgefordert, bei eingehenden E‑Mails besonders wachsam zu sein, insbesondere hinsichtlich von Anhängen oder Links. Zusätzlich wurde ihnen empfohlen, ihre Passwörter zu ändern, um das Risiko weiterer Kompromittierungen zu verringern. In Abstimmung mit den hinzugezogenen Sicherheitsexperten entschied man sich, sowohl den betroffenen Webserver als auch vorsorglich die internen CMS‑Server der Landesärztekammer vorübergehend vom Netz zu nehmen. Dieser Schritt sollte weiteren Schaden verhindern und die Umgebung für eine gründliche Untersuchung isolieren.
Derzeit erfolgt eine schrittweise Wiederherstellung der betroffenen Systeme, wobei die IT‑Abteilung weiterhin an der Analyse und der Stärkung der Sicherheitslage arbeitet. Die Maßnahmen umfassen die Überprüfung der Schwachstelle beim externen Anbieter sowie die Implementierung zusätzlicher Schutzmechanismen. Der Vorfall hat zu keiner bekannten Datenpanne geführt, jedoch zu einer vorübergehenden Unterbrechung der Online‑Dienste der Kammer. Die Wiederaufnahme der vollen Funktionalität wird nach Abschluss der Wiederherstellungsarbeiten erwartet.