Cyber Incident Victim: Humanomed
Date:
May 2025
Location:
Austria
Summary
Humanomed reported that its internal IT team detected irregularities in the radiology software used at its two clinics, indicating an attempted network intrusion via a remotely maintained update tool. The organization engaged an external security firm to investigate, and so far no evidence has been found that patient data were exfiltrated or that any ransom demand was made. Both facilities continue to operate normally, serving approximately twelve thousand inpatients annually, and no police report has been filed because no confirmed data theft has been established.
| CIA Posture | Motives | Tactics, Techniques & Procedures |
|---|---|---|
| Available to members | 1 motive | 1 technique |
| Threat Actors | Type | Location |
|---|---|---|
| 0 actors | Available to members | Available to members |
Description
Hauseigene EDV-Techniker der Humanomed-Gruppe stellten in der Vorwoche Unregelmäßigkeiten im Radiologie-System der Privatklinik Maria Hilf in Klagenfurt und der Privatklinik Villach-Warmbad fest und stellten anschließend fest, dass Hacker versucht hatten, über die in der Radiologie verwendete Software Zugang zum Netzwerk beider Häuser zu erlangen. Diese Software wird von einer externen Firma über Fernwartung bedient, und laut Ulrike Koscher-Preiss von der Presseabteilung bei Humanomed sei das einzige mögliche Eintrittstor für die Angreifer beim Überspielen von Updates gewesen. Die Techniker konnten jedoch keine Anzeichen dafür finden, dass Patientendaten abgezogen worden seien, und Humanomed gab bekannt, dass derzeit davon ausgegangen werde, dass keine Daten abgesaugt worden seien. Um den Vorfall vollständig aufzuklären, beauftragte Humanomed eine externe Sicherheitsfirma, die gemeinsam mit den hauseigenen Technikern die Netzwerkaktivitäten analysieren und den Angreifern auf die Spur kommen soll. Bislang sei keine Lösegeldforderung eingegangen und die Gruppe habe erklärt, sie werde definitiv nicht erpresst werden. Da bislang kein konkreter Datenverlust festgestellt werden konnte, wurde bei der Polizei keine Anzeige erstattet, da eine Anzeige nur dann erforderlich wäre, wenn eindeutig bekannt wäre, dass Daten gestohlen worden seien. Der Betrieb in beiden Kliniken sei nicht beeinträchtigt, alle Systeme liefen weiterhin normal.
Jährlich werden in den beiden Humanomed-Kliniken rund 12.000 Patientinnen und Patienten stationär aufgenommen und behandelt, wobei die genaue Anzahl der aufbewahrten Patientengeschichten von Koscher-Preiss nicht genannt werden konnte; jedoch sei die Gruppe gesetzlich verpflichtet, diese Unterlagen 40 Jahre lang aufzubewahren. Die Sprecherin betonte, dass der Vorfall sehr ernst genommen werde, obwohl derzeit kein Beweis für einen Datenabfluss vorliege. Sie erklärte außerdem, dass bislang keine Cyberattacken auf Krankenhäuser oder Kliniken in Kärnten bekannt gewesen seien, wodurch dieser Vorfall einen bisher nicht dokumentierten Fall in der Region darstellt.
Als zusätzlicher Kontext wird in den Quellen erwähnt, dass im Juni 2023 die Medizinische Universität Innsbruck Opfer der Ransomware-Gruppe Vice Society geworden sei, wobei sensible Unterlagen wie Finanzdaten, Reisepässe und Krankmeldungen im Darknet veröffentlicht worden seien, und dass im selben Jahr ein extern betriebener Server zur Verwaltung von PCR-Testdaten in Burgenland mit Ransomware infiziert worden sei, wobei das betroffene Tochterunternehmen der Gesundheit Burgenland den Vorfall datenschutzgemäß meldete. Diese früheren Vorfälle werden jedoch nicht als direkt mit dem Humanomed-Vorfall in Verbindung gebracht, sondern dienen lediglich als Illustration der allgemeinen Bedrohungslage im österreichischen Gesundheitswesen. Die aktuelle Untersuchung konzentriert sich darauf, ob im Rahmen des Humanomed-Angriffs irgendwelche Patientendaten kompromittiert wurden und welche weiteren Schritte notwendig sind, um die Sicherheit der beteiligten Systeme zu gewährleisten.