Die Universitätsmedizin Mainz ist Opfer eines massiven Datenklaus geworden: Über einen IT-Dienstleister wurden Hunderttausende von Email-Daten aus einer Protokolldatei entwendet, die Daten wurden im Darknet veröffentlicht. Betroffen sind 280.000 Adressaten, die derzeit per Email informiert werden. Wie es zu dem Hack kommen konnte, sagte die Mainzer Unimedizin nicht, betont aber: Patientendaten seien nicht betroffen. Man bitte die Betroffenen nun „um erhöhte Wachsamkeit“.
„Informationen zu einem Datenschutzvorfall“ heißt die Überschrift zu einer Email, die derzeit zahlreichen Patienten und anderen Kontaktleuten der Mainzer Universitätsmedizin ins Email-Postfach flattert. Hinter der verharmlosenden Überschrift verbirgt sich ein handfester Datenskandal: Bei einem Hackerangriff wurden ausgelagerte Protokollierungsdaten des E-Mail-Servers der Universitätsmedizin Mainz entwendet – und die Daten anschließend im Darknet veröffentlicht.
Der „kritische Sicherheitsvorfall“ sei bei einem der IT-Dienstleister der Unimedizin Mainz geschehen, der Email-Server der Universitätsmedizin Mainz selbst sei aber nicht von dem Angriff betroffen. „Entwendet wurde zwei Protokollierungsdateien“, informiert das Schreiben weiter. Die Dateien enthielten ausschließlich die Metadaten der Email-Kommunikation, also E-Mail-Adressen von Absender und Empfänger, den Betreff und den Zeitstempel. Mail-Inhalte und Mail-Anhänge seien nicht entwendet worden.
280.000 Email-Adressen gestohlen und im Darknet angeboten
Wer aber diese Mitteilung erhalten hat, dessen Email-Adresse wurde gestohlen und samt der Metadaten im Schatten-Internet „Darknet“ veröffentlicht. Die hier veröffentlichten Daten können für Betrüger und Kriminelle interessant sein – die Betroffenen werden deshalb nun aufgefordert, in der nächsten Zeit besonders wachsam zu sein: Überprüft besonders sorgfältig die Adresse eines Email-Absenders und achtet auf Links und Anhänge, denn über diese wird gerne Schadsoftware übermittelt. Im Zweifelsfall sollte man sich beim Absender über die Authentizität der erhaltenen E-Mail rückversichern, bevor man Links oder Anhänge öffnet.
Wann genau der Datenklau geschah, teilte die Mainzer Unimedizin auch auf Mainz&-Nachfrage nicht mit – dabei wäre dies natürlich eine wichtige Information gewesen: Seit wann die Daten im Darknet kursieren, wurde ebenfalls nicht gesagt. „Der IT-Dienstleister hat den Vorfall mit Unterstützung von externen IT-Experten und den Strafverfolgungsbehörden aufgearbeitet und die Universitätsmedizin Mainz transparent über die Erkenntnisse informiert“, hieß es in der Info-Mail an Betroffene lediglich. Die Email liegt Mainz& vor, die betroffene Privatadresse wurde am Freitagfrüh informiert.
Damit liegt der Schluss nahe, dass der Datenklau zumindest einige Tage her ist – warum Betroffene erst jetzt informiert wurden, teilte die Unimedizin nicht mit. „Bei der Analyse der Protokollierungsdaten zusammen mit dem IT-Dienstleister sind der Datenschutzbeauftragte und der Informationssicherheitsbeauftragte (CISO) der Universitätsmedizin Mainz zu dem Schluss gekommen, dass hier ein potentielles Risiko vorliegt, über das wir Sie hiermit
als Betroffene informieren“, hieß es lediglich. Es bestehe ein erhöhtes Risiko von Social-Engineering- oder Phishing-Angriffen, also dem Versuch etwa, Kontodaten oder andere Finanzdaten abzugreifen.
Zwei Protokolldaten mit Email-Verkehr aus 2022 und 2023 entwendet
Betroffen von dem Hack sind zwei Protokollierungsdateien über Email-Verkehr mit der Universitätsmedizin Mainz unter der Adresse „@unimedizin-mainz.de – die eine Protokolldatei enthielt gesendete E-Mails aus dem Zeitraum vom 01.09.2022 bis 06.06.2023. Die andere Datei enthielt die Metadaten von Emails, die im Zeitraum vom 06.05.2023 bis 06.06.2023 von Mailadressen der Universitätsmedizin Mainz versendet wurden. Betroffene sollten besonders vorsichtig sein, falls Sie jetzt Mails erreichen, die sich auf die seinerzeitige Kommunikation beziehen.
„Obwohl keine E-Mail-Inhalte und -Anhänge betroffen sind, könnte mit den entwendeten Informationen die Privatsphäre derjenigen Personen, die im betreffenden Zeitraum eine Mail an die Universitätsmedizin gesendet oder bekommen haben, verletzt bzw. eine Missbrauchsmöglichkeit gegeben sein“, teilte die Mainzer Unimedizin auf Mainz&-Anfrage mit – eine allgemeine Pressemitteilung über den Vorgang versandte die Unimedizin nicht. Man habe am Dienstag begonnen, die betreffenden Personen via E-Mail über den Vorfall zu informieren – betroffen seien insgesamt 280.000 Adressaten.
Die Info-Mails kommen allerdings zum Teil mit Tagen Verzögerung an – manche etwa erst an diesem Freitag, wie Mainz& erfuhr. Welcher IT-Dienstleister von dem Hack betroffen war, wie es zu dem Vorfall kommen konnte, und was die Unimedizin Mainz tun will, um solche Datenklau-Hacks in Zukunft zu verhindern – all diese Fragen beantwortete das Uniklinikum am Freitag nicht. „Wir bedauern die Unannehmlichkeiten, die durch diesen Vorfall entstanden sind“, hieß es lediglich.
Info& auf Mainz&: Für Betroffene wurde eine Infotelefon und eine Email-Adresse eingerichtet, die mit der Informations-Mail übersandt wurden.