Nach Sicherheitsvorfall: Unfallkasse Thüringen setzt IT-Systeme wiederholt neu auf

Update Marc Stöckel
95 Kommentare
Nach Sicherheitsvorfall: Unfallkasse Thüringen setzt IT-Systeme wiederholt neu auf
Bild: pixabay.com / TheDigitalArtist

Schon im Januar 2022 bestätigte die Unfallkasse Thüringen einen Cyberangriff auf ihre IT-Infrastruktur, bei dem „alle Systeme“ mit einer Ransomware verschlüsselt wurden. Rund zwei Jahre später scheint sich das Spiel zu wiederholen: Die Versicherungsgesellschaft setzt ihre IT-Systeme nach einem Sicherheitsvorfall wieder neu auf.

Wiederherstellung dauert wohl bis Anfang Januar

Ereignet habe sich der jüngste IT-Sicherheitsvorfall bei der Unfallkasse Thüringen (UKT) am 18. Dezember 2023, heißt es in einer Mitteilung auf deren Webseite. Eine Kontaktaufnahme sei aktuell nur telefonisch oder auf dem Postweg möglich. „Es ist nicht auszuschließen, dass Sozialdaten, Beschäftigtendaten, Leistungserbringer- sowie Lieferantendaten betroffen sind“, erklärt die Versicherungsgesellschaft weiter. Das tatsächliche Ausmaß des Schadens lasse sich aber zum aktuellen Zeitpunkt noch nicht abschätzen.

An der Wiederherstellung des Geschäftsbetriebes werde bereits mit Hochdruck gearbeitet. Voraussichtlich dauere es aber noch bis zum 8. Januar 2024, bis der Prozess, die IT-Systeme „neu aufzusetzen“, abgeschlossen sei. Auch wenn die UKT nicht genau erläutert, um welche Art von Sicherheitsvorfall es sich handelt, deuten die Erklärungen der Unfallkasse auf einen Ransomware-Angriff hin. Wer diesen durchgeführt haben könnte und welche Schwachstellen dabei möglicherweise ausgenutzt wurden, bleibt aber unklar.

Die UKT behauptet, die zuständigen Datenschutz- und Aufsichtsbehörden über den Vorfall informiert und erforderliche Maßnahmen eingeleitet zu haben. Anfragen könne die Unfallkasse zwar weiterhin per Post oder über die Servicenummer 03621 777 222 entgegennehmen, dabei könne es jedoch aufgrund des hohen Andrangs zu Einschränkungen kommen.

Nicht der erste Sicherheitsvorfall bei der UKT

Die Abläufe sind der UKT allerdings nicht unbekannt. Erst vor rund zwei Jahren, genauer gesagt am 7. Januar 2022, bestätigte die Versicherungsgesellschaft, Ziel einer Ransomware-Attacke geworden zu sein, bei der es den Angreifern gelungen sei, „alle Server“ zu verschlüsseln. „Der Prozess, die informationstechnischen Systeme neu aufzusetzen, wird voraussichtlich bis Anfang Februar 2022 andauern“, hieß es damals. Auch in diesem Fall kam es also für mehrere Wochen zu beträchtlichen Ausfällen bei der UKT.

Immerhin dürften die zuständigen Administratoren inzwischen darin geübt sein, die Systeme wiederherzustellen. Wie es nun erneut zu solch einem Vorfall kommen konnte und ob die Unfallkasse nach dem ersten Angriff überhaupt geeignete Maßnahmen ergriffen hat, um sich vor weiteren Cyberangriffen zu schützen, bleibt angesichts des neuen Sicherheitsvorfalls fraglich.

Die UKT versichert mehr als 750.000 Thüringer

Bei der Unfallkasse Thüringen handelt es sich um eine Körperschaft des öffentlichen Rechts. Die in Gotha ansässige Versicherungsgesellschaft wird nach eigenen Angaben von 106 Beschäftigten unterstützt. Mehr als 750.000 Thüringer seien bei der UKT gesetzlich unfallversichert, erklärt die Gesellschaft auf ihrer Webseite. Darunter Kindergarten- und Schulkinder, Studierende, Arbeiter, Angestellte und Auszubildende in Einrichtungen der Kommunen oder des Landes sowie Beschäftige in privaten Haushalten und ehrenamtliche Träger.

Update

Wie Günter Born in seinem IT- und Windows-Blog berichtet, gibt es inzwischen Hinweise darauf, dass die Ransomwaregruppe RA Group für den Sicherheitsvorfall bei der Unfallkasse Thüringen verantwortlich ist. Auf X hat ein Nutzer einen entsprechenden Screenshot von der Datenleckseite der Hackergruppe geteilt.

Die RA Group behauptet dort, insgesamt 45 GB an Daten von der UKT abgegriffen zu haben, bestehend aus Kundendaten, Versicherungsverträgen, Schadensverläufen und anderen Dateien. Als Beweis haben die Angreifer einen Download-Link zu einer Stichprobe bereitgestellt. Der vollständige Datensatz soll am 31. Dezember 2023 veröffentlicht werden, sofern die UKT den Forderungen der RA Group nicht nachkommt. Eine genaue Lösegeldsumme wird nicht genannt.

Die Datenleckseite der RA Group wurde einem von Cisco Talos im Mai veröffentlichten Bericht zufolge am 22. April 2023 ins Leben gerufen. Es handelt sich also um einen recht jungen Bedrohungsakteur, der es anfangs vor allem auf Ziele in den USA und Südkorea abgesehen hatte. Deutsche Organisationen gehören aber offenkundig inzwischen auch zu den Zielen der Ransomwaregruppe.