Der Vorfall
Am 3. November 2021 wurde der Softwareanbieter Medatixx Opfer eines schweren Cyberangriffs. Das Unternehmen mit Sitz in Eltville am Rhein gehört zu den größten Anbietern von Praxisverwaltungssoftware in Deutschland. Seine Produkte – darunter x.isynet, x.concept und x.comfort – liefen in rund 25 Prozent aller deutschen Arztpraxen.
Ransomware hatte wesentliche Teile der internen IT-Infrastruktur von Medatixx verschlüsselt. E-Mail-Systeme fielen aus, der Telefonsupport war nicht mehr erreichbar, die Website ging offline. Für tausende Arztpraxen bedeutete das: kein Support bei technischen Problemen, keine Updates, keine Hilfe.
Doch das war nicht das Schlimmste. Medatixx warnte öffentlich, dass im Zuge des Angriffs Zugangsdaten kompromittiert worden sein könnten. Das Unternehmen forderte alle Kunden auf, unverzüglich sämtliche Passwörter zu ändern – nicht nur für die Medatixx-Software, sondern für alle Systeme, bei denen dieselben Passwörter verwendet wurden. Das betraf Zugänge zu Konnektoren der Telematikinfrastruktur, Praxisverwaltungssysteme, Windows-Anmeldungen und sogar persönliche E-Mail-Konten.
Für niedergelassene Ärzte, die ohnehin unter Zeitdruck arbeiten, war das eine enorme Belastung. Viele Praxen hatten keine eigene IT-Abteilung und waren auf externe Dienstleister angewiesen, die nach dem Vorfall hoffnungslos überlastet waren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schaltete sich ein. Die Kassenärztliche Bundesvereinigung (KBV) veröffentlichte dringende Handlungsempfehlungen.
Die Wiederherstellung bei Medatixx selbst dauerte Wochen. Und die Unsicherheit in den Arztpraxen darüber, ob Patientendaten möglicherweise abgeflossen waren, hielt noch deutlich länger an.
Wie der Angriff funktionierte
Obwohl Medatixx keine detaillierten technischen Informationen zum Angriffshergang veröffentlichte, folgen solche Angriffe auf IT-Dienstleister einem bekannten mehrstufigen Muster.
Stufe 1 – Initialer Zugang: Der erste Schritt war vermutlich eine Phishing-E-Mail an einen Medatixx-Mitarbeiter oder die Ausnutzung einer Schwachstelle in einem externen Dienst. Ein kleiner, unauffälliger Loader – kaum größer als ein normales Dokument – etablierte eine Verbindung nach außen. Dieser Loader war darauf optimiert, von Sicherheitssoftware nicht erkannt zu werden.
Stufe 2 – Rechteausweitung und Erkundung: Über den Loader luden die Angreifer spezialisierte Werkzeuge nach. Sie erkundeten die interne Netzwerkstruktur, identifizierten Server mit wertvollen Daten und verschafften sich Administratorrechte. Bei einem Softwareanbieter wie Medatixx bedeutete das potenziellen Zugang zu Kundendaten, Zugangskonfigurationen und Support-Zugängen zu den Praxissystemen.
Stufe 3 – Datenexfiltration: Bevor die Verschlüsselung begann, kopierten die Angreifer vermutlich sensible Daten. Die Warnung von Medatixx, dass Zugangsdaten kompromittiert sein könnten, deutet stark darauf hin, dass Daten abgeflossen sind. Bei einem Praxissoftware-Anbieter können das Zugangsdaten zu tausenden Arztpraxen sein.
Stufe 4 – Verschlüsselung: Schließlich wurde die Ransomware aktiviert. Server und Arbeitsplätze wurden verschlüsselt, der Betrieb kam zum Erliegen. Die Erpresser hatten nun ein doppeltes Druckmittel: verschlüsselte Systeme und gestohlene Daten.
Das mehrstufige Vorgehen ist hier besonders relevant: Zwischen dem initialen Loader (Stufe 1) und der Verschlüsselung (Stufe 4) lagen zahlreiche Zwischenschritte, die alle auf der Systempartition Spuren hinterließen – Werkzeuge, Konfigurationsdateien, Skripte. Genau diese Spuren hätte Deep Freeze bei jedem Neustart gelöscht.
Warum Virenscanner versagten
Medatixx hatte als professioneller IT-Dienstleister selbstverständlich Sicherheitssoftware im Einsatz. Doch gegen einen gezielten Angriff reichte sie nicht aus.
Das Grundproblem: Professionelle Angreifer investieren erheblichen Aufwand, um ihre Werkzeuge an Virenscannern vorbeizuschleusen. Der initiale Loader wird so lange verändert, bis er von keinem gängigen Scanner erkannt wird. Jede neue Variante ist für den Scanner ein unbeschriebenes Blatt.
Bei einem IT-Dienstleister wie Medatixx kommt ein weiterer Faktor hinzu: Die Angreifer hatten es nicht auf Massenverbreitung abgesehen, sondern auf ein spezifisches Ziel. Der Schadcode wurde maßgeschneidert. Signaturdatenbanken, die auf Massenbedrohungen ausgelegt sind, greifen bei solchen gezielten Angriffen ins Leere.
Auch verhaltensbasierte Erkennung stößt an ihre Grenzen, wenn die Angreifer legitime Administrationswerkzeuge verwenden. Tools wie PowerShell, Remote Desktop und WMI sind in jeder Windows-Umgebung vorhanden und werden täglich von Administratoren genutzt. Ein Virenscanner, der jede PowerShell-Ausführung blockiert, würde den Betrieb lahmlegen.
So hätte Deep Freeze geschützt
Deep Freeze hätte den Angriff auf Medatixx an mehreren Stellen unterbrochen – und die Auswirkungen auf die 25 Prozent der deutschen Arztpraxen dramatisch reduziert.
Auf Ebene der Medatixx-Arbeitsplätze: Der initiale Loader landet auf dem Rechner eines Mitarbeiters. Am Ende des Arbeitstages wird der Rechner heruntergefahren. Beim nächsten Start setzt Deep Freeze die eingefrorene Systempartition zurück. Der Loader, die nachgeladenen Werkzeuge, die gesammelten Zugangsdaten – alles weg. Die Angreifer verlieren ihren Zugang und müssen von vorn beginnen.
Die Angriffskette bricht ab. Ohne einen persistenten Zugang können die Angreifer keine Erkundung durchführen, keine Rechte ausweiten, keine Daten exfiltrieren. Der mehrstufige Angriff scheitert an der simplen Tatsache, dass der Brückenkopf bei jedem Neustart verschwindet.
Auf Ebene der Arztpraxen: Selbst wenn Zugangsdaten kompromittiert worden wären und Angreifer versucht hätten, direkt in die Praxissysteme einzudringen – auf einem Deep-Freeze-geschützten Praxisrechner wäre jede installierte Schadsoftware nach dem nächsten Neustart verschwunden. Die Praxen hätten weiterarbeiten können, ohne panisch Passwörter ändern zu müssen.
Statt wochenlanger Ausfälle, BSI-Warnungen und überlasteter IT-Dienstleister hätte ein normaler Arbeitstag mit einem normalen Neustart gereicht.
Die Lehre
- Supply-Chain-Angriffe treffen alle Kunden. Wenn ein Softwareanbieter wie Medatixx gehackt wird, sind automatisch tausende Kunden betroffen. Deep Freeze hätte den Angriff bereits beim Anbieter gestoppt – und damit die gesamte Kette geschützt.
- Gestohlene Zugangsdaten sind das größte Risiko. Die Warnung, alle Passwörter zu ändern, zeigt: Der eigentliche Schaden entsteht nicht durch verschlüsselte Dateien, sondern durch gestohlene Daten. Deep Freeze verhindert die Datenexfiltration, indem es den Angreifern die Werkzeuge dafür bei jedem Neustart entzieht.
- Arztpraxen sind besonders verwundbar. Keine eigene IT-Abteilung, knappe Budgets, hoher Zeitdruck. Deep Freeze ist gerade für solche Umgebungen ideal: einmal einrichten, dann schützt es automatisch bei jedem Neustart.
- Der mehrstufige Angriff braucht Persistenz. Von Loader über Erkundung bis zur Verschlüsselung – jeder Schritt setzt voraus, dass der vorherige noch aktiv ist. Deep Freeze unterbricht diese Kette zuverlässig.
- Ein Neustart ist einfacher als tausende Passwortänderungen. Die Alternative zu Deep Freeze war ein landesweiter Notfallplan mit hunderttausenden Passwortänderungen in Arztpraxen. Der Neustart wäre einfacher gewesen.