SmartSpy

SmartSpy.ch – Die dunkle Seite der Digitalisierung

SmartSpy

SmartSpy.ch – Die dunkle Seite der Digitalisierung

Der Radix-Hack 2025: Versprechen vs. Realität

Beitrag veröffentlicht am Tags , , , , , , , Keine Kommentare für Der Radix-Hack 2025: Versprechen vs. Realität

Im Juni 2025 wurde die Schweizer Gesundheitsstiftung Radix Opfer eines massiven Ransomware-Angriffs. Innerhalb kurzer Zeit landeten intime Daten von über 1300 Spielsüchtigen im Darknet und warfen grundlegende Fragen zu Transparenz, Datenschutz und Vertrauen in Bundesstellen auf.

Was ist der Radix-Hack und wie kam es dazu?

Am 16. Juni 2025 verschaffte sich die Hackergruppe „Sarcoma“ Zugriff auf Radix-Systeme und exfiltrierte rund 1,3 Terabyte sensibler Patientendaten. Die Täter verlangten Lösegeld und drohten mit Veröffentlichung im Darknet. Wenige Wochen später wurden diese Daten – darunter Namen, Adressen, Lohnunterlagen, Betreibungsregister und Beratungsprotokolle – öffentlich zugänglich gemacht und gelten als eines der grössten Datenlecks einer Schweizer Gesundheitsorganisation.

Die Versprechen von RADIX und die Realität

Radix verkündete in ihrer ersten Stellungnahme:

  • Man habe das Bundesamt für Cybersicherheit (BACS) «zeitnah» informiert
  • Alle Betriebenen- und Gesundheitsdaten seien in unversehrten Backups gesichert
  • Betroffene seien «vorab» und «sensibel» benachrichtigt worden
  • Die Lage sei «unter Kontrolle» und man wolle künftig transparenter kommunizieren.

Tatsächlich berichten viele Opfer, dass sie entweder gar keine oder nur irreführende Hinweise erhielten. Anschreiben im Juni blendeten die Hack-Ursache bewusst aus, sodass Empfänger nicht realisierten, weshalb sie kontaktiert wurden. Mehrere Befragte fanden Benachrichtigungen erst per Zufall im Spam-Ordner oder verstanden den Inhalt nicht vollständig.

Die Versprechen des BACS und die Realität

Das Bundesamt für Cybersicherheit sicherte zu:

  1. Sofort über den Angriff informiert worden zu sein.
  2. Genau zu prüfen, welche Bundesstellen und Daten betroffen sind.
  3. Nach Abschluss umfassend und zeitnah zu berichten.

Bislang fehlen jedoch konkrete Zeitpläne und Detailergebnisse. Betroffene Bundesstellen wissen oft nicht, ob ihre Daten betroffen sind. Das BACS betont, dass Hacker nie direkten Zugriff auf Bundesverwaltungssysteme hatten – doch die intransparente Berichterstattung schwächt das Vertrauen in die angekündigte öffentliche Kommunikation.

Welche grundlegenden Sicherheitsstandards hat RADIX verletzt?

Cyber­security-Expertinnen und -Experten identifizieren bei Radix mehrere eklatante Mängel:

  • Unzureichendes Monitoring grosser Datenabflüsse.
  • Speicherung von Passwörtern im Klartext in Word-Dokumenten!
  • Fehlende Ende-zu-Ende-Verschlüsselung selbst besonders schützenswerter Gesundheitsdaten.
  • Keine regelmässigen Penetrationstests und Sicherheitsaudits.
  • Mangelnde Trennung von Produktiv- und Archivsystemen.

Diese Defizite verletzen zentrale Prinzipien des Schweizer Datenschutzgesetzes (DSG) und der NIS-Vorschriften, die ein angemessenes Schutzniveau garantieren sollen.

Welche Tragödie kann der Radix-Hack auslösen?

Die Veröffentlichung intimer Daten birgt weitreichende Folgen für Betroffene:

  • Soziale Stigmatisierung bei Freunden, Familie und Arbeitgebern.
  • Psychische Belastungen bis hin zu Isolation oder Verschlimmerung bestehender Süchte.
  • Erpressungs­risiken durch Dritte mit Kenntnis von Berufs­- und Finanzdaten.
  • Gefährdung von Personen in sensiblen öffentlichen Diensten (Polizei, Militär, Verwaltung).

Eine ähnliche globale Warnung lieferte der WannaCry-Ransomware-Angriff, der 2017 Krankenhaus- und Versorgungs­systeme massiv lahmlegte und Menschenleben gefährdete.

Wie soll man dem Bund und dessen IT-Projektvergaben noch trauen können?

Wenn Bundesbehörden Dienstleister wie Radix trotz offensichtlicher Mängel beauftragen, bröckelt das Vertrauen in IT-Beschaffungen komplett:

  • Unklare Vergabekriterien und fehlende Sicherheitszertifikate bei Auftragserfüllern.
  • Mangelnde Kontrollen und Audits auch bei kritischen Partnern.
  • Kein zwingendes Nachhalten von Korrekturmassnahmen nach Sicherheitsvorfällen.

Die Vergabepraxis muss überarbeitet werden: Nur Dienstleister mit nachweislicher Cyber­security-Reife sollten staatliche Aufträge erhalten.

Vereinbarkeit und Verstösse mit dem Schweizer DSG

Das Schweizer Datenschutzgesetz fordert, dass besonders schützenswerte Gesundheitsdaten nur mit höchsten technischen und organisatorischen Massnahmen verarbeitet werden. Radix verstiess gegen:

  • Artikel 6 DSG (Datenminimierung und Zweckbindung).
  • Artikel 7 DSG (Datensicherheit und Verschlüsselung).
  • Artikel 32 DSG (Meldung von Datenpannen).

Die verspätete und lückenhafte Benachrichtigung Betroffener kontrastiert scharf mit den DSG-Vorgaben zur unverzüglichen Meldung und verständlichen Information.

RADIX wollte «alles in ihrer Macht Stehende» tun – doch hätte sie es vorher tun müssen

Die Lehre aus dem Radix-Hack ist eindeutig: Prävention und kontinuierliche Sicherheitskontrollen müssen vor jeder Krise stehen. Erst wenn Dienstleister strenge Audits, Penetrationstests und echte Ende-zu-Ende-Verschlüsselung nachweisen, sollte ihnen Verantwortung im Gesundheits- und Behördenbereich übertragen werden.

Nur so kann das Versprechen stehen bleiben, Betroffene angemessen zu schützen und das Vertrauen in staatliche IT-Vergaben zu bewahren.

facebookAuf Facebook teilen
TwitterAuf X teilen
Der Radix-Hack 2025: Versprechen vs. Realität

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen