Ameos-Hack: Patientendaten gestohlen, Anfrage mit Kopie des Persos möglich
von caschy | 19 Kommentare
Vom Cyberangriff auf die Ameos-Kliniken im Juli 2025 habt ihr sicherlich Kenntnis erhalten. Wie der Klinikkonzern mittlerweile bestätigte, haben die Angreifer Zugriff auf sensitive Patientendaten und Mitarbeiterinformationen erhalten. Das genaue Ausmaß des Datendiebstahls ist noch Gegenstand laufender Untersuchungen.
Um Transparenz für die möglicherweise Betroffenen zu schaffen, hat Ameos eine Webseite eingerichtet. Dort können ehemalige Patienten und Mitarbeiter eine individuelle Auskunft beantragen. Nach Prüfung des Einzelfalls informiert der Konzern darüber, ob und welche persönlichen Daten entwendet wurden.
Als Schmunzler / Schlag an die Stirn könnte man vielleicht erwähnen, dass man sich auf der Seite eintragen kann, man soll aber gar eine Kopie des Personalausweises mit hochladen. Also zu einem Dienstleister, dem kürzlich Daten abhanden gekommen sind. Interessant ist auch, dass man wohl weiß, dass Patienten und Mitarbeiter betroffen sind, diese aber nicht proaktiv informiert werden.
Davon ab gilt natürlich: Augen und Ohren auf, denn es kann natürlich versucht werden, mit „euren“ Daten mehr zu machen. Da sollte man auf verdächtige E-Mails und potenzielle Betrugsversuche achten, schlecht gemachte Anrufe aus Belgien von vermeintlichen PayPal-Mitarbeitern sind da nur eine leicht zu erkennende Masche.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Double Facepalm! Wie ironisch ist das denn, da für ne Auskunft noch Personalausweiskopie hochzuladen.
Ich bezweifle, dass irgendwelche geklaute Daten sensibler sind als Persokopien, da Böswillige damit wohl am meisten Schaden anrichten könnten.
Oder: Das ist einfach ne Phishing-Seite der ursprünglichen Bösewichte, da bisherige Daten nicht nützlich genug sind…
Bitte erläutere, was genau man mit gestohlenen Persokopien machen kann. Danke! Mir fällt dazu wenig ein. Mit der Eingabe der Perso-Nummer ist es nirgendwo getan. Banken wollen mehr, nämlich eine Videoüberprüfung, bei der man den Perso mehrfach hin und her in die Kamera schwenken muß.
identitätsdiebstahl. passiert tagtaglich tausendfach. alles nur mit einer kopie vom ausweis. es hat schon seinen grund, warum man ihn nie ablichten sollte. selbst videoident ist heutzutage bullshit. dank ausweis app sollte niemand mehr den ausweis zu gesicht bekommen müssen. leider ist das bei den meisten banken, mobilfunkanbietern und versicherern noch nicht angekommen.
Sogar Apple will ein Foto von Reisepass/Ausweis wenn man einen Entwickler-Account erstellen möchte. Oo
Hast du noch nie was auf Kleinanzeigen gekauft, was vielleicht die 300 EUR überschritten hatten und der Verkäufer hat dir als Sicherheit eine Kopie seines Ausweises senden wollen?
Also da gibt’s echt ’ne Menge was du mit einer Kopie deines Personalausweises anstellen kannst …
Nein. Ich lese gelegentlich in Foren, wie das so auf Kleinanzeigen abläuft. Sowas tue ich mir nicht an. Und eine Perso-Kopie als Sicherheit? Was soll mir das als Privatperson bringen? Ja, was ist denn „’ne Menge“?
Da hast du dich halt falsch informiert: Betrüger suggerieren arglosen Kunden Sicherheit, indem sie generös „ihren“ Personalausweis in Kopie schicken. Nur dass es halt nicht ihrer ist, sondern ein geklauter.
Beliebt ist es z.B. Ferienwohnungen im Ausland anzubieten. Das macht man dann in Deinem Namen und zur Verifizierung, dass Du ein echter und glaubwürdiger Vermieter bist, schickt man dem Mieter die Ausweiskopie per ditialem Wege und zack bist dabei.
https://www.tagesschau.de/wirtschaft/verbraucher/identitaetsklau-buchungsportale-100.html
„Sogar Kontoeröffnungen seien im Ausland mit einem Ausweis-Scan oder einer Kopie mitunter möglich, warnt Haberberger: „Wenn es dumm läuft, dann steht die Polizei bei Ihnen vor der Tür und sagt: Sie sind Geldwäscher. Ihr Konto in Polen wird dazu verwendet, Geld zu waschen. Und dann fällt es tatsächlich sehr schwer, für sich selber wirklich nachzuweisen, dass man das nicht ist, dass man dieses Konto nicht eröffnet hat.“
Wow, der Laden hat über 18.000 Mitarbeiter in mehr als 100 Einrichtungen, und über 500.000 Patienten/Jahr. Da kommt bestimmt ein deftiger Datensatz zusammen, zumal da z.B. auch Kliniken für Forensische Psychiatrie dabei sind.
Hallo peter,
„Wow, der Laden hat über 18.000 Mitarbeiter in mehr als 100 Einrichtungen, und über 500.000 Patienten/Jahr. Da kommt bestimmt ein deftiger Datensatz zusammen, zumal da z.B. auch Kliniken für Forensische Psychiatrie dabei sind.“
ja, ich wurde ja – nicht von Dir aber anderen – als überängstlich betitelt wenn ich vor der zentralen Sammlung von Patientendaten in der EPA warnte .
Und sagte daß rein lokale, möglichst sogar auf vom Internet getrennten Systemen, Speicherung auf praxis- oder allenfalls der Ebene einzelner Kliniken sicherer sei – dann sei der Datenschatz, der entwendet werden könnte , abgrenzbar.
Das berühmte Gesetz der großen Zahl – sieht man jetzt: eine Art EPA in klein bei einem Klinikverbund ortsübergreifend … denkt man das auf „EPA“-Niveau hoch
ein guter Grund ffür meinen Widerspruch.
Warum stehen die denn nicht in der Pflicht nach DSGVO alle zu informieren. Das verstehe ich nicht. Ist ja komplett Banane, wenn die so damit durchkommen.
Das hat mich auch stutzig gemacht. Ich dachte immer, ein Unternehmen, welches von einem Datenleck betroffen ist, wäre verpflichtet alle in Frage kommende Betroffenen darüber zu informieren.
Jo, ist auch so:
Bei einem Datenleck gibt es eine zweigeteilte Informationspflicht: Unternehmen müssen das Leck unverzüglich und möglichst binnen 72 Stunden der zuständigen Aufsichtsbehörde melden (Art. 33 DSGVO), sofern ein Risiko für die Rechte natürlicher Personen besteht. Des Weiteren sind sie verpflichtet, die betroffenen Personen selbst zu informieren, wenn die Verletzung des Schutzes voraussichtlich ein hohes Risiko für sie birgt (Art. 34 DSGVO).
„Jemand eine Idee, wie wir an möglichst viele Daten rankommen?“
„Lass uns verbreiten, dass wir gehackt wurden und alle für eine Auskunft ihren Personalausweis hochladen müssen.“
„Genial – IT, macht mal!“
Glaube der Imageverlust ist übler als der Gewinn durch die Daten.
Bei „Weitere Unterlagen“ kann man auch die Kreditkarte, aufgeladene Paysafe-Karten, Zugangsdaten für’s Onlinebanking vertrauensvoll hochladen. 😉
Ich kenne jemanden der dort arbeitet. Die überhaupt nichts an die Mitarbeiter weitergegeben und die mussten mit Stift und Papier weiterarbeiten.
Ich würde bei den knallhart die Anfrage ohne Ausweiskopie stellen und im Zweifel Beschwerde bei der zuständigen Behörde einlegen. So geht’s ja mal nicht.