--- url: 'https://www.corbado.com/de/blog/medibank-datenleck' title: 'Wie kam es zum Medibank-Datenleck und wie lässt es sich vermeiden?' description: 'Erfahren Sie mehr über das Medibank-Datenleck, die ausgenutzten Schwachstellen, Präventionsmaßnahmen und Strategien zur Vermeidung ähnlicher Cyberangriffe.' lang: 'de' author: 'Vincent Delitz' date: '2026-05-27T08:42:39.693Z' lastModified: '2026-05-27T08:43:46.821Z' keywords: 'Medibank, Medibank-Datenleck, Cyberangriff, MFA, Datendiebstahl, Netzwerksegmentierung' category: 'Authentication' --- # Wie kam es zum Medibank-Datenleck und wie lässt es sich vermeiden? ## Key Facts - Das **Medibank-Datenleck** legte im Oktober 2022 die persönlichen und medizinischen Daten von 9,7 Millionen Kunden offen, was eher auf vermeidbare Sicherheitsmängel als auf ausgefeiltes Hacking zurückzuführen war. - Die Angreifer verschafften sich Zugang mithilfe von gestohlenen Zugangsdaten vom mit Malware infizierten privaten Gerät eines **externen IT-Dienstleisters**, wobei sie das Fehlen von MFA bei Fernzugriffssystemen ausnutzten. - Eine **verzögerte Reaktion auf den Vorfall** ermöglichte es den Kriminellen, 200 GB an Daten zu exfiltrieren, bevor das Sicherheitsteam von Medibank den Zugang sperrte – und das trotz früherer Warnungen durch Sicherheitstools. - Die Angreifer forderten ein Lösegeld von 10 Mio. US-Dollar. Medibank lehnte ab, was dazu führte, dass die Kriminellen die gestohlenen Daten, einschließlich Namen, Passdaten und Medicare-Nummern, im Darknet veröffentlichten. - **Multi-Faktor-Authentifizierung** hätte den Einbruch am Eintrittspunkt blockieren können. Die im Artikel zitierten Daten von Microsoft zeigen, dass MFA bis zu 98 % der Versuche zur Kompromittierung von Konten verhindert. ## 1. Einführung Im Oktober 2022 erlitt Medibank, eine der größten privaten Krankenversicherungen Australiens, ein Datenleck, das die sensiblen persönlichen und medizinischen Informationen von 9,7 Millionen Kunden preisgab. Dieser Vorfall zeigte die schwerwiegenden Folgen, wenn grundlegende Cybersicherheitsmaßnahmen nicht umgesetzt werden. Um ähnliche Angriffe in Zukunft zu verhindern, ist es entscheidend zu verstehen, wie das Leck entstand und welche Sicherheitslücken ausgenutzt wurden. Aus diesem Grund behandelt dieser Blogbeitrag die folgenden Hauptfragen: - Welche Schwachstellen ermöglichten das Medibank-Datenleck? - Welche Gegenmaßnahmen hätten das Medibank-Datenleck verhindern können? ## 2. Wie kam es zum Medibank-Datenleck? Das Medibank-Datenleck war nicht das Ergebnis ausgefeilter Hacking-Methoden. Stattdessen geschah es aufgrund einer Reihe vermeidbarer Sicherheitsfehler. Diese Versäumnisse ermöglichten es Cyberkriminellen, in das Netzwerk von Medibank einzudringen, große Mengen sensibler Informationen zu stehlen und anschließend Lösegeld zu erpressen. ### 2.1 Gestohlene Zugangsdaten und ungesicherte Eintrittspunkte Der Angriff begann, als ein von Medibank beauftragter externer IT-Dienstleister die Anmeldedaten auf Administratorebene von Medibank auf einem privaten Gerät speicherte. Dieses Gerät war mit Malware infiziert, die es den Angreifern ermöglichte, die Benutzerdaten abzugreifen. Da das Fernzugriffssystem von Medibank zu diesem Zeitpunkt keine Multi-Faktor-Authentifizierung (MFA) erforderte, konnten sich die Angreifer mit diesen gestohlenen Zugangsdaten in das Unternehmensnetzwerk einloggen und erschienen dabei als autorisierte Benutzer. ### 2.2 Datendiebstahl und verzögerte Reaktion von Medibank Einmal im System von Medibank, installierten die Kriminellen ein Skript, um nach sensiblen Kundeninformationen zu suchen und diese zu extrahieren. Sie komprimierten diese Daten und übertrugen sie durch eine eingebaute Hintertür aus dem Netzwerk. Obwohl die Sicherheitstools des Unternehmens verdächtige Aktivitäten meldeten, wurden diese Warnungen nicht mit der erforderlichen Dringlichkeit verfolgt. Als das Sicherheitsteam von Medibank endlich handelte und den Zugang der Angreifer sperrte, waren bereits 200 GB an persönlichen Daten gestohlen worden. ### 2.3 Lösegeldforderungen und Datenlecks Die gestohlenen Informationen umfassten: - Namen - Geburtsdaten - Passdaten - Medicare-Nummern Mit diesen Daten im Besitz forderten die Angreifer ein Lösegeld von 10 Mio. US-Dollar, um von einer Veröffentlichung abzusehen. Medibank weigerte sich zu zahlen, da sie davon ausgingen, dass dies weitere Angriffe fördern würde. Daraufhin begannen die Kriminellen, als Reaktion Teile der Daten im Darknet zu veröffentlichen, was zusätzlichen Druck auf das Unternehmen ausübte. ## 3. Die wichtigsten Schwachstellen in der Sicherheit von Medibank Das Medibank-Datenleck zeigte mehrere kritische Schwachstellen in der Cybersicherheitsabwehr des Unternehmens auf. Indem Medibank es versäumte, diese wesentlichen Sicherheitskontrollen zu implementieren, schuf das Unternehmen Möglichkeiten für Angreifer, privilegierte Zugriffe auszunutzen, interne Systeme zu durchsuchen und sensible Daten zu exfiltrieren. Hier sind die wichtigsten Schwachstellen, die zu dem Vorfall beigetragen haben: ### 3.1 Mangelnder Schutz von Anmeldeinformationen Medibanks Versäumnis, privilegierte Zugangsdaten zu schützen, ermöglichte es den Angreifern, anfängliche Sicherheitsmaßnahmen zu umgehen, da keine 2FA/MFA vorhanden war, und das Login anschließend innerhalb des Systems zu nutzen. ### 3.2 Fehlen des Prinzips der geringsten Rechte (POLP) Das Mitarbeiterkonto, das die Hacker im Darknet gekauft hatten, verfügte über mehr Zugriffsrechte, als für die Ausführung der täglichen Aufgaben erforderlich waren, was das Risiko einer Kompromittierung hochprivilegierter Konten erhöhte. Dadurch konnten die Angreifer direkt auf kritische Daten zugreifen. ### 3.3 Unzureichende Netzwerksegmentierung Die mangelnde Netzwerksegmentierung erleichterte es den Angreifern, sensible Daten zu lokalisieren und zu exfiltrieren. Ohne isolierte Zonen oder robuste Zugriffskontrollen konnten die Angreifer ohne nennenswerte Hindernisse auf die Datenbank zugreifen. ### 3.4 Verzögerte Erkennung von Hintertüren Trotz der schließlichen Entdeckung des Lecks ermöglichte die verzögerte Reaktion von Medibank den Angreifern, bereits eine erhebliche Menge an Daten herunterzuladen, bevor der Cyberangriff gestoppt wurde. ## 4. Wie hätte das Medibank-Datenleck verhindert werden können? Hier sind vier Strategien, die das Medibank-Datenleck hätten abschwächen oder sogar verhindern können: ### 4.1 Implementierung von Schulungen zum Bewusstsein für Cyberbedrohungen Die Schulung der Mitarbeiter darin, Phishing-Versuche und den Diebstahl von Zugangsdaten zu erkennen, kann das Risiko einer anfänglichen Kompromittierung verringern, da Phishing nach wie vor eine der häufigsten Methoden für den Diebstahl von Anmeldeinformationen ist. ### 4.2 Durchsetzung des Prinzips der geringsten Rechte (POLP) POLP beschränkt den Zugriff auf sensible Systeme und Daten auf diejenigen, die ihn benötigen. Durch die Durchsetzung von POLP hätte Medibank die Angreifer ausbremsen oder sie gänzlich daran hindern können, auf kritische Datenbanken zuzugreifen. ### 4.3 Verwendung von Multi-Faktor-Authentifizierung (MFA) MFA fügt eine zusätzliche Sicherheitsebene hinzu, indem sie über ein reines Passwort hinaus zusätzliche Verifizierungsschritte erfordert. Laut Microsoft kann MFA bis zu 98 % der Versuche, ein Konto zu kompromittieren, verhindern. Adaptive MFA, welche die Anforderungen basierend auf Risikofaktoren anpasst, bietet einen noch stärkeren Schutz. ### 4.4 Implementierung einer robusten Netzwerksegmentierung Die Netzwerksegmentierung isoliert sensible Daten in sicheren Zonen und macht es Angreifern schwerer, diese zu lokalisieren und darauf zuzugreifen. Für zusätzliche Sicherheit können Jump-Server die Verbindungsanfragen zu diesen Zonen steuern und so das Risiko eines unbefugten Zugriffs verringern. ## 5. Fazit Das Medibank-Datenleck unterstreicht den dringenden Bedarf an robusten Cybersicherheitsmaßnahmen in der heutigen digitalen Landschaft. Durch die Implementierung grundlegender Sicherheitspraktiken wie dem Schutz von Zugangsdaten, MFA, POLP und Netzwerksegmentierung können Unternehmen das Risiko, einen ähnlichen Angriff zu erleiden, erheblich reduzieren. Dieser Vorfall ist eine deutliche Erinnerung daran, dass der Schutz sensibler Kundendaten nicht nur eine rechtliche Verpflichtung ist, sondern ein grundlegender Aspekt zur Aufrechterhaltung des Vertrauens im digitalen Zeitalter. ## Häufig gestellte Fragen ### Wie gelangten die Angreifer ursprünglich in das Netzwerk von Medibank? Die Angreifer erlangten Administrator-Anmeldeinformationen von Medibank über das mit Malware infizierte private Gerät eines externen IT-Dienstleisters. Da das Fernzugriffssystem von Medibank zu diesem Zeitpunkt nicht über Multi-Faktor-Authentifizierung verfügte, reichten die gestohlenen Zugangsdaten aus, um sich als autorisierter Benutzer anzumelden. ### Was machte das Medibank-Datenleck so verheerend, sobald die Angreifer im Netzwerk waren? Zwei wesentliche Schwachstellen vergrößerten den Schaden: Das kompromittierte Konto verfügte über weitreichende Berechtigungen, die über die täglichen Aufgaben hinausgingen und das Prinzip der geringsten Rechte verletzten. Zudem ermöglichte eine unzureichende Netzwerksegmentierung den Angreifern, sich frei zu bewegen und sensible Datenbanken ohne nennenswerte Hindernisse ausfindig zu machen und zu extrahieren. ### Welche Sicherheitsmaßnahmen hätten das Medibank-Datenleck am effektivsten verhindert? Die Durchsetzung von MFA an allen Fernzugangspunkten war die wichtigste fehlende Kontrollmaßnahme. Daten von Microsoft zeigen, dass MFA bis zu 98 % der Versuche, Konten zu kompromittieren, blockiert. Die Kombination von MFA mit dem Prinzip der geringsten Rechte und einer robusten Netzwerksegmentierung hätte den Angriff selbst bei gestohlenen Zugangsdaten gestoppt oder deutlich eingeschränkt. ### Warum sollten Unternehmen nach einem Datenleck wie dem von Medibank kein Lösegeld zahlen? Medibank lehnte die Zahlung des Lösegelds von 10 Mio. US-Dollar gezielt ab, da das Unternehmen der Ansicht war, dass eine Zahlung weitere Angriffe auf sie und andere fördern würde. Obwohl die Weigerung zu Datenlecks im Darknet führte, deckt sich diese Haltung mit allgemeinen Sicherheitsempfehlungen, wonach Lösegeldzahlungen keine Datenlöschung garantieren und wiederholte Angriffe begünstigen.