CEO für Cybersicherheit verhaftet, nachdem er angeblich Malware auf Krankenhauscomputern installiert hatte
Der CEO eines Cybersicherheitsunternehmens wurde verhaftet, weil er angeblich Schadsoftware auf Krankenhauscomputern installiert hatte. Dies ist ein schockierender Vertrauensbruch, der die wachsende Bedrohung durch Insider-Angriffe verdeutlicht. Jeffrey Bowie, Chef des in Oklahoma ansässigen Unternehmens Veritaco, wird nach seiner Verhaftung am 14. April 2025 wegen zweier schwerer Straftaten nach dem Computer Crimes Act von Oklahoma angeklagt.
Der Vorfall hat sowohl im Gesundheitswesen als auch in der Cybersicherheitsbranche für Aufsehen gesorgt und kritische Fragen zu den Schwachstellen aufgeworfen, die von Personen ausgehen, die eigentlich gegen Cyberbedrohungen vorgehen – und nicht solche erzeugen sollen.
Inhaltsverzeichnis
Vorwürfe eines beunruhigenden Verstoßes
Gerichtsakten zufolge ereignete sich der mutmaßliche Angriff am 6. August 2024 im St. Anthony Hospital, einer großen medizinischen Einrichtung in Oklahoma City. Überwachungsaufnahmen zeigen Bowie, wie er durch die Flure des Krankenhauses irrte und versuchte, in verschiedene Büros zu gelangen, bevor er auf zwei unbeaufsichtigte Computer stieß. Anschließend soll er Schadsoftware installiert haben, die alle 20 Minuten heimlich Screenshots erstellte und an eine externe IP-Adresse schickte.
Auf Befragen des Krankenhauspersonals behauptete Bowie, er besuche ein Familienmitglied, das operiert werde, und müsse dafür einen Computer benutzen. Eine forensische Untersuchung des IT-Sicherheitsteams von St. Anthony ergab jedoch bald die Installation nicht autorisierter Schadsoftware.
„Am 6. August 2024 wurde eine unbefugte Person identifiziert, die auf einen Krankenhauscomputer zugegriffen und angeblich versucht hatte, Schadsoftware zu installieren“, erklärte SSM Health, das Gesundheitssystem des St. Anthony Hospital, in einer offiziellen Pressemitteilung. „Aufgrund der getroffenen Vorsichtsmaßnahmen wurde das Problem sofort behoben, und es kam zu keinem Zugriff auf Patientendaten.“
Hintergrund zum Angeklagten
Bevor Jeffrey Bowie im August 2023 Veritaco gründete, baute er eine Karriere in der Cybersicherheit auf. Er arbeitete als Senior Cyber Security Engineer bei High Point Networks und hatte mehrere andere Sicherheitspositionen inne. Veritaco, das auf LinkedIn als Spezialist für Cybersicherheit, digitale Forensik und private Geheimdienste beschrieben wird, war ein kleines Unternehmen mit nur einer Handvoll Mitarbeitern.
Der Verstoß ist besonders alarmierend, da Bowie aufgrund seines Hintergrunds die vollen Auswirkungen der Platzierung von Schadsoftware in einem Krankenhaus – einer Umgebung, in der Leben von der Integrität und Zuverlässigkeit von Computersystemen abhängen – verstanden haben muss.
Mögliche Strafen und laufende Ermittlungen
Nach dem Recht Oklahomas können schwere Verstöße gegen den Computer Crimes Act schwerwiegende Folgen haben, darunter Geldstrafen zwischen 5.000 und 100.000 US-Dollar, Freiheitsstrafen von bis zu zehn Jahren oder beides. Sowohl das FBI als auch die örtlichen Strafverfolgungsbehörden ermitteln derzeit weiter in dem Fall.
Obwohl dank des schnellen Eingreifens des Krankenhauspersonals keine Patientenakten kompromittiert wurden, ist der Fall eine deutliche Erinnerung daran, dass Insider-Bedrohungen auch von unerwarteter Seite kommen können – sogar von denen, die uns eigentlich beschützen sollten.
Lehren für den Gesundheitssektor
Gesundheitseinrichtungen sind aufgrund der sensiblen Daten, die sie verarbeiten, bereits heuteein bevorzugtes Ziel von Cyberangriffen . Dieser Vorfall unterstreicht die Bedeutung robuster physischer Sicherheit, strenger Zugangskontrollen, ständiger Überwachung und strenger Überprüfungsverfahren für alle Personen – selbst Anbieter und vermeintliche Experten –, die mit internen Systemen in Kontakt kommen.
Organisationen müssen eine „Vertrauen, aber überprüfen“-Mentalität pflegen und sicherstellen, dass selbst hochqualifizierte Personen keinen unkontrollierten Zugriff auf kritische Infrastrukturen erhalten. Heutzutage geht es bei Cybersicherheit nicht nur um die Abwehr externer Angreifer – die Gefahren von innen können ebenso real und manchmal sogar noch verheerender sein.