Das Cyber-Opfer: Die Fortune 500 Versicherungsgesellschaft Magellan Health. Im April 2020 stieß Magellan Health auf eine Sicherheitsverletzung innerhalb seiner Systeme. Ein ausgeklügelter Social-Engineering-Angriff über einen angeblichen Magellan Health-Client, verschaffte Hackern Zugriff auf die Server der Krankenkasse.
Die Folge: ein schwerwiegender Ransomware-Angriff gegen den Versicherer. Monate später wird die Zahl der betroffenen Opfer auf etwa 1,7 Millionen geschätzt. Zu den gehackten Daten gehören personenbezogene Daten sowohl von Mitarbeitern als auch von Kunden.
Die Cyber-Geschichte
Leider sorgte Magellan nicht zum ersten Mal für schlechte Presse in Sachen Cybersicherheit. Knapp ein Jahr zuvor war das Unternehmen von einer weiteren Datenschutzverletzung infolge eines Phishing-Angriffs betroffen. Lektion gelernt? Eher nicht.
Die Ereignisse
- 6. April 2020: Vom Unternehmen unbemerkt, verschaffen Hacker sich über eine ausgeklügelte Social Engineering Phishing-Attacke Zugang zu einem Magellan-Server. Der Angriff läuft über einen angeblichen Magellan Health-Client und eröffnet einen Zugriffspunkt zu den Servern des Versicherers.
- 6. – 11. April 2020: Der Angreifer zieht sensible Daten ab, darunter Namen, Kontaktdaten, ID-Nummern von Mitarbeitern, Sozialversicherungsnummern und Steueridentifikationsnummern. Die Angreifer installieren anschließend eine Malware und sind darüber in der Lage, weitere Anmeldedaten und Passwörter einiger Magellan-Mitarbeiter zu stehlen.
- 11. April 2020: Magellan stellt fest, Opfer eines Ransomware-Angriffs geworden zu sein.
- Nach dem 11. April 2020: Nach der Entdeckung beauftragt Magellan einen Spezialisten für Cybersicherheitsforensik, die Firma Mandiant, mit der Untersuchung des Vorfalls.
- 7. Juli 2020: Am 7. Juli wird ein Bericht an das HHS veröffentlicht, dem zufolge sind 365.000 Patienten von der Datenschutzverletzung betroffen.
- 13. August 2020: Die Zahl der betroffenen Personen nimmt weiter zu, wobei viele einzelne Sicherheitsverletzungen von verschiedenen Magellan-Units und mit Magellan verbundenen Unternehmen gemeldet wurden. Die Gesamtzahl liegt nun bei 1,7 Millionen Betroffenen.
Die betroffenen Systeme / Parteien
Es scheint, dass vor diesem Angriff niemand sicher war. Nach mehreren Runden überarbeiteter Zahlen (beginnend bei der erstmaligen Aufdeckung des Vorfalls im April) ist nun klar, dass die Hacker vermutlich über unterschiedliche Wege Zugang zu verschiedenen Informationen erhalten haben. Der Social-Engineering-Angriff schaffte den Zugang zu einem internen Server und enthüllte vertrauliche Mitarbeiterdaten. Die installierte Malware erlaubte es den Angreifern dann, weiter in die Netzwerke vorzudringen und zusätzliche Anmeldeinformationen und Passwörter zu stehlen. Zu diesem Zeitpunkt wurde fast ein Dutzend Vorfälle gemeldet, und schätzungsweise 1,7 Millionen Personen waren davon betroffen – sowohl intern als auch extern.
Die Vorgehensweise
Der erste Einstiegspunkt war ein sehr cleverer, aber im Wesentlichen simpler, gezielter Phishing-Angriff. Zwischen 70 und 90 % aller Datenschutzverletzungen lassen sich auf Social Engineering und Phishing-Angriffe zurückführen, wobei der Gesundheitssektor eines der Hauptziele von Hackern ist. Einmal in einem System, kann ein Hacker die Systeme von innen heraus infiltrieren. Im Fall Magellan haben die Angreifer sich über Social Engineering Zugang verschafft, schöpften Mitarbeiterdaten ab und nutzten anschließend eine Malware, um auf weitere Anmeldeinformationen zuzugreifen. Auf dieser Basis wurde dann der Ransomware-Angriff gestartet. Erst zu diesem Zeitpunkt wurde der Angriff aufgedeckt.
Die abschließende Diagnose
Die Gesundheitsbranche steht im Fokus von Angriffen, und es besteht grundsätzlich ein hohes Risiko für Datenschutzvorfälle. Die Daten, um die es geht, sind lukrativ, die Ransomware-Erlöse für ambitionierte Hacker verlockend. Obwohl einige Gruppen von Cyberkriminellen einen Burgfrieden mit der Gesundheitsbranche während Covid-19 angekündigt hatten, haben wohl nicht alle Hacker das betreffende Memo erhalten (oder gelesen). Und selbst wenn, handelt es sich bei dieser Pause wohl eher um die Ruhe vor dem nächsten Sturm.
In Deutschland führte ein Hacker-Angriff im Universitätsklinikum Düsseldorf zum schlimmstmöglichen Ergebnis – dem Verlust von Menschenleben. Die Nichtverfügbarkeit eines Systems zwang die Notaufnahme zur Schließung, und die Patientin verstarb bei der Verlegung in ein anderes Krankenhaus. In diesem Fall konnte die Polizei mit dem Angreifer Kontakt aufnehmen, der möglicherweise nicht wusste, dass er ein Krankenhaus erpresst hatte. Daraufhin erklärte er sich bereit, den Verschlüsselungsschlüssel zum Entsperren der Daten zu übergeben. Aber werden Angriffe auch in Zukunft ähnlich schnell beendet werden können? Und wenn ja, um welchen Preis?
Wir sind uns wohl alle darin einig, dass es nicht wert ist, dies herauszufinden.
Der WannaCry-Angriff von 2017 ist ein weiteres Beispiel für einen schwerwiegenden Angriff auf den Gesundheitssektor (und viele andere Branchen). Dabei wurden die Daten des British National Health Service eingefroren und Ärzte sahen sich gezwungen, Operationen abzusagen. WannaCry hat ältere Betriebssysteme wie Windows XP und Windows 7 angegriffen, Systeme, die oft noch in teilweise veralteten Umgebungen des Gesundheitswesens laufen. Einmal mehr betont der Vorfall wie wichtig aktuelle Betriebssysteme, Cyberverteidigungsmaßnahmen und Mitarbeiterschulungen sind.
Die Gesundheitsbranche verarbeitet einige der vertraulichsten und schützenswerten Daten. Vorkehrungen zur Cybersicherheit und Schulungen sind immens wichtig, wenn wir nicht das Leben von Menschen aufs Spiel setzen wollen, gerade, wenn sie am anfälligsten sind.
Magellan hat den Angriff immerhin als späten Weckruf genutzt: Der Versicherer hat die Sicherheitsprotokolle für Netzwerke, E-Mail-Umgebungen und personenbezogene Daten verstärkt. Für viele Mitarbeiter und Kunden kommt das allerdings ein wenig zu spät. Aber der Vorfall sollte der Gesundheitsbranche als Mahnung dienen, alles in ihrer Macht Stehende zu tun, ihre Daten zu schützen.
Lea Toms, EMEA Marketing Manager, www.globalsign.com