Anzeige

Phishing

Das Cyber-Opfer: Die Fortune 500 Versicherungsgesellschaft Magellan Health. Im April 2020 stieß Magellan Health auf eine Sicherheitsverletzung innerhalb seiner Systeme. Ein ausgeklügelter Social-Engineering-Angriff über einen angeblichen Magellan Health-Client, verschaffte Hackern Zugriff auf die Server der Krankenkasse.

Die Folge: ein schwerwiegender Ransomware-Angriff gegen den Versicherer. Monate später wird die Zahl der betroffenen Opfer auf etwa 1,7 Millionen geschätzt. Zu den gehackten Daten gehören personenbezogene Daten sowohl von Mitarbeitern als auch von Kunden. 

Die Cyber-Geschichte

Leider sorgte Magellan nicht zum ersten Mal für schlechte Presse in Sachen Cybersicherheit. Knapp ein Jahr zuvor war das Unternehmen von einer weiteren Datenschutzverletzung infolge eines Phishing-Angriffs betroffen. Lektion gelernt? Eher nicht.  

Die Ereignisse

  • 6. April 2020: Vom Unternehmen unbemerkt, verschaffen Hacker sich über eine ausgeklügelte Social Engineering Phishing-Attacke Zugang zu einem Magellan-Server. Der Angriff läuft über einen angeblichen Magellan Health-Client und eröffnet einen Zugriffspunkt zu den Servern des Versicherers.
  • 6. - 11. April 2020: Der Angreifer zieht sensible Daten ab, darunter Namen, Kontaktdaten, ID-Nummern von Mitarbeitern, Sozialversicherungsnummern und Steueridentifikationsnummern. Die Angreifer installieren anschließend eine Malware und sind darüber in der Lage, weitere Anmeldedaten und Passwörter einiger Magellan-Mitarbeiter zu stehlen.
  • 11. April 2020: Magellan stellt fest, Opfer eines Ransomware-Angriffs geworden zu sein. 
  • Nach dem 11. April 2020: Nach der Entdeckung beauftragt Magellan einen Spezialisten für Cybersicherheitsforensik, die Firma Mandiant, mit der Untersuchung des Vorfalls. 
  • 7. Juli 2020: Am 7. Juli wird ein Bericht an das HHS veröffentlicht, dem zufolge sind 365.000 Patienten von der Datenschutzverletzung betroffen. 
  • 13. August 2020: Die Zahl der betroffenen Personen nimmt weiter zu, wobei viele einzelne Sicherheitsverletzungen von verschiedenen Magellan-Units und mit Magellan verbundenen Unternehmen gemeldet wurden. Die Gesamtzahl liegt nun bei 1,7 Millionen Betroffenen. 

Die betroffenen Systeme / Parteien

Es scheint, dass vor diesem Angriff niemand sicher war. Nach mehreren Runden überarbeiteter Zahlen (beginnend bei der erstmaligen Aufdeckung des Vorfalls im April) ist nun klar, dass die Hacker vermutlich über unterschiedliche Wege Zugang zu verschiedenen Informationen erhalten haben. Der Social-Engineering-Angriff schaffte den Zugang zu einem internen Server und enthüllte vertrauliche Mitarbeiterdaten. Die installierte Malware erlaubte es den Angreifern dann, weiter in die Netzwerke vorzudringen und zusätzliche Anmeldeinformationen und Passwörter zu stehlen. Zu diesem Zeitpunkt wurde fast ein Dutzend Vorfälle gemeldet, und schätzungsweise 1,7 Millionen Personen waren davon betroffen - sowohl intern als auch extern. 

Die Vorgehensweise

Der erste Einstiegspunkt war ein sehr cleverer, aber im Wesentlichen simpler, gezielter Phishing-Angriff. Zwischen 70 und 90 % aller Datenschutzverletzungen lassen sich auf Social Engineering und Phishing-Angriffe zurückführen, wobei der Gesundheitssektor eines der Hauptziele von Hackern ist. Einmal in einem System, kann ein Hacker die Systeme von innen heraus infiltrieren. Im Fall Magellan haben die Angreifer sich über Social Engineering Zugang verschafft, schöpften Mitarbeiterdaten ab und nutzten anschließend eine Malware, um auf weitere Anmeldeinformationen zuzugreifen. Auf dieser Basis wurde dann der Ransomware-Angriff gestartet. Erst zu diesem Zeitpunkt wurde der Angriff aufgedeckt. 

Die abschließende Diagnose

Die Gesundheitsbranche steht im Fokus von Angriffen, und es besteht grundsätzlich ein hohes Risiko für Datenschutzvorfälle. Die Daten, um die es geht, sind lukrativ, die Ransomware-Erlöse für ambitionierte Hacker verlockend. Obwohl einige Gruppen von Cyberkriminellen einen Burgfrieden mit der Gesundheitsbranche während Covid-19 angekündigt hatten, haben wohl nicht alle Hacker das betreffende Memo erhalten (oder gelesen). Und selbst wenn, handelt es sich bei dieser Pause wohl eher um die Ruhe vor dem nächsten Sturm. 

In Deutschland führte ein Hacker-Angriff im Universitätsklinikum Düsseldorf zum schlimmstmöglichen Ergebnis - dem Verlust von Menschenleben. Die Nichtverfügbarkeit eines Systems zwang die Notaufnahme zur Schließung, und die Patientin verstarb bei der Verlegung in ein anderes Krankenhaus. In diesem Fall konnte die Polizei mit dem Angreifer Kontakt aufnehmen, der möglicherweise nicht wusste, dass er ein Krankenhaus erpresst hatte. Daraufhin erklärte er sich bereit, den Verschlüsselungsschlüssel zum Entsperren der Daten zu übergeben. Aber werden Angriffe auch in Zukunft ähnlich schnell beendet werden können? Und wenn ja, um welchen Preis?

Wir sind uns wohl alle darin einig, dass es nicht wert ist, dies herauszufinden. 

Der WannaCry-Angriff von 2017 ist ein weiteres Beispiel für einen schwerwiegenden Angriff auf den Gesundheitssektor (und viele andere Branchen).  Dabei wurden die Daten des British National Health Service eingefroren und Ärzte sahen sich gezwungen, Operationen abzusagen. WannaCry hat ältere Betriebssysteme wie Windows XP und Windows 7 angegriffen, Systeme, die oft noch in teilweise veralteten Umgebungen des Gesundheitswesens laufen. Einmal mehr betont der Vorfall wie wichtig aktuelle Betriebssysteme, Cyberverteidigungsmaßnahmen und Mitarbeiterschulungen sind. 

Die Gesundheitsbranche verarbeitet einige der vertraulichsten und schützenswerten Daten. Vorkehrungen zur Cybersicherheit und Schulungen sind immens wichtig, wenn wir nicht das Leben von Menschen aufs Spiel setzen wollen, gerade, wenn sie am anfälligsten sind. 

Magellan hat den Angriff immerhin als späten Weckruf genutzt: Der Versicherer hat die Sicherheitsprotokolle für Netzwerke, E-Mail-Umgebungen und personenbezogene Daten verstärkt. Für viele Mitarbeiter und Kunden kommt das allerdings ein wenig zu spät. Aber der Vorfall sollte der Gesundheitsbranche als Mahnung dienen, alles in ihrer Macht Stehende zu tun, ihre Daten zu schützen. 

Lea Toms, EMEA Marketing Manager, www.globalsign.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Ransomware
Nov 09, 2020

Ransomware wird immer mächtiger

Der Markt für Cyberkriminelle wächst. Wie bereits vor einigen Wochen berichtet, hat sich…
Cyber Security
Nov 06, 2020

Die Cybersicherheit neu überdenken

Mit Blick auf die aktuelle Situation hat das vielbekannte Kredo „Hoffe das Beste, plane…

Weitere Artikel

RDP

Home-Offices unter Beschuss: RDP-Angriffe steigen um 4.516 Prozent

Cyberkriminelle haben es in Deutschland, Österreich und der Schweiz massiv auf Unternehmen und deren Arbeitnehmer im Home-Office abgesehen. Allein im Dezember 2020 registrierte der europäische IT-Sicherheitshersteller ESET in diesen drei Ländern täglich…
Cybercrime

So setzen Hacker Cyberbedrohungen gezielt in der COVID-19-Pandemie ein

BlackBerry veröffentlicht den aktuellen BlackBerry Threat Report 2021, der einen starken Anstieg von Cyberbedrohungen für Unternehmen seit Beginn der COVID-19-Pandemie zeigt. Zudem lässt sich belegen, dass sich Cyberkriminelle nicht nur an neue Gewohnheiten…
Cybercrime

Bedrohungsanalyse 2020: Cyberattacken im Sekundentakt

Die Pandemie bleibt ein Fest für Kriminelle - sie nutzen die Verunsicherung der Menschen für Angriffe aus. Laut der aktuellen Bedrohungsanalyse von G DATA CyberDefense stieg die Zahl der abgewehrten Angriffsversuche im zweiten Halbjahr 2020 um 85 Prozent.
Phishing

Phishing-Kampagnen: Wer ist besonders gefährdet?

Mit Gmail ist Google einer der größten E-Mail-Anbieter weltweit und zählt sowohl Privatpersonen als auch Unternehmen zu seinen Kunden. Einer der wichtigsten Faktoren bei der Auswahl des Providers dürfte für Unternehmen dabei das Thema Sicherheit sein. Dazu…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!