Anzeige

Phishing

Das Cyber-Opfer: Die Fortune 500 Versicherungsgesellschaft Magellan Health. Im April 2020 stieß Magellan Health auf eine Sicherheitsverletzung innerhalb seiner Systeme. Ein ausgeklügelter Social-Engineering-Angriff über einen angeblichen Magellan Health-Client, verschaffte Hackern Zugriff auf die Server der Krankenkasse.

Die Folge: ein schwerwiegender Ransomware-Angriff gegen den Versicherer. Monate später wird die Zahl der betroffenen Opfer auf etwa 1,7 Millionen geschätzt. Zu den gehackten Daten gehören personenbezogene Daten sowohl von Mitarbeitern als auch von Kunden. 

Die Cyber-Geschichte

Leider sorgte Magellan nicht zum ersten Mal für schlechte Presse in Sachen Cybersicherheit. Knapp ein Jahr zuvor war das Unternehmen von einer weiteren Datenschutzverletzung infolge eines Phishing-Angriffs betroffen. Lektion gelernt? Eher nicht.  

Die Ereignisse

  • 6. April 2020: Vom Unternehmen unbemerkt, verschaffen Hacker sich über eine ausgeklügelte Social Engineering Phishing-Attacke Zugang zu einem Magellan-Server. Der Angriff läuft über einen angeblichen Magellan Health-Client und eröffnet einen Zugriffspunkt zu den Servern des Versicherers.
  • 6. - 11. April 2020: Der Angreifer zieht sensible Daten ab, darunter Namen, Kontaktdaten, ID-Nummern von Mitarbeitern, Sozialversicherungsnummern und Steueridentifikationsnummern. Die Angreifer installieren anschließend eine Malware und sind darüber in der Lage, weitere Anmeldedaten und Passwörter einiger Magellan-Mitarbeiter zu stehlen.
  • 11. April 2020: Magellan stellt fest, Opfer eines Ransomware-Angriffs geworden zu sein. 
  • Nach dem 11. April 2020: Nach der Entdeckung beauftragt Magellan einen Spezialisten für Cybersicherheitsforensik, die Firma Mandiant, mit der Untersuchung des Vorfalls. 
  • 7. Juli 2020: Am 7. Juli wird ein Bericht an das HHS veröffentlicht, dem zufolge sind 365.000 Patienten von der Datenschutzverletzung betroffen. 
  • 13. August 2020: Die Zahl der betroffenen Personen nimmt weiter zu, wobei viele einzelne Sicherheitsverletzungen von verschiedenen Magellan-Units und mit Magellan verbundenen Unternehmen gemeldet wurden. Die Gesamtzahl liegt nun bei 1,7 Millionen Betroffenen. 

Die betroffenen Systeme / Parteien

Es scheint, dass vor diesem Angriff niemand sicher war. Nach mehreren Runden überarbeiteter Zahlen (beginnend bei der erstmaligen Aufdeckung des Vorfalls im April) ist nun klar, dass die Hacker vermutlich über unterschiedliche Wege Zugang zu verschiedenen Informationen erhalten haben. Der Social-Engineering-Angriff schaffte den Zugang zu einem internen Server und enthüllte vertrauliche Mitarbeiterdaten. Die installierte Malware erlaubte es den Angreifern dann, weiter in die Netzwerke vorzudringen und zusätzliche Anmeldeinformationen und Passwörter zu stehlen. Zu diesem Zeitpunkt wurde fast ein Dutzend Vorfälle gemeldet, und schätzungsweise 1,7 Millionen Personen waren davon betroffen - sowohl intern als auch extern. 

Die Vorgehensweise

Der erste Einstiegspunkt war ein sehr cleverer, aber im Wesentlichen simpler, gezielter Phishing-Angriff. Zwischen 70 und 90 % aller Datenschutzverletzungen lassen sich auf Social Engineering und Phishing-Angriffe zurückführen, wobei der Gesundheitssektor eines der Hauptziele von Hackern ist. Einmal in einem System, kann ein Hacker die Systeme von innen heraus infiltrieren. Im Fall Magellan haben die Angreifer sich über Social Engineering Zugang verschafft, schöpften Mitarbeiterdaten ab und nutzten anschließend eine Malware, um auf weitere Anmeldeinformationen zuzugreifen. Auf dieser Basis wurde dann der Ransomware-Angriff gestartet. Erst zu diesem Zeitpunkt wurde der Angriff aufgedeckt. 

Die abschließende Diagnose

Die Gesundheitsbranche steht im Fokus von Angriffen, und es besteht grundsätzlich ein hohes Risiko für Datenschutzvorfälle. Die Daten, um die es geht, sind lukrativ, die Ransomware-Erlöse für ambitionierte Hacker verlockend. Obwohl einige Gruppen von Cyberkriminellen einen Burgfrieden mit der Gesundheitsbranche während Covid-19 angekündigt hatten, haben wohl nicht alle Hacker das betreffende Memo erhalten (oder gelesen). Und selbst wenn, handelt es sich bei dieser Pause wohl eher um die Ruhe vor dem nächsten Sturm. 

In Deutschland führte ein Hacker-Angriff im Universitätsklinikum Düsseldorf zum schlimmstmöglichen Ergebnis - dem Verlust von Menschenleben. Die Nichtverfügbarkeit eines Systems zwang die Notaufnahme zur Schließung, und die Patientin verstarb bei der Verlegung in ein anderes Krankenhaus. In diesem Fall konnte die Polizei mit dem Angreifer Kontakt aufnehmen, der möglicherweise nicht wusste, dass er ein Krankenhaus erpresst hatte. Daraufhin erklärte er sich bereit, den Verschlüsselungsschlüssel zum Entsperren der Daten zu übergeben. Aber werden Angriffe auch in Zukunft ähnlich schnell beendet werden können? Und wenn ja, um welchen Preis?

Wir sind uns wohl alle darin einig, dass es nicht wert ist, dies herauszufinden. 

Der WannaCry-Angriff von 2017 ist ein weiteres Beispiel für einen schwerwiegenden Angriff auf den Gesundheitssektor (und viele andere Branchen).  Dabei wurden die Daten des British National Health Service eingefroren und Ärzte sahen sich gezwungen, Operationen abzusagen. WannaCry hat ältere Betriebssysteme wie Windows XP und Windows 7 angegriffen, Systeme, die oft noch in teilweise veralteten Umgebungen des Gesundheitswesens laufen. Einmal mehr betont der Vorfall wie wichtig aktuelle Betriebssysteme, Cyberverteidigungsmaßnahmen und Mitarbeiterschulungen sind. 

Die Gesundheitsbranche verarbeitet einige der vertraulichsten und schützenswerten Daten. Vorkehrungen zur Cybersicherheit und Schulungen sind immens wichtig, wenn wir nicht das Leben von Menschen aufs Spiel setzen wollen, gerade, wenn sie am anfälligsten sind. 

Magellan hat den Angriff immerhin als späten Weckruf genutzt: Der Versicherer hat die Sicherheitsprotokolle für Netzwerke, E-Mail-Umgebungen und personenbezogene Daten verstärkt. Für viele Mitarbeiter und Kunden kommt das allerdings ein wenig zu spät. Aber der Vorfall sollte der Gesundheitsbranche als Mahnung dienen, alles in ihrer Macht Stehende zu tun, ihre Daten zu schützen. 

Lea Toms, EMEA Marketing Manager, www.globalsign.com


Artikel zu diesem Thema

Ransomware
Nov 09, 2020

Ransomware wird immer mächtiger

Der Markt für Cyberkriminelle wächst. Wie bereits vor einigen Wochen berichtet, hat sich…
Cyber Security
Nov 06, 2020

Die Cybersicherheit neu überdenken

Mit Blick auf die aktuelle Situation hat das vielbekannte Kredo „Hoffe das Beste, plane…

Weitere Artikel

Virus

Einer von vier E-Mail-Kompromittierungsangriffen nutzt Lookalike-Domains

Die neuesten Daten zu BEC-Betrügereien zeigen, wie böswillige Akteure eine Mischung aus Gmail-Konten, einer Zunahme gestohlener Überweisungen und einer Verlagerung auf Lohnabzweigungen nutzen.
Hacker

Cyberkriminelle wollen Kapital aus dem Thema Steuern schlagen

Erneut versuchen Cyberkriminelle sich weltweit die anstehenden Steuererklärungen vieler Bürger und Unternehmen zunutze zu machen, um Login-Daten zu entwenden und Schadsoftware zu verbreiten.
Hackerangriff

Colonial Pipeline-Hack: Das Stromnetz wurde nicht angegriffen – noch nicht...

Der Colonial Pipeline-Hack war auch insofern bemerkenswert, als dass er der bisher bedeutsamste Ransomware-Angriff auf ein US-Energietransportsystem war, im Gegensatz zu einem reinen Kraftstoffanbieter wie Exxon.
Krankenhaus IT

Krankenhäuser im Visier von Hackern

Leere Tanksäulen, verriegelte Supermarkttüren und der erste digitale Katastrophenfall in Deutschland – Menschen weltweit haben die Folgen der jüngsten Cyberattacken gegen kritische Infrastrukturen (KRITIS) am eigenen Leib gespürt: Erst Colonial Pipeline, dann…
DDoS

Zahl der DDoS-Angriffe sind rasant gestiegen

Die Zahl der DDoS-Attacken erreichte im 1. Halbjahr 2021 einen neuen Höchstwert. Die Zunahme gegenüber dem Vorjahreszeitraum mit seinem DDoS-Boom und einer Verdopplung der Angriffe betrug noch einmal 33 Prozent.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.