Anzeige

Phishing

Das Cyber-Opfer: Die Fortune 500 Versicherungsgesellschaft Magellan Health. Im April 2020 stieß Magellan Health auf eine Sicherheitsverletzung innerhalb seiner Systeme. Ein ausgeklügelter Social-Engineering-Angriff über einen angeblichen Magellan Health-Client, verschaffte Hackern Zugriff auf die Server der Krankenkasse.

Die Folge: ein schwerwiegender Ransomware-Angriff gegen den Versicherer. Monate später wird die Zahl der betroffenen Opfer auf etwa 1,7 Millionen geschätzt. Zu den gehackten Daten gehören personenbezogene Daten sowohl von Mitarbeitern als auch von Kunden. 

Die Cyber-Geschichte

Leider sorgte Magellan nicht zum ersten Mal für schlechte Presse in Sachen Cybersicherheit. Knapp ein Jahr zuvor war das Unternehmen von einer weiteren Datenschutzverletzung infolge eines Phishing-Angriffs betroffen. Lektion gelernt? Eher nicht.  

Die Ereignisse

  • 6. April 2020: Vom Unternehmen unbemerkt, verschaffen Hacker sich über eine ausgeklügelte Social Engineering Phishing-Attacke Zugang zu einem Magellan-Server. Der Angriff läuft über einen angeblichen Magellan Health-Client und eröffnet einen Zugriffspunkt zu den Servern des Versicherers.
  • 6. - 11. April 2020: Der Angreifer zieht sensible Daten ab, darunter Namen, Kontaktdaten, ID-Nummern von Mitarbeitern, Sozialversicherungsnummern und Steueridentifikationsnummern. Die Angreifer installieren anschließend eine Malware und sind darüber in der Lage, weitere Anmeldedaten und Passwörter einiger Magellan-Mitarbeiter zu stehlen.
  • 11. April 2020: Magellan stellt fest, Opfer eines Ransomware-Angriffs geworden zu sein. 
  • Nach dem 11. April 2020: Nach der Entdeckung beauftragt Magellan einen Spezialisten für Cybersicherheitsforensik, die Firma Mandiant, mit der Untersuchung des Vorfalls. 
  • 7. Juli 2020: Am 7. Juli wird ein Bericht an das HHS veröffentlicht, dem zufolge sind 365.000 Patienten von der Datenschutzverletzung betroffen. 
  • 13. August 2020: Die Zahl der betroffenen Personen nimmt weiter zu, wobei viele einzelne Sicherheitsverletzungen von verschiedenen Magellan-Units und mit Magellan verbundenen Unternehmen gemeldet wurden. Die Gesamtzahl liegt nun bei 1,7 Millionen Betroffenen. 

Die betroffenen Systeme / Parteien

Es scheint, dass vor diesem Angriff niemand sicher war. Nach mehreren Runden überarbeiteter Zahlen (beginnend bei der erstmaligen Aufdeckung des Vorfalls im April) ist nun klar, dass die Hacker vermutlich über unterschiedliche Wege Zugang zu verschiedenen Informationen erhalten haben. Der Social-Engineering-Angriff schaffte den Zugang zu einem internen Server und enthüllte vertrauliche Mitarbeiterdaten. Die installierte Malware erlaubte es den Angreifern dann, weiter in die Netzwerke vorzudringen und zusätzliche Anmeldeinformationen und Passwörter zu stehlen. Zu diesem Zeitpunkt wurde fast ein Dutzend Vorfälle gemeldet, und schätzungsweise 1,7 Millionen Personen waren davon betroffen - sowohl intern als auch extern. 

Die Vorgehensweise

Der erste Einstiegspunkt war ein sehr cleverer, aber im Wesentlichen simpler, gezielter Phishing-Angriff. Zwischen 70 und 90 % aller Datenschutzverletzungen lassen sich auf Social Engineering und Phishing-Angriffe zurückführen, wobei der Gesundheitssektor eines der Hauptziele von Hackern ist. Einmal in einem System, kann ein Hacker die Systeme von innen heraus infiltrieren. Im Fall Magellan haben die Angreifer sich über Social Engineering Zugang verschafft, schöpften Mitarbeiterdaten ab und nutzten anschließend eine Malware, um auf weitere Anmeldeinformationen zuzugreifen. Auf dieser Basis wurde dann der Ransomware-Angriff gestartet. Erst zu diesem Zeitpunkt wurde der Angriff aufgedeckt. 

Die abschließende Diagnose

Die Gesundheitsbranche steht im Fokus von Angriffen, und es besteht grundsätzlich ein hohes Risiko für Datenschutzvorfälle. Die Daten, um die es geht, sind lukrativ, die Ransomware-Erlöse für ambitionierte Hacker verlockend. Obwohl einige Gruppen von Cyberkriminellen einen Burgfrieden mit der Gesundheitsbranche während Covid-19 angekündigt hatten, haben wohl nicht alle Hacker das betreffende Memo erhalten (oder gelesen). Und selbst wenn, handelt es sich bei dieser Pause wohl eher um die Ruhe vor dem nächsten Sturm. 

In Deutschland führte ein Hacker-Angriff im Universitätsklinikum Düsseldorf zum schlimmstmöglichen Ergebnis - dem Verlust von Menschenleben. Die Nichtverfügbarkeit eines Systems zwang die Notaufnahme zur Schließung, und die Patientin verstarb bei der Verlegung in ein anderes Krankenhaus. In diesem Fall konnte die Polizei mit dem Angreifer Kontakt aufnehmen, der möglicherweise nicht wusste, dass er ein Krankenhaus erpresst hatte. Daraufhin erklärte er sich bereit, den Verschlüsselungsschlüssel zum Entsperren der Daten zu übergeben. Aber werden Angriffe auch in Zukunft ähnlich schnell beendet werden können? Und wenn ja, um welchen Preis?

Wir sind uns wohl alle darin einig, dass es nicht wert ist, dies herauszufinden. 

Der WannaCry-Angriff von 2017 ist ein weiteres Beispiel für einen schwerwiegenden Angriff auf den Gesundheitssektor (und viele andere Branchen).  Dabei wurden die Daten des British National Health Service eingefroren und Ärzte sahen sich gezwungen, Operationen abzusagen. WannaCry hat ältere Betriebssysteme wie Windows XP und Windows 7 angegriffen, Systeme, die oft noch in teilweise veralteten Umgebungen des Gesundheitswesens laufen. Einmal mehr betont der Vorfall wie wichtig aktuelle Betriebssysteme, Cyberverteidigungsmaßnahmen und Mitarbeiterschulungen sind. 

Die Gesundheitsbranche verarbeitet einige der vertraulichsten und schützenswerten Daten. Vorkehrungen zur Cybersicherheit und Schulungen sind immens wichtig, wenn wir nicht das Leben von Menschen aufs Spiel setzen wollen, gerade, wenn sie am anfälligsten sind. 

Magellan hat den Angriff immerhin als späten Weckruf genutzt: Der Versicherer hat die Sicherheitsprotokolle für Netzwerke, E-Mail-Umgebungen und personenbezogene Daten verstärkt. Für viele Mitarbeiter und Kunden kommt das allerdings ein wenig zu spät. Aber der Vorfall sollte der Gesundheitsbranche als Mahnung dienen, alles in ihrer Macht Stehende zu tun, ihre Daten zu schützen. 

Lea Toms, EMEA Marketing Manager, www.globalsign.com


Artikel zu diesem Thema

Ransomware
Nov 09, 2020

Ransomware wird immer mächtiger

Der Markt für Cyberkriminelle wächst. Wie bereits vor einigen Wochen berichtet, hat sich…
Cyber Security
Nov 06, 2020

Die Cybersicherheit neu überdenken

Mit Blick auf die aktuelle Situation hat das vielbekannte Kredo „Hoffe das Beste, plane…

Weitere Artikel

Bot

Emotet ist tot! ­ Lang lebe Qbot!

Der aktuelle Bedrohungsreport von G DATA zeigt, dass Cyberkriminelle bereits einen Nachfolger für Emotet gefunden haben: Qbot. Bei fast jedem vierten abgewehrten Angriff war die Schadsoftware mit von der Partie. Die Zahlen belegen, dass im ersten Quartal…
Ransomware

Massiver Ransomware-Angriff auf Pipeline-Betreiber

Am Wochenende vermeldeten internationale Medien einen Cyberangriff (Ransomware-Attacke mit einer beute von rund 100 Gigabyte) auf den größten Pipeline-Betreiber in den USA, Colonial Pipeline, der dessen Betrieb lahmlegte.
Phishing

Finanzdienstleister im Visier: 125 Prozent mehr Phishing-Angriffe im Jahr 2020

Lookout, ein Unternehmen für integrierte Endpoint-to-Cloud-Sicherheit, veröffentlicht aktuell einen Bericht, aus dem hervorgeht, dass sich das Risiko für mobiles Phishing bei Finanzdienstleistern und Versicherungen zwischen 2019 und 2020 verdoppelt hat.
Passwortmanagement

Passwörter öffnen Hackern Tür und Tor

Passwort ist gar nicht so schwer. „Am Weltpassworttag sollte man seine Zugangsdaten nicht vergessen.
Phishing

Wachsende Gefahr durch OAuth-Attacken

Mit den bereits vor einigen Jahren eingeführten Applikationen auf Basis von Open Authorization (OAuth) konnten die großen Cloud-Plattformen wie Microsoft 365 und Google Workspace ihren Funktionsumfang vergrößern und gleichzeitig ihre Benutzeroberflächen…
Backdoor

Chinesische APT-Backdoor richtet sich gegen den russischen Verteidigungssektor

Das Cybereason Nocturnus Team untersucht in seinem Bericht die jüngsten Entwicklungen beim RoyalRoad Weaponizer, auch bekannt als 8.t Dropper / RTF Exploit Builder. Im Laufe der Jahre ist dieses Tool Bestandteil der Arsenale verschiedener chinesischer…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.