Ich greife nochmals ein Thema auf, welches seit Wochen erhebliche Wellen schlägt. Es geht um den erfolgreichen Cyberangriff auf den US-Anbieter Change Healthcare der UnitedHealth Group. Der Anbieter von Abrechnungsleistungen im US-Gesundheitssystem war Opfer zweier Ransomware-Angriffe und hat sogar Lösegeld gezahlt. Die Angriffe habe das US-Gesundheitssystem an den Rand des Kollapses gebracht, und dem Unternehmen eine Milliarde US-Dollar Umsatzeinbuße beschert. Inzwischen wurde auch bekannt, dass ein Angriff über einen ungesicherten Citrix VPN-Zugang erfolgen konnte. Nette Vorzeichen, wenn wir an Deutschland mit seinen Digitalisierungsplänen in der Medizin (Stichwort ePA) und an die EU mit ihrem European Health Data Space (EHDS) denken.
Anzeige
Wer ist Change Healthcare?
Change Healthcare ist ein Anbieter von Umsatz- und Zahlungsabwicklungsmanagement für das amerikanischen Gesundheitssystem. Der Anbieter wickelt praktisch alle Zahlungen zwischen den Kostenträgern, den Anbietern von Gesundheitsleistungen und den Patienten innerhalb der USA ab.
Der Hauptsitz des Unternehmens befindet sich in Nashville, Tennessee, mit mehr als 89 weiteren Standorten in den Vereinigten Staaten, Kanada, Neuseeland, Israel, Taiwan, dem Vereinigten Königreich und den Philippinen. Change Healthcare ist wohl der größte US-Anbieter in diesem Bereich und gehört zur UnitedHealth Group.
1. Cyberangriff auf Change Healthcare
Das Unternehmen wurde am 21. Februar 2024 das Opfer eines Cyberangriffs durch die Ransomware-Gruppe ALPHV/Blackcat (siehe Nachlese Datenlecks und Hacks der Woche (23. Feb. 2024)). Als Folge dieses Angriffs fielen sie IT-Systeme aus, was die Auszahlungen von Leistungen an Ärzte verhinderte. Infolge des Angriffs konnten elektronische Zahlungen und medizinische Forderungen von der UnitedHealth Group nicht bearbeitet werden. In Folge kam es zu weitreichenden Störungen in der gesamten USA.
- Patienten waren gezwungen, viele ihrer Medikamente aus eigener Tasche zu bezahlen, anstatt Medikamentencoupons oder Zuzahlungen zu verwenden.
- Viele Gesundheitsdienstleister gaben an, durch die Störung erhebliche Einnahmeverluste erlitten zu haben, die sich auf bis zu 100 Millionen US-Dollar pro Tag beliefen, und eine Reihe Anbieter waren von Insolvenz bedroht.
Infolge des Cyberangriffs leitete das U.S. Department of Health and Human Services (HHS) eine Bürgerrechtsuntersuchung in Bezug auf den Datenschutz von Patienten ein. Die Verantwortlichen des Unternehmens entschlossen sich, eine Zahlung von fast 22 Millionen US-Dollar an die ALPHV zu leisten (siehe auch).
Anzeige
Im Blog-Beitrag Sicherheitsvorfälle März/April 2024 (Stand 9.4.2024) hatte ich dann offen gelegt, dass Change Healthcare Opfer einer zweiten Ransomwaregruppe RansomHub geworden sei. Bei diesem Vorfall flossen 4 TByte an Daten ab – ein Bericht findet sich bei The Register.
Die Cybervorfälle haben aber nicht nur den Ausfall der Zahlungsleistungen im US-Gesundheitssystem durch die Betriebsunterbrechung zur Folge. Es sieht auch so aus, als ob die persönlichen Daten eines substantiellen Anteils der US-Bürger nun in den Händen von Cyberkriminellen sind. In obigem Tweet weist Brett Callow, Cyber-Security-Analyst von EMSiSoft auf diesen Bericht von Techcrunch hin. Es wird davon ausgegangen, dass ein Drittel bis zur Hälfte der US-Bürger irgendwie von diesen Vorfällen betroffen ist. Der Anbieter versuchte im April 2024 in diesem Beitrag zu retten, was eigentlich nicht mehr zu retten ist. Es geht nur noch irgendwie um Schadensbegrenzung für die Kunden.
Hacker eine Woche vorher im System
Das Wallstreet Journal (WSJ) schreibt in diesem Beitrag, dass die Angreifer der ALPHV-Ransomware-Gang mehr als eine Woche lang in den Netzwerken des Unternehmens unterwegs waren, bevor sie einen Ransomware-Angriff starteten. Der erste Zugriff konnte durch die Hacker bereits am 12. Februar 2024 erlangt werden. Dabei wurden kompromittierte Anmeldedaten für eine Anwendung missbraucht, die Mitarbeitern den Remote-Zugriff auf Systeme ermöglichte, wie man dieser Anhörung des CEO der Gruppe entnehmen kann. Der CEO hat wohl auch die Entscheidung getroffen, ein Lösegeld an die Ransomware-Gruppe zu zahlen.
Bei den Kollegen von Bleeping Computer gibt es in diesem Artikel noch etwas mehr Details. In einer Anhörung hat UnitedHealth bestätigt, dass die Ransomware-Bande BlackCat/ALPHV über gestohlene Zugangsdaten für einen Citrix Remote-Zugang in das Netzwerk eindringen konnte. Die Citrix-Anmeldedaten von Change Healthcare wurden vorher durch eine Malware vom System abgezogen. Es war keine Multi-Faktor-Authentifizierung für diesen Citrix-Remote-Zugang aktiviert.
Zwischen dem 12. Februar 2024 und der Auslösung der Ransomware-Infektion am 21. Februar ermöglichte den Angreifern sich umfangreich im Netzwerk des Anbieters zu bewegen und erhebliche Datenmengen aus den Systemen abzuziehen.
Kosten von über 1 Milliarde US-Dollar?
Mitte April 2024 wurden dann erste Finanzdaten bekannt. Die Cyberangriffe auf Change Healthcare führten bisher zu Schäden in Milliardenhöhe, wie z.B. The Register in diesem Beitrag offen legt. UnitedHealth, die Muttergesellschaft des von Ransomware angegriffenen Unternehmens Change Healthcare, beziffert die Gesamtkosten für die Bewältigung des Cyberangriffs vom Februar 2024 für das erste Kalenderquartal 2024 auf 872 Millionen US-Dollar.
Hinzu kommen Vorfinanzierungen und zinslose Darlehen, die UnitedHealth den von der Störung betroffenen Leistungserbringern zur Verfügung gestellt hat – eine Summe, die sich auf über 6 Milliarden US-Dollar beläuft. Das Unternehmen warnte in Veröffentlichungen, dass die Gesamtkosten des Cyberangriffs für das Kalenderjahr 2024 auf 1,35 bis 1,6 Milliarden Dollar geschätzt werden.
Cyberrisiken nicht mehr versicherbar
So mancher Geschäftsführer steht ja immer noch auf dem Standpunkt, dass man nur richtig versichert sein muss, um das Risiko eines Cyberangriffs abzusichern. Das ist aber ein Trugschluss, den ich bereits im Dezember 2022 im Beitrag WWK Versicherungen vom Cyberangriff betroffen, Attacken bald nicht mehr versicherbar schon mal angesprochen hatte. Hintergrund war, dass Mario Greco, Geschäftsführer der Zurich Versicherungsgruppe mit Sitz in Zürich in einem Statement gegenüber der FT davor warnte, dass Cyberangriffe künftig "nicht mehr versicherbar" seien, da die Störungen durch Hackerangriffe weiter zunehmen. Greco sagte gegenüber der FT: "Was nicht mehr versicherbar sein wird, wird Cyber sein. Zunächst einmal muss die Erkenntnis entstehen, dass es nicht nur um Daten geht. Es geht um die Zivilisation. Diese Leute können unser Leben ernsthaft stören." Greco fragt: Was ist, wenn jemand die Kontrolle über lebenswichtige Teile unserer Infrastruktur übernimmt, was sind die Folgen?
In diesem Kontext bin ich Mitte April 2024 auf obigen Tweet gestoßen, in dem Prof. Denis Kipker auf den FAZ-Beitrag Munich Re ruft bei Cyber-Gefahren nach dem Staat verlinkt. Der größte Rückversicherer der Welt, die Munich Re, sieht die Grenzen der Versicherbarkeit von Cyberrisiken und ruft nach einem "staatlichen Schutzschirm". Die Schäden aus katastrophalen systemischen Ereignissen wie einem Cyber-Krieg oder einem Ausfall von kritischer Infrastruktur würden die Kapazität der Branche bei Weitem übersteigen, warnt der Rückversicherer laut FAZ. Solche Szenarien bedrohten die makroökonomische Stabilität. Giovanni Trappatoni hätte das zutreffend mit "Flasche leer" und "ich habe fertig" umschrieben.
Ich denke, so langsam fällt (nicht nur den) US-Versicherern die unzureichende Sicherheit bei der Digitalisierung vor die Füße. Im April 2024 las ich in diesem Artikel, dass 96 % der US-Krankenhaus-Websites Besucherinformationen an Meta, Google und Datenmakler weitergeben – etwas, was in der EU durch die DSGVO untersagt ist.
Und Ende April 2024 berichteten die Kollegen von Bleeping Computer in diesem Beitrag über einen Datenschutzvorfall beim Los Angeles County Department of Health Services. Die Mail-Konten von 23 Mitarbeitern wurden Mitte Februar 2024 per Pishing kompromittiert und die Anmeldedaten gestohlen. Die Angreifer konnten dann auf Tausende von persönlichen Daten und Gesundheitsinformationen von Patienten zugreifen.
Denken wir jetzt in Sachen elektronische Patientenakte weiter, wird mir regelrecht warm ums Herz, denn kommendes Jahr werden die Gesundheitsdaten gesetzlich Versicherter doch endlich (hochsicher) gesammelt und gespeichert. Was kann da schon schief gehen? Ist zwar aus einem anderen Bereich – aber die Marriot-Hotelgruppe musste Ende April 2024 in einer Anhörung eingestehen, dass die 2018 gestohlenen und angeblich verschlüsselten Daten niemals verschlüsselt waren.
Anzeige
naja was erwartet man da auch? Milliardeneinahmen durch Hacking und Strafen die nen Witz sind, (falls überhaupt erwischt werden: der letzte gerade aktuelle Verurteilte Hacker 6 Jahre)… bei den schlampenden Firmen ebenso, kaum wirkliche Strafen.
Nen Schlaraffenland die Digitalisierung!
Für die ContenMAFIA (Siehe aktuelle Urteile zur Vorratsdatenspeicherung) opfert man die Demokratischen Grundrechte und Rechtsstaatlichkeit, aber echte kriminelle Hacker kommen mit nem blauen Auge davon. Tja Kapitalismus ist halt das Wichtigste!