Eine (weitere) Ransomware-Saga mit einer Wendung
Der Gesundheitssektor ist wieder einmal in den Mittelpunkt eines Sturms geraten. Am 21. Februar wurde Change Healthcare, ein Gigant im Bereich der Unterstützungsdienste für das Gesundheitswesen einen verheerenden Cyberangriff durch die berüchtigte BlackCat/ALPHV-Gruppe. Dieser Vorfall hat Schockwellen durch das US-Gesundheitssystem geschickt und Krankenhäuser, Kliniken und Apotheken im ganzen Land in Mitleidenschaft gezogen.
Die Entwicklung des Cyberangriffs
Change Healthcare, das kürzlich von der UnitedHealth Group in einem 8-Milliarden-Dollar-Deal übernommen wurde, ist ein wesentlicher Bestandteil der Gesundheitsinfrastruktur in den USA und mehreren anderen Ländern. Sie bearbeiten jährlich erstaunliche 15 Milliarden Versicherungsansprüche mit einem Gesamtvolumen von über 1,5 Billionen Dollar. Der Einbruch von BlackCat, der gleichen Gruppe, die auch in die Angriffe auf die Kasinos in Las Vegas verwickelt war, zeigt die weit verbreiteten Schwachstellen in der Gesundheitsbranche auf.
Der Modus Operandi des Angriffs bleibt geheimnisvoll, obwohl Spekulationen auf eine Kombination aus Remote-Desktop- und Active-Directory-Brute-Forcing-Techniken hindeuten. Unabhängig von der Art des Eindringens war das Ergebnis eindeutig: Es wurde Ransomware eingesetzt, die über 111 verschiedene Dienste innerhalb des riesigen Netzwerks von Change Healthcare lahmlegte.
Aufgrund der kritischen Position von Change Healthcare in der Branche, wo das Unternehmen Dienstleistungen für Krankenhäuser, Kliniken und Apotheken für Fachleute und Patienten gleichermaßen anbietet, führte der Angriff zu einer landesweiten Lähmung des Gesundheitswesens, bei der Krankenhäuser keine Rechnungen stellen konnten, Apotheken keine Versicherungen abwickeln konnten und zahllose Patienten in einem Zustand der Ungewissheit und finanziellen Notlage zurückgelassen wurden.
Als Teil des Ransomware-Einsatzes wurde eine beträchtliche Menge an Bitcoins gefordert, um die verschlüsselten Daten freizugeben und gleichzeitig gestohlene Daten mit einem kleinen Schwur zu löschen.
Die Regierung schreitet ein
Die Auswirkungen des Angriffs waren so gravierend, dass das Ministerium für Gesundheit und menschliche Dienste (HHS) intervenierte, Leitlinien für Gesundheitsdienstleister und Versicherungsgesellschaften herausgab. Dieser beispiellose Schritt zielte darauf ab, die Krise zu entschärfen, indem unter anderem die Flexibilität bei den Regeln für Vorabgenehmigungen und die Annahme von Anträgen in Papierform gefördert wurde.
Bis zum 7. März hatte Change Healthcare die Systeme zur Einreichung von verschreibungspflichtigen Anträgen und die Zahlungssysteme wiederhergestellt, und bis zum 15. März war die elektronische Zahlungsplattform vollständig wiederhergestellt. Doch der finanzielle und betriebliche Schaden war bereits gewaltig.
Die Wendungen des Plots
Die Geschichte nahm eine unerwartete Wendung, als sich herausstellte, dass eine Bitcoin-Adresse, die mit BlackCat/ALPHV in Verbindung steht, eine Lösegeldzahlung in Höhe von 350 Bitcoins, d. h. etwa 22 Mio. USD, erhalten hat. Diese Transaktion unterstrich nicht nur die Schwere des Angriffs, sondern trug auch zu einem bemerkenswerten Anstieg des Bitcoin-Preises Anfang des Monats bei, der auf über 60.000 USD pro Bitcoin anstieg.
Doch an dieser Stelle weicht die Geschichte in die Gefilde des Cyber-Noir ab. Die BlackCat-Datenleck-Website, die in der Regel von den Strafverfolgungsbehörden in solch aufsehenerregenden Fällen beschlagnahmt wird, zeigte einen Beschlagnahmungshinweis. Dies war jedoch keine gewöhnliche Beschlagnahmung. Das FBI und andere Behörden haben sich nicht zur Verantwortung bekannt - und in der Tat, bestritten - und Unstimmigkeiten in der Beschlagnahmungsmitteilung haben den Verdacht aufkommen lassen, dass es sich um eine Fälschung handelt. Ein angebliches Mitglied von BlackCat behauptete, die Gruppe habe die Lösegeldzahlungen nicht geteilt, was auf einen internen Streit oder einen kalkulierten Ausstiegsbetrug hindeutet, und sorgte damit für weitere Unruhe.
Keine Ehre unter Dieben ist eine Geschichte, die so alt ist wie die Zeit.
Bemerkenswert ist auch, dass die BlackCat/ALPHV-Mitglieder, die sich gegen den Ransomware-as-a-Service-Anbieter ausgesprochen haben, angedeutet haben, dass dieser immer noch Daten über viele andere Organisationen des Gesundheitswesens besitzt, einschließlich finanzieller und medizinisch relevanter persönlicher Daten von Patienten.
Das sehr reale Problem mit kritischen Infrastrukturen
Die Staaten haben versucht, Wege zu finden, um ihre kritischen Infrastrukturen vor Cyberangriffen zu schützen. Dabei geht es nicht nur darum zu verhindern, dass eine Pipeline platzt oder eine Zentrifuge in einem Kernkraftwerk, die durchdreht. Lähmende Vorfälle wie der Change Healthcare beeinträchtigen das tägliche und sehr reale Leben von Millionen von Bürgern. Sie beeinträchtigen die Möglichkeit, Dinge zu tun, die wir für selbstverständlich halten, wie das Einlösen von Rezepten oder den Besuch eines Arztes, wenn es nötig ist.
Eine Reihe solcher Vorfälle, die zum richtigen Zeitpunkt in mehreren Branchen ausgelöst werden, kann den Alltag von Millionen Menschen lahmlegen und die Gesellschaft in Mitleidenschaft ziehen. Industrien wie die Luftfahrt oder sogar die Schwerindustrie sind sichtbarer, wenn etwas schief geht - aber was wäre, wenn bei Ihnen zu Hause kein Wasser mehr aus dem Hahn fließt? Was wäre, wenn der Strom während eines Schneesturms ausfiele? Was wäre, wenn die Züge nicht mehr ankämen? Oder die U-Bahn nicht mehr fahren würde? Oder wenn die Klimaanlagen landesweit plötzlich und gleichzeitig auf Hochtouren laufen würden?
Lektionen und Überlegungen
Diese Geschichte erinnert daran, wie anfällig unsere vernetzten Gesundheitssysteme sind und wie dreist Cyberkriminelle vorgehen. Sie ist ein warnendes Beispiel nicht nur für die Schwachstellen unserer digitalen Infrastruktur, sondern auch für die unvorhersehbaren, fast filmreifen Wendungen, die sich in der Schattenwelt der Cyberkriminalität ergeben können.
Während Fachleute aus dem Gesundheitswesen und Experten für Cybersicherheit diesen Vorfall analysieren, richtet sich der Fokus auf Widerstandsfähigkeit und Wiederherstellung. Es ist ein dringender Aufruf, unsere Verteidigungsmaßnahmen zu verstärken, unsere Notfallpläne zu verfeinern und sicherzustellen, dass wir besser vorbereitet sind, wenn - und nicht falls - der nächste Angriff kommt.
Der BlackCat/ALPHV-Vorfall geht über die übliche Darstellung von Ransomware-Angriffen hinaus und offenbart eine Komplexität und Intrige, die jedem Spionagethriller Konkurrenz machen könnte. Die realen Folgen solcher Angriffe sind jedoch alles andere als unterhaltsam und machen deutlich, wie wichtig robuste Cybersicherheitsmaßnahmen für den Schutz unserer Gesundheitssysteme sind.
Die weitere Entwicklung dieser Geschichte ist eine eindrucksvolle Erinnerung an den anhaltenden Kampf zwischen Verteidigern der Cybersicherheit und Cyberkriminellen, der noch lange nicht vorbei ist.