Die Auswirkungen des Cyberangriffs auf Change Healthcare auf das US-Gesundheitswesen

Die Cybersicherheit im Gesundheitssektor ist ein Fall für den Notfallsanitäter! Und nach den Erste-Hilfe-Maßnahmen wird dringend eine Langzeittherapie benötigt.

Cyberangriffe nehmen in dieser anfälligen Branche zu: Sie richten finanziellen Schaden an, stellen ein nationales Sicherheitsrisiko dar und bedrohen sogar das Leben von Patienten. Dabei wären viele dieser Angriffe völlig vermeidbar.

Der jüngste Cyberangriff auf Change Healthcare ist ein Paradebeispiel. Dieser Angriff, der als der „bislang gravierendste Cyberangriff auf die kritische Infrastruktur der USA“ bezeichnet wird, dient nun als Weckruf für die Aufsichtsbehörden der Branche. Infolgedessen hat ein Unterausschuss des US-Kongresses am 16. Mai eine Anhörung zu den Schwachstellen in der Cybersicherheit des Gesundheitswesens durchgeführt. Das Ergebnis: Das Gesundheitswesen befindet sich auf schwankenden Boden und sieht sich mit mehr und vor allem ernsteren Bedrohungen denn je konfrontiert. In diesem Artikel führen wir unsere eigene Analyse der Auswirkungen des Cyberangriffs auf Change Healthcare durch.

Der Angriff auf Change Healthcare sorgte zwar für Schlagzeilen, war aber nur einer von vielen Attacken, die den Sektor mit zunehmender Häufigkeit und Schwere heimsuchen. Die Zahl der Krankenhäuser, die von Ransomware betroffen sind, hat sich laut New York Times im letzten Jahr fast verdoppelt – von 25 im Jahr 2022 auf 46 im Jahr 2023.

Das Problem beschränkt sich jedoch nicht nur auf die USA: Laut dem European Repository of Cyber Incidents haben sich die Cybervorfälle im Gesundheitswesen weltweit im Jahr 2023 im Vergleich zum Vorjahr nahezu vervierfacht. Wie der Unterausschuss Gesundheit des US-Energie- und Handelsausschusses bei seiner Anhörung erfuhr, greifen feindliche Nationalstaaten täglich Gesundheitsdienstleister an.

Die starke Vernetzung macht das Gesundheitswesen für Cyberkriminelle besonders attraktiv. Arztpraxen, Kliniken, Krankenhäuser, medizinische Geräte, Labore, Apotheken, elektronische Gesundheitsakten, Versicherer, Supportdienste und andere am Gesundheitswesen Beteiligte bilden ein riesiges, ineinandergreifendes Informationsnetz. Wird dieses erst einmal durchbrochen, eröffnet sich den Angreifern eine wahre Schatzkammer wertvoller Daten.

Gestohlene Krankenakten sind dabei ein besonders lukratives Ziel, da sie im Darknet laut der American Hospital Association zu Preisen gehandelt werden, die bis zu zehnmal höher liegen als für gestohlene Kreditkartennummern.

Die Sicherheit in diesem Bereich ist bekanntermaßen schwach. Die Zeitschrift Lancet führt die COVID-19-Pandemie als einen Mitgrund dafür an. Um die Versorgung während der Quarantäne- und Lockdown-Phasen zu gewährleisten, führten Einrichtungen neue digitale Technologien wie mHealth, Telemedizin und KI-gestützte Diagnosetools hastig ein und vernachlässigten in der Eile die Sicherheitsaspekte.

Um den technologischen Updates nachzukommen, fehlen vielen Einrichtungen schlichtweg die Zeit und die finanziellen Mittel. Stattdessen greifen sie oft auf veraltete Technologien und Software zurück. Doch eine einzige Schwachstelle reicht böswilligen Akteuren aus, um ein ganzes System oder sogar ein gesamtes Netzwerk lahmzulegen. Dazu kommt, dass bei Angriffen auf diese Branche, Menschenleben auf dem Spiel stehen, wodurch medizinische Einrichtungen eher bereit sind, Lösegeld zu zahlen, um die Patientenversorgung aufrechtzuerhalten.

Bei dem Cyberangriff auf Change Healthcare, eines der weltweit größten Unternehmen für die Verarbeitung von Gesundheitszahlungen, verschafften sich Cyberkriminelle Zugriff auf 4 Terabyte Daten. Dies führte zur Lahmlegung von Gesundheitseinrichtungen in den gesamten USA und kostete dem unternehmen 22 Millionen US-Dollar Lösegeld. Hinzu kommen Rechtskosten, Wiederherstellungskosten und andere Ausgaben, die sich voraussichtlich auf mindestens 1,6 Milliarden US-Dollar belaufen werden.

Warum waren die Auswirkungen dieses Cyberangriffs so verheerend und weitreichend? Untersuchungen laufen zwar noch, aber die bisher bekannten Sicherheitslücken umfassen:

• Gestohlene Zugangsdaten. Böswillige Akteure verschafften sich laut Aussage von UHC-CEO Andrew Witty vor dem US-Kongressausschuss am 1. Mai mithilfe gestohlener Zugangsdaten aus einem Phishing-Angriff Zugang zu einem Softwareportal, das mit den Systemen von Change Healthcare verbunden war. Die UHC geht davon aus, dass die Ransomware-Gruppe diese gestohlenen Zugangsdaten im Dark Web erworben hat.
• Eine Panne bei der Multi-Faktor-Authentifizierung (MFA): Die Angreifer gelangten über ein Softwareportal in die Systeme, für das die MFA nicht aktiviert war.
• Unentdeckte laterale Bewegungen: Die Kriminellen konnten sich über neun Tage lang unerkannt im Netzwerk bewegen und Daten abgreifen, bevor sie die Ransomware einsetzten.
• Anfällige Backupsysteme: Laut Witty betrieb Change Healthcare seine medizinischen Abrechnungs- und Zahlungsverarbeitungssysteme immer noch mit 40 Jahre alter Technologie und speicherte die Daten auf lokalen Servern. (Die UnitedHealth Group, die Change Healthcare Ende 2022 übernommen hatte, hatte zwar mit der Modernisierung und Aktualisierung dieser Systeme begonnen und die Daten sowie Systeme in die Cloud migriert, dies war jedoch zum Zeitpunkt des Angriffs noch nicht abgeschlossen.)

Infolgeessen wurden weder das primäre noch das sekundäre IT-System von Change Healthcare isoliert. Der Angriff hat beide lahmgelegt. Die Cloud-basierten Server waren relativ schnell wieder online, die Wiederherstellung der älteren Rechenzentren hingegen hat wesentlich länger gedauert.

Durch die Cyberattacke auf Change Healthcare kam die Bearbeitung medizinischer Rechnungen und Zahlungen für mehr als einen Monat zum Erliegen. Liquiditätsprobleme können dazu führen, dass Einrichtungen möglicherweise keine Gehälter oder Dienstleistungen zahlen können, was wiederum die Patientenversorgung gefährdet.

Laut einer Anhörung am 16. Mai ist die Sterblichkeit bei fast einem Viertel der Organisationen nach dem Cyberangriff gestiegen. Die Auswirkungen des Angriffs waren weitreichend und lang anhaltend. Knapp drei Monate später ergab eine Umfrage der American Medical Association:

• 60 % der Befragten hatten weiterhin Probleme bei der Überprüfung der Patientenzulassung.
• 75 % hatten Schwierigkeiten, Rechnungen einzureichen.
• 79 % konnten weiterhin keine elektronischen Zahlungsavis empfangen.
• 85 % erlebten weiterhin Störungen bei der Zahlung von Rechnungen.

Die Wiederherstellung nach einem Datenleck im Gesundheits- und öffentlichen Gesundheitswesen kostet im Durchschnitt 10 Millionen Dollar pro Vorfall. Dies ist weit mehr als in jedem anderen Sektor, so der Kongress-Unterausschuss. Anders ausgedrückt: Die Behebung von Datenschutzverletzungen im Gesundheitswesen ist laut dem AHA fast dreimal so teuer wie die Behebung von Verstößen in anderen Bereichen: durchschnittlich 408 Dollar pro gestohlenem Datensatz im Gesundheitswesen gegenüber 148 Dollar für Datensätze außerhalb des Gesundheitswesens.

John Rex, President und Chief Financial Officer, gab in einer Telefonkonferenz zur Ergebnislage bekannt, dass die Kosten des Cyberangriffs auf Change Healthcare allein im ersten Quartal schätzungsweise 870 Millionen US-Dollar betrugen.

John Rex fuhr fort: „Etwa 595 Millionen Dollar davon waren direkte Kosten, die durch die Wiederherstellung der Clearinghouse-Plattform und andere Maßnahmen zur Bewältigung des Angriffs entstanden sind. Dazu gehörten auch medizinische Ausgaben, die direkt mit der vorübergehenden Einstellung bestimmter Aktivitäten im Bereich des Versorgungsmanagements zusammenhängen.“

John Rex weiter: „Für das Gesamtjahr schätzen wir diese direkten Kosten auf 1 bis 1,15 Milliarden US-Dollar.“ Er fügte hinzu, dass die Betriebsunterbrechungen bei Change Healthcare infolge des Cyberangriffs voraussichtlich weitere 350 bis 450 Millionen US-Dollar verschlingen würden.

Neben den bereits gezahlten 22 Millionen Dollar Lösegeld, um die Systeme wieder freizuschalten, forderte anscheinend eine weitere Gruppe Lösegeld, um die gestohlenen Daten nicht zu veröffentlichen. Berichten zufolge hat die kriminelle Organisation, die das Ransomware-Kit angeboten hat, das gesamte Lösegeld behalten und ihren Partner, der den Angriff durchführte, nicht an der Beute beteiligt.

Es ist zudem wahrscheinlich, dass Klagen und weitere rechtliche Gebühren sowie Strafen auf Change Healthcare zukommen werden.

„Dieser Angriff hätte mit grundlegenden Cybersecurity-Maßnahmen verhindert werden können“, soll Senator Ron Wyden (D-Ore.) während der Anhörung zum Cyberangriff auf Change Healthcare gesagt haben.

Der Gesundheitssektor hinkt laut der Fachzeitschrift The Lancet „den meisten Bereichen kritischer Infrastruktur in puncto Cybersicherheit deutlich hinterher“. Dies zeigt sich insbesondere in der mangelnden Forschung zum Verständnis der Risiken sowie der Entwicklung spezifischer Pläne zum Schutz, zur Reaktion und zur Wiederherstellung nach Cyberangriffen.

Während die Ermittlungen laufen und weitere Anhörungen möglicherweise anstehen, ist klar, dass die Branche ihre Cybersicherheit verbessern muss. Um diesen Prozess anzustoßen, empfehlen wir folgende Sofortmaßnahmen:

Ein scheinbar harmloser Phishing-Versuch per E-Mail führte beim Angriff auf Change Healthcare dazu, dass jemand seine Login-Daten preisgab. Diese Daten wurden anschließend weiterverkauft und setzten damit die Ereigniskette in Gang, die zum Cyberangriff führte. Solche menschlichen Fehler sind leider keine Ausnahme: Laut dem Weltwirtschaftsforum machen sie 95% aller Sicherheitsvorfälle im Bereich der Cybersicherheit aus.

Nächster Schritt: Hornetsecuritys Next-Gen Security Awareness Service setzt genau hier an. Mit realistischen Spear-Phishing-Simulationen und KI-gestütztem E-Learning schärft er das Bewusstsein der Mitarbeiter für Cybersicherheitsrisiken und -bedrohungen. Mitarbeiter lernen effektiv, sich selbst und ihr Unternehmen zu schützen. Der Service ist zudem vollständig automatisiert und benutzerfreundlich.

Change Healthcare verfügte zwar über eine MFA-Richtlinie (Multi-Faktor-Authentifizierung) für alle externen Systeme, diese wurde jedoch auf der Software, die den Hackern den Zugriff ermöglichte, nie aktiviert.

Nächster Schritt: Prüfen Sie unbedingt alle Ihre Systeme und Software um sicherzustellen, dass diese zusätzliche Authentifizierungsebene aktiv ist und unbefugten Zugriff verhindert.

Im Gesundheitswesen stellt sich nicht die Frage ob, sondern wann ein Cyberangriff stattfinden wird. Schnelle Wiederherstellungsmöglichkeiten – Resilienz – sind entscheidend, um Kosten, Schäden und Ausfallzeiten zu minimieren.

Nächster Schritt: Bringen Sie Ihre Backupsysteme mit der 365 Total Backup Lösung von Hornetsecurity auf den neusten Stand. Im Falle eines Cyberangriffs sind moderne Backup-Systeme unerlässlich, um Daten schnell wiederherstellen zu können. Die 365 Total Backup Lösung von Hornetsecurity bietet hierfür genau die richtigen Funktionen:

• Mehrmals tägliche automatische Datensicherung von Microsoft 365
• Schutz vor Ransomware-Angriffen und Unterbrechungen durch Dritte dank separater Backup-Speicherung und Sicherheitsmaßnahmen in der Hornetsecurity-Infrastruktur, unabhängig von Microsoft
• Einfache Suche und Wiederherstellung
• Unbegrenzter Speicherplatz ohne Einschränkungen
• Zentrale Verwaltung
• Datenspeicherung in lokalen, sicheren, soliden und redundanten Hornetsecurity-Rechenzentren, die die Kontrolle über den Datenstandort ermöglicht

Implementieren Sie Schutzmaßnahmen für die Speicherung, den Zugriff und die gemeinsame Nutzung sensibler persönlicher Gesundheitsdaten und setzen Sie mit dem 365 Permission Manager von Hornetsecurity ein Zero-Trust-Modell um.
Hiermit können Sie:

• Massenaktionen zur effizienten Verwaltung von Berechtigungen durchführen
• Schnellzugriffe verwenden, um Berechtigungen für mehrere Sites gleichzeitig zu korrigieren
• Best-Practice-Richtlinien oder benutzerdefinierte Compliance-Richtlinien für SharePoint-Sites, Teams oder OneDrive-Konten erstellen
• Benachrichtigungen für kritische Freigaben oder Richtlinienverstöße erhalten:
• Mithilfe der Audit-Funktion Richtlinienverstöße genehmigen oder ablehnen:

Um Ihre medizinische Umgebung optimal zu schützen, sollten Sie auch Ihre Mitarbeiter im Umgang mit sensiblen Daten schulen. Hierbei unterstützt der Security Awareness Service von Hornetsecurity.

Aktuelle Sicherheitstipps und Best Practices finden Sie jederzeit in unserem Hornetsecurity Blog.

Warten Sie nicht auf die Katastrophe, sondern setzen Sie auf präventive Maßnahmen. Wenn Sie im Gesundheitswesen tätig sind, ist Ihre Organisation jetzt doppelt gefährdet: Die Cyberattacke auf Change Healthcare hat nicht nur die Schwachstellen der Branche offengelegt, sondern auch Kriminelle auf den Plan gerufen, die auf leichte Beute hoffen. Es stellt sich also nicht mehr die Frage, ob Ihre Gesundheitseinrichtung angegriffen wird, sondern wann. Raubtiere greifen die Schwachen an; stellen Sie also sicher, dass Sie kein leichtes Ziel sind.  Wie oben beschrieben, gibt es mehrere einfache Möglichkeiten, Ihre Abwehrkräfte zu stärken, und der richtige Zeitpunkt zum Handeln ist jetzt.