Was haben wir ein Jahr später von UnitedHealth gelernt?
Inhaltsverzeichnis:
Letzten Monat verdoppelte sich die Zahl der Opfer des Krankenversicherers UnitedHealth Group (UHG) fast gegenüber der ursprünglichen Schätzung nach dem Datendiebstahl im letzten Jahr. Im Oktober hatte das Unternehmen noch erklärt, dass 100 Millionen von dem Ransomware-Angriff betroffen waren. Im Januar stieg die Zahl auf 190 Millionen. Dies scheint ein guter Zeitpunkt zu sein, um die Frage zu stellen: Was haben wir gelernt?
Der UHG-Verstoß noch einmal
Die Ransomware-Gruppe ALPHV/BlackCat hat die Daten am 21. Februar 2024 von der UHG-Tochter Change Healthcare gestohlen. Die mit Russland verbundene Bande hatte bereits gewarnt, dass sie Unternehmen im Gesundheitssektor ins Visier nehmen würde, nachdem das Justizministerium im Dezember zuvor ihre Aktivitäten gestört hatte.
Laut Change Healthcare Seite mit Hinweisen zu SicherheitsverletzungenZu den gestohlenen PII gehörten Namen, Adressen, Geburtsdaten, Telefonnummern und E-Mail-Adressen. Zu den weiteren Informationen gehörten Krankenversicherungsdaten, darunter Mitglieds-/Gruppen-ID-Nummern und Medicaid-/Medicare-ID-Nummern.
Die Cyberkriminellen erbeuteten außerdem persönliche Gesundheitsdaten, darunter Krankenaktennummern, Diagnosen, Medikamente, Testergebnisse und Bilder sowie Pflege- und Behandlungsinformationen. Schließlich erbeutete die Ransomware-Bande Rechnungs- und Leistungsdaten, darunter Leistungsnummern, Kontonummern, Rechnungscodes, geleistete Zahlungen und offene Beträge.
Glücklicherweise teilte Change Healthcare mit, dass sich unter den gestohlenen Informationen weder Sozialversicherungsnummern noch Bankkontodaten befunden hätten.
Wie und warum ist es passiert?
Berichte zeigten, dass die Angreifer am 12. Februar mit kompromittierten Anmeldeinformationen Zugriff auf ein Citrix-Portal von Change Healthcare erlangt hatten, das den Fernzugriff auf Desktops ermöglichte. Das Portal war nicht durch Multi-Faktor-Authentifizierung (MFA) geschützt.
Laut Zeugenaussage des Kongresses CEO Andrew Witty im Mai letzten Jahres berichtete, bewegten sich die Eindringlinge seitlich durch das System des Unternehmens, verschafften sich Zugang zu mehreren Bereichen – einschließlich des Active Directory-Servers – und exfiltrierten die Daten. Witty zugelassen bis hin zur Zahlung eines Lösegeldes in Höhe von 22 Millionen Dollar an die kriminelle Bande.
Umgang mit der Sicherheitsverletzung
UHG erklärte, dass es die technologische Infrastruktur von Change Healthcare von Grund auf neu aufgebaut habe, um sie wieder sicher in Betrieb zu nehmen, und dass es auch Milliarden an finanzieller Hilfe für diejenigen bereitgestellt habe, deren Gesundheitsversorgung durch den Angriff gestört worden sei. Witty erklärte, dass es auch Drittparteien, darunter Mandiant und Palo Alto Networks, angeworben habe, um seine internen Sicherheitsscans mit ihren eigenen zu verstärken, und dass es Mandiant auch als Vorstandsberater hinzugezogen habe.
Was können wir aus dem Verstoß lernen?
Senator Ron Wyden skizzierte, was seiner Meinung nach besser hätte gemacht werden sollen, in einem Brief einen Monat nach den Anhörungen im Kongress an die Federal Trade Commission und die Securities and Exchange Commission. Er skizzierte mehrere Themen.
Warum wurde das MFA-System nicht implementiert? Witty verteidigt sich damit, dass Change Healthcare – das Ende 2022 von UHG übernommen wurde – mit fragmentierten Altsystemen übersät war und dass es einige Zeit dauerte, sie mit den internen Sicherheitsrichtlinien von UHG in Einklang zu bringen. Das Unternehmen ließ andere kompensierende Sicherheitskontrollen zu, wo die Systeme noch nicht auf dem neuesten Stand waren. Offensichtlich reichten diese nicht aus.
„Die Konsequenzen der offensichtlichen Entscheidung der UHG, ihre MFA-Richtlinie für Server mit älterer Software außer Kraft zu setzen, sind nun schmerzlich klar“, sagte Wyden. „Aber die Führung der UHG hätte schon lange vor dem Vorfall wissen müssen, dass dies eine schlechte Idee war.“
Wydens andere Bedenken konzentrieren sich auf die Fähigkeit der Angreifer, sich so leicht im Rest der Organisation zu bewegen. Wenn jemand von einem Desktop-Zugriffsportal springt, um privilegierten Zugriff auf den Active Directory-Server eines Unternehmens zu erhalten, stimmt etwas nicht. Dies deutet darauf hin, dass einige Kernprinzipien von Zero-Trust-Ansätzen fehlen, wie etwa Mikrosegmentierung und allgegenwärtige Identitäts- und Zugriffsverwaltungskontrollen im gesamten System, anstatt nur Sperren für nach außen gerichtete Assets.
Wyden kritisierte UHG auch für mangelnde Geschäftskontinuität. „In seiner Aussage vor dem Repräsentantenhaus erklärte Herr Witty, dass das Unternehmen seine Cloud-basierten Systeme innerhalb weniger Tage wiederherstellen konnte. Aber, fügte Herr Witty hinzu, viele der wichtigsten Systeme des Unternehmens seien noch nicht für den Betrieb in der Cloud ausgelegt gewesen“, hieß es in dem Brief. „Stattdessen liefen diese Dienste auf den eigenen Servern des Unternehmens, deren Wiederherstellung viel länger dauerte.“
Cybersicherheit ist nicht das einzige Problem
Dies sind grundlegende Cyber-Governance-Prinzipien, die niemanden überraschen sollten – am allerwenigsten diejenigen, die bei UHG die Cybersicherheitschecks unterzeichnen. Doch ein anderes ist noch vernichtender: UHG war sich bei der Übernahme von Change Healthcare völlig darüber im Klaren, dass es große Mengen sensibler Daten sammeln würde.
Im Februar 2022 hat das Justizministerium verklagt UHG um zu versuchen, die Übernahme von Change Healthcare zu verhindern.
„Die geplante Transaktion droht einen Wendepunkt in der Gesundheitsbranche zu erreichen, indem sie United die Kontrolle über eine wichtige Datenautobahn gibt, über die jedes Jahr etwa die Hälfte aller Krankenversicherungsansprüche der Amerikaner laufen“, sagte Doha Mekki, stellvertretende Generalstaatsanwältin der Kartellabteilung des Justizministeriums. Dies war eine Kartellbeschwerde, aber die Bedenken hinsichtlich der Datenaggregation scheinen jetzt besonders vorausschauend.
Trotzdem handelte das Unternehmen nicht schnell genug, um diese Daten zu schützen – und das lag nicht an Geldmangel. Im Jahr 2023, im Jahr nach der Übernahme von Change Healthcare, erzielte UHG seinen höchsten Gewinn aller Zeiten – 22.4 Milliarden Dollar Nettogewinn – bei einem Umsatz von 371.6 Milliarden Dollar.
Obwohl uns keine Prozentzahl zum Sicherheitsbudget des Versicherungsgiganten vorliegt, hätte vermutlich ein größerer Teil dieses Geldes in den Ersatz der Waben-Altsysteme von Change Healthcare fließen sollen, um die Sicherheit und Belastbarkeit zu verbessern.
Der Datendiebstahl bei UHG war auf bekannte technische Fehler zurückzuführen, doch der Hauptgrund dafür ist der klischeehafteste von allen: Die Verantwortlichen am Ruder des größten US-Gesundheitsunternehmens hatten schlicht andere Prioritäten.
