Eine warnende Geschichte: Was uns der Fall Advanced Health and Care über Cyber-Resilienz sagt

Von Phil Muncaster • 8. Mai 2025

Ende März hat die Advanced Computer Software Group wurde mit einer Geldstrafe von etwas über 3 Millionen Pfund belegt von der britischen Datenschutzbehörde. Mehrere Sicherheitslücken beim IT-Dienstleister führten zur Offenlegung personenbezogener Daten von fast 80,000 Menschen und gefährdeten die körperliche Sicherheit gefährdeter Personen.

Die betroffene Tochtergesellschaft, Advanced Health and Care (AHC), hätte es besser wissen müssen. Doch ihre Versäumnisse sind keine Seltenheit. Sie hatte schlicht das Pech, entdeckt zu werden, nachdem Ransomware-Akteure den NHS-Lieferanten ins Visier genommen hatten. Die Frage ist, wie andere Organisationen das gleiche Schicksal vermeiden können. Glücklicherweise finden sich viele Antworten in der detaillierten Strafanzeige, die kürzlich vom Information Commissioner's Office (ICO) veröffentlicht wurde.

Was schief gelaufen ist?

AHC bietet verschiedene wichtige Dienstleistungen für Kunden im Gesundheitswesen, darunter auch den Nationalen Gesundheitsdienst (NHS), an. Dazu gehören Software für Patientenmanagement, elektronische Patientenakten, klinische Entscheidungsunterstützung, Pflegeplanung und Personalmanagement. Darüber hinaus unterstützt das Unternehmen den NHS-Notruf 111 für dringende medizinische Beratung.

Obwohl einige Informationen im Strafbescheid des ICO geschwärzt wurden, können wir einen groben Zeitplan für den Ransomware-Angriff erstellen.

Am 2. August 2022 loggte sich ein Angreifer über ein Citrix-Konto mit einer kompromittierten Passwort-/Benutzernamen-Kombination in das Staffplan-System von AHC ein. Es ist unklar, wie diese Zugangsdaten erlangt wurden.
Sobald sie sich im System befanden, führten sie eine Datei aus, um den zwei Jahre alten „ZeroLogon“ auszunutzen. Verwundbarkeit die nicht gepatcht worden waren. Dadurch konnten sie ihre Berechtigungen auf ein Domänenadministratorkonto erhöhen.
Der Angreifer nutzte diese Berechtigungen anschließend, um sich lateral durch Domänen zu bewegen, den Virenschutz zu deaktivieren und weitere Aufklärungsaktivitäten durchzuführen. Außerdem nutzte er die Cloud-Speicher- und Dateihosting-Dienste von AHC und lud „Infrastrukturverwaltungsprogramme“ herunter, um Datenexfiltration zu ermöglichen.
Die Angreifer setzten Ransomware auf 395 Endpunkten ein und exfiltrierten 19 GB an Daten, wodurch Advanced gezwungen war, neun wichtige Softwareangebote offline zu nehmen – drei davon vorsorglich.

Die wichtigsten Sicherheitslücken

Die drei wichtigsten Sicherheitsmängel, die die Untersuchung des ICO aufdeckte, waren die folgenden:

Scannen auf Schwachstellen: Das ICO fand keine Hinweise darauf, dass AHC regelmäßige Schwachstellenscans durchführte – obwohl dies angesichts der Sensibilität der von ihm verwalteten Dienste und Daten und der Tatsache, dass der Gesundheitssektor von der Regierung als kritische nationale Infrastruktur (CNI) eingestuft wird, erforderlich gewesen wäre. Das Unternehmen hatte zuvor Tools für Schwachstellenscans, Web-App-Scans und Richtlinien-Compliance erworben, zum Zeitpunkt des Datenlecks jedoch nur zwei Scans durchgeführt.

AHC führte zwar Penetrationstests durch, verfolgte die Ergebnisse jedoch nicht weiter, da die Angreifer die durch die Tests aufgedeckten Schwachstellen später ausnutzten, so das ICO. Gemäß der DSGVO wertete das ICO diese Beweise als Beleg dafür, dass AHC es versäumt habe, „angemessene technische und organisatorische Maßnahmen zu ergreifen, um die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten“.

Patch-Management: AHC hat ZeroLogon zwar gepatcht, jedoch nicht auf allen Systemen, da kein ausgereifter Patch-Validierungsprozess vorhanden war. Tatsächlich konnte das Unternehmen nicht einmal überprüfen, ob der Fehler auf dem betroffenen Server behoben wurde, da es keine genauen Aufzeichnungen als Referenz hatte.

Risikomanagement (MFA): Für die Citrix-Umgebung von Staffplan war keine Multifaktor-Authentifizierung (MFA) vorhanden. In der gesamten AHC-Umgebung stand den Benutzern MFA lediglich als Option für die Anmeldung bei zwei Apps (Adastra und Carenotes) zur Verfügung. Das Unternehmen verfügte über eine MFA-Lösung, die 2021 getestet wurde, diese aber aufgrund von Plänen zur Ablösung bestimmter Legacy-Produkte, auf die Citrix Zugriff gewährte, nicht eingeführt hatte. Laut ICO nannte AHC die mangelnde Bereitschaft der Kunden, die Lösung zu übernehmen, als weiteres Hindernis.

Was waren die Auswirkungen?

Es gibt einen Grund für die hohe Geldstrafe, die das ICO verhängte. Diese wurde von den noch höheren 6.1 Millionen Pfund reduziert, nachdem Advanced sich proaktiv mit den Behörden auseinandergesetzt und einem freiwilligen Vergleich zugestimmt hatte. Kurz gesagt: Der Verstoß gefährdete die digitale und physische Sicherheit vieler unbescholtener Datensubjekte und legte wichtige Dienste wochenlang lahm. Im Einzelnen:

Die Angreifer erbeuteten Daten von 79,404 Personen, von denen fast die Hälfte besondere Kategorien von Daten enthielt. Dazu gehörten Krankenakten, Sozialversicherungsnummern, Informationen zu religiösen Überzeugungen, Beschäftigung und demografische Daten.
Diese Daten einer besonderen Kategorie enthielten Einzelheiten darüber, wie man in die Wohnungen von 890 betroffenen Personen gelangte, die häusliche Pflege erhielten.
Ein anschließender Dienstausfall betraf 658 Kunden, darunter auch den NHS. Einige Dienste waren bis zu 284 Tage lang nicht verfügbar. Laut weit verbreiteten Berichte damalskam es zu erheblichen Störungen des wichtigen NHS-111-Dienstes und die Arztpraxen waren gezwungen, auf Stift und Papier zurückzugreifen.

Das gleiche Schicksal vermeiden

„Die heutige Entscheidung ist eine deutliche Erinnerung daran, dass Organisationen ohne robuste Sicherheitsmaßnahmen Gefahr laufen, das nächste Ziel zu werden“, sagte Datenschutzbeauftragter John Edwards bei der Bekanntgabe des Bußgeldes. Was gilt also nach Ansicht des ICO als „robust“? Der Bußgeldbescheid verweist auf die Empfehlungen des NCSC, Cyber Essentials und ISO 27002 – letztere bietet wichtige Hinweise zur Umsetzung der nach ISO 27001 geforderten Kontrollen.

Konkret wird die Norm ISO 27002:2017 mit der Aussage zitiert: „Informationen über technische Schwachstellen der verwendeten Informationssysteme sollten zeitnah eingeholt, die Anfälligkeit der Organisation für derartige Schwachstellen bewertet und geeignete Maßnahmen ergriffen werden, um das damit verbundene Risiko zu adressieren.“

Das NCSC empfiehlt mindestens einmal im Monat Schwachstellen-Scans, was Advanced in seinem Unternehmensumfeld offenbar auch tat. Das ICO betonte zudem, dass Penetrationstests allein nicht ausreichen, insbesondere wenn sie wie AHC ad hoc durchgeführt werden.

Darüber hinaus empfiehlt ISO 27001:2022 MFA ausdrücklich in seiner Anhang A um eine sichere Authentifizierung zu erreichen, abhängig von der „Art und Sensibilität der Daten und des Netzwerks“.

All dies deutet darauf hin, dass ISO 27001 ein guter Ausgangspunkt für Unternehmen ist, die den Aufsichtsbehörden versichern möchten, dass ihnen das Wohl ihrer Kunden am Herzen liegt und Security by Design als Leitprinzip gilt. Tatsächlich geht es weit über die drei oben genannten Bereiche hinaus, die zum AHC-Verstoß geführt haben.

Entscheidend ist, dass Unternehmen auf Ad-hoc-Maßnahmen verzichten und ein systematisches Management der Informationssicherheitsrisiken auf allen Ebenen der Organisation verfolgen können. Das sind gute Nachrichten für alle Unternehmen, die vermeiden möchten, selbst zum nächsten Advanced zu werden oder einen Anbieter wie AHC mit unterdurchschnittlicher Sicherheitslage zu beauftragen. Der Standard hilft zu etablieren klare Verpflichtungen zur Informationssicherheit zur Minderung von Risiken in der Lieferkette.

In einer Welt zunehmender Risiken und Komplexität der Lieferketten könnte dies von unschätzbarem Wert sein.

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 6 November 2025

Die NCSC sagt: „Es ist Zeit zu handeln“, aber wie soll das Banner aussehen?

Das NCSC sagt: „Es ist Zeit zu handeln“, aber wie?

Es ist ungewöhnlich, einen offenen Brief eines Wirtschaftsführers am Anfang eines Regierungsberichts zur Cybersicherheit zu sehen. Vor allem von jemandem, dessen Unternehmen j...

Phil Muncaster

Internet-Sicherheit 16 October 2025

Was ein npm-Angriff über die Risiken von Open-Source-Software aussagt

Die Geschichte der Open-Source-Sicherheit ist voll von Beispielen katastrophaler Fehler und Beinaheunfälle. Eine Anfang des Jahres entdeckte Krypto-Malware-Kampagne...

Phil Muncaster

Internet-Sicherheit 9 October 2025

Kann Großbritannien einen Multimilliarden-Pfund-KI-Versicherungssektor aufbauen? Banner

Kann Großbritannien einen Multimilliarden-Pfund-Sektor für KI-Versicherungen aufbauen?

Die Regierung setzt voll auf KI. Der im Januar angekündigte Aktionsplan „KI-Chancen“ zielt darauf ab, das Wirtschaftswachstum anzukurbeln, die Qualität der Arbeit zu verbessern...

Phil Muncaster