{"id":294983,"date":"2024-05-03T12:34:05","date_gmt":"2024-05-03T10:34:05","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294983"},"modified":"2024-05-26T20:34:33","modified_gmt":"2024-05-26T18:34:33","slug":"desaster-cyberangriff-auf-change-healthcare-der-unitedhealth-group","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/05\/03\/desaster-cyberangriff-auf-change-healthcare-der-unitedhealth-group\/","title":{"rendered":"Desaster Cyberangriff auf Change Healthcare der UnitedHealth Group"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Gesundheit\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Gesundheit-klein.jpg\" alt=\"Gesundheit (Pexels, frei verwendbar)\" width=\"200\" border=\"0\" \/>Ich greife nochmals ein Thema auf, welches seit Wochen erhebliche Wellen schl\u00e4gt. Es geht um den erfolgreichen Cyberangriff auf den US-Anbieter Change Healthcare der UnitedHealth Group. Der Anbieter von Abrechnungsleistungen im US-Gesundheitssystem war Opfer zweier Ransomware-Angriffe und hat sogar L\u00f6segeld gezahlt. Die Angriffe habe das US-Gesundheitssystem an den Rand des Kollapses gebracht, und dem Unternehmen eine Milliarde US-Dollar Umsatzeinbu\u00dfe beschert. Inzwischen wurde auch bekannt, dass ein Angriff \u00fcber einen ungesicherten Citrix VPN-Zugang erfolgen konnte. Nette Vorzeichen, wenn wir an Deutschland mit seinen Digitalisierungspl\u00e4nen in der Medizin (Stichwort ePA) und an die EU mit ihrem European Health Data Space (EHDS) denken.<\/p>\n<p><!--more--><\/p>\n<h2>Wer ist Change Healthcare?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/01af08b1423a42d3bec9e4c0c83a98f3\" alt=\"\" width=\"1\" height=\"1\" \/><a href=\"https:\/\/en.wikipedia.org\/wiki\/Change_Healthcare\" target=\"_blank\" rel=\"noopener\">Change Healthcare<\/a> ist ein Anbieter von Umsatz- und Zahlungsabwicklungsmanagement f\u00fcr das amerikanischen Gesundheitssystem. Der Anbieter wickelt praktisch alle Zahlungen zwischen den Kostentr\u00e4gern, den Anbietern von Gesundheitsleistungen und den Patienten innerhalb der USA ab.<\/p>\n<p>Der Hauptsitz des Unternehmens befindet sich in Nashville, Tennessee, mit mehr als 89 weiteren Standorten in den Vereinigten Staaten, Kanada, Neuseeland, Israel, Taiwan, dem Vereinigten K\u00f6nigreich und den Philippinen. Change Healthcare ist wohl der gr\u00f6\u00dfte US-Anbieter in diesem Bereich und geh\u00f6rt zur UnitedHealth Group.<\/p>\n<h2>1. Cyberangriff auf Change Healthcare<\/h2>\n<p>Das Unternehmen wurde am\u00a0 21. Februar 2024 das Opfer eines Cyberangriffs durch die Ransomware-Gruppe ALPHV\/Blackcat (siehe <a href=\"https:\/\/borncity.com\/blog\/2024\/02\/23\/nachlese-datenlecks-der-woche-23-feb-2024\/\">Nachlese Datenlecks und Hacks der Woche (23. Feb. 2024)<\/a>). Als Folge dieses Angriffs fielen sie IT-Systeme aus, was die Auszahlungen von Leistungen an \u00c4rzte verhinderte. Infolge des Angriffs konnten elektronische Zahlungen und medizinische Forderungen von der UnitedHealth Group nicht bearbeitet werden. In Folge kam es zu weitreichenden St\u00f6rungen in der gesamten USA.<\/p>\n<ul>\n<li>Patienten waren gezwungen, viele ihrer Medikamente aus eigener Tasche zu bezahlen, anstatt Medikamentencoupons oder Zuzahlungen zu verwenden.<\/li>\n<li>Viele Gesundheitsdienstleister gaben an, durch die St\u00f6rung erhebliche Einnahmeverluste erlitten zu haben, die sich auf bis zu 100 Millionen US-Dollar pro Tag beliefen, und eine Reihe Anbieter waren von Insolvenz bedroht.<\/li>\n<\/ul>\n<p>Infolge des Cyberangriffs leitete das U.S. Department of Health and Human Services (HHS) eine B\u00fcrgerrechtsuntersuchung in Bezug auf den Datenschutz von Patienten ein. Die Verantwortlichen des Unternehmens entschlossen sich, eine Zahlung von fast 22 Millionen US-Dollar an die ALPHV zu leisten (siehe <a href=\"https:\/\/www.cnbc.com\/2024\/05\/01\/unitedhealth-ceo-says-company-paid-hackers-22-million-ransom.html\" target=\"_blank\" rel=\"noopener\">auch<\/a>).<\/p>\n<p>Im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/04\/09\/sicherheitsvorflle-mrz-april-2024-stand-9-4-2024\/\">Sicherheitsvorf\u00e4lle M\u00e4rz\/April 2024 (Stand 9.4.2024)<\/a> hatte ich dann offen gelegt, dass Change Healthcare Opfer einer zweiten\u00a0 Ransomwaregruppe RansomHub geworden sei. Bei diesem Vorfall flossen 4 TByte an Daten ab &#8211; ein Bericht findet sich bei <a href=\"https:\/\/www.theregister.com\/2024\/04\/08\/change_healthcare_ransomware\/\">The Register<\/a>.<\/p>\n<p><a href=\"https:\/\/techcrunch.com\/2024\/04\/22\/unitedhealth-change-healthcare-hackers-substantial-proportion-americans\/\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"UnitedHealth Cyberangriff, viele US-Betroffene\" src=\"https:\/\/i.postimg.cc\/yW4yM9mk\/image.png\" alt=\"UnitedHealth Cyberangriff, viele US-Betroffene\" \/><\/a><\/p>\n<p>Die Cybervorf\u00e4lle haben aber nicht nur den Ausfall der Zahlungsleistungen im US-Gesundheitssystem durch die Betriebsunterbrechung zur Folge. Es sieht auch so aus, als ob die pers\u00f6nlichen Daten eines substantiellen Anteils der US-B\u00fcrger nun in den H\u00e4nden von Cyberkriminellen sind. In obigem Tweet weist Brett Callow, Cyber-Security-Analyst von EMSiSoft auf <a href=\"https:\/\/techcrunch.com\/2024\/04\/22\/unitedhealth-change-healthcare-hackers-substantial-proportion-americans\/\" target=\"_blank\" rel=\"noopener\">diesen Bericht<\/a> von Techcrunch hin. Es wird davon ausgegangen, dass <a href=\"https:\/\/techcrunch.com\/2024\/05\/01\/united-healthcare-ceo-says-maybe-a-third-of-u-s-citizens-were-affected-by-recent-hack\/\" target=\"_blank\" rel=\"noopener\">ein Drittel<\/a> bis zur H\u00e4lfte der US-B\u00fcrger irgendwie von diesen Vorf\u00e4llen betroffen ist. Der Anbieter versuchte im April 2024 in <a href=\"https:\/\/www.unitedhealthgroup.com\/newsroom\/2024\/2024-04-22-uhg-updates-on-change-healthcare-cyberattack.html\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> zu retten, was eigentlich nicht mehr zu retten ist. Es geht nur noch irgendwie um Schadensbegrenzung f\u00fcr die Kunden.<\/p>\n<h2>Hacker eine Woche vorher im System<\/h2>\n<p>Das Wallstreet Journal (WSJ) schreibt in <a href=\"https:\/\/www.unitedhealthgroup.com\/newsroom\/2024\/2024-04-22-uhg-updates-on-change-healthcare-cyberattack.html\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a>, dass die Angreifer der ALPHV-Ransomware-Gang mehr als eine Woche lang in den Netzwerken des Unternehmens unterwegs waren, bevor sie einen Ransomware-Angriff starteten. Der erste Zugriff konnte durch die Hacker bereits am 12. Februar 2024 erlangt werden. Dabei wurden kompromittierte Anmeldedaten f\u00fcr eine Anwendung missbraucht, die Mitarbeitern den Remote-Zugriff auf Systeme erm\u00f6glichte, wie man <a href=\"https:\/\/d1dth6e84htgma.cloudfront.net\/Witty_Testimony_OI_Hearing_05_01_24_5ff52a2d11.pdf\" target=\"_blank\" rel=\"noopener\">dieser Anh\u00f6rung<\/a> des CEO der Gruppe entnehmen kann. Der CEO hat wohl auch die Entscheidung getroffen, ein L\u00f6segeld an die Ransomware-Gruppe zu zahlen.<\/p>\n<p>Bei den Kollegen von Bleeping Computer gibt es in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/change-healthcare-hacked-using-stolen-citrix-account-with-no-mfa\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> noch etwas mehr Details. In einer Anh\u00f6rung hat UnitedHealth best\u00e4tigt, dass die Ransomware-Bande BlackCat\/ALPHV \u00fcber gestohlene Zugangsdaten f\u00fcr einen Citrix Remote-Zugang in das Netzwerk eindringen konnte. Die Citrix-Anmeldedaten von Change Healthcare wurden vorher durch eine Malware vom System abgezogen. Es war keine Multi-Faktor-Authentifizierung f\u00fcr diesen Citrix-Remote-Zugang aktiviert.<\/p>\n<p>Zwischen dem 12. Februar 2024 und der Ausl\u00f6sung der Ransomware-Infektion am 21. Februar erm\u00f6glichte den Angreifern sich umfangreich im Netzwerk des Anbieters zu bewegen und erhebliche Datenmengen aus den Systemen abzuziehen.<\/p>\n<h2>Kosten von \u00fcber 1 Milliarde US-Dollar?<\/h2>\n<p>Mitte April 2024 wurden dann erste Finanzdaten bekannt. Die Cyberangriffe auf Change Healthcare f\u00fchrten bisher zu Sch\u00e4den in Milliardenh\u00f6he, wie z.B. The Register in <a href=\"https:\/\/www.theregister.com\/2024\/04\/16\/change_healthcares_ransomware_attack_has\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> offen legt. UnitedHealth, die Muttergesellschaft des von Ransomware angegriffenen Unternehmens Change Healthcare, beziffert die Gesamtkosten f\u00fcr die Bew\u00e4ltigung des Cyberangriffs vom Februar 2024 f\u00fcr das erste Kalenderquartal 2024 auf 872 Millionen US-Dollar.<\/p>\n<p>Hinzu kommen Vorfinanzierungen und zinslose Darlehen, die UnitedHealth den von der St\u00f6rung betroffenen Leistungserbringern zur Verf\u00fcgung gestellt hat &#8211; eine Summe, die sich auf \u00fcber 6 Milliarden US-Dollar bel\u00e4uft. Das Unternehmen warnte in Ver\u00f6ffentlichungen, dass die Gesamtkosten des Cyberangriffs f\u00fcr das Kalenderjahr 2024 auf 1,35 bis 1,6 Milliarden Dollar gesch\u00e4tzt werden.<\/p>\n<h2>Cyberrisiken nicht mehr versicherbar<\/h2>\n<p>So mancher Gesch\u00e4ftsf\u00fchrer steht ja immer noch auf dem Standpunkt, dass man nur richtig versichert sein muss, um das Risiko eines Cyberangriffs abzusichern. Das ist aber ein Trugschluss, den ich bereits im Dezember 2022 im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/12\/28\/wwk-versicherungen-vom-cyberangriff-betroffen-attacken-bald-nicht-mehr-versicherbar\/\">WWK Versicherungen vom Cyberangriff betroffen, Attacken bald nicht mehr versicherbar<\/a> schon mal angesprochen hatte. Hintergrund war, dass Mario Greco, Gesch\u00e4ftsf\u00fchrer der <a href=\"https:\/\/de.wikipedia.org\/wiki\/Zurich_Insurance_Group\" target=\"_blank\" rel=\"noopener\">Zurich Versicherungsgruppe<\/a> mit Sitz in Z\u00fcrich in einem Statement gegen\u00fcber der FT davor warnte, dass Cyberangriffe k\u00fcnftig \"nicht mehr versicherbar\" seien, da die St\u00f6rungen durch Hackerangriffe weiter zunehmen. Greco sagte gegen\u00fcber der FT: \"Was nicht mehr versicherbar sein wird, wird Cyber sein. Zun\u00e4chst einmal muss die Erkenntnis entstehen, dass es nicht nur um Daten geht.\u2009Es geht um die Zivilisation. Diese Leute k\u00f6nnen unser Leben ernsthaft st\u00f6ren.\" Greco fragt:\u00a0 Was ist, wenn jemand die Kontrolle \u00fcber lebenswichtige Teile unserer Infrastruktur \u00fcbernimmt, was sind die Folgen?<\/p>\n<p><a href=\"https:\/\/twitter.com\/etguenni\/status\/1779244486117179558\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Cyberrisiken nicht mehr versicherbar\" src=\"https:\/\/i.postimg.cc\/NMf6HCnB\/image.png\" alt=\"Cyberrisiken nicht mehr versicherbar\" \/><\/a><\/p>\n<p>In diesem Kontext bin ich Mitte April 2024 auf <a href=\"https:\/\/twitter.com\/etguenni\/status\/1779244486117179558\" target=\"_blank\" rel=\"noopener\">obigen Tweet<\/a> gesto\u00dfen, in dem Prof. Denis Kipker auf den FAZ-Beitrag <a href=\"https:\/\/www.faz.net\/aktuell\/wirtschaft\/unternehmen\/munich-re-ruft-bei-cyber-gefahren-nach-dem-staat-19630735.html\" target=\"_blank\" rel=\"noopener\">Munich Re ruft bei Cyber-Gefahren nach dem Staat<\/a> verlinkt. Der gr\u00f6\u00dfte R\u00fcckversicherer der Welt, die Munich Re, sieht die Grenzen der Versicherbarkeit von Cyberrisiken und ruft nach einem \"staatlichen Schutzschirm\". Die Sch\u00e4den aus katastrophalen systemischen Ereignissen wie einem Cyber-Krieg oder einem Ausfall von kritischer Infrastruktur w\u00fcrden die Kapazit\u00e4t der Branche bei Weitem \u00fcbersteigen, warnt der R\u00fcckversicherer laut FAZ. Solche Szenarien bedrohten die makro\u00f6konomische Stabilit\u00e4t. Giovanni Trappatoni h\u00e4tte das zutreffend mit \"Flasche leer\" und \"ich habe fertig\" umschrieben.<\/p>\n<blockquote><p>Ich denke, so langsam f\u00e4llt (nicht nur den) US-Versicherern die unzureichende Sicherheit bei der Digitalisierung vor die F\u00fc\u00dfe. Im April 2024 las ich in <a href=\"https:\/\/www.theregister.com\/2024\/04\/11\/hospital_website_data_sharing\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a>, dass 96 % der US-Krankenhaus-Websites Besucherinformationen an Meta, Google und Datenmakler weitergeben\u00a0 &#8211; etwas, was in der EU durch die DSGVO untersagt ist.<\/p>\n<p>Und Ende April 2024 berichteten die Kollegen von Bleeping Computer in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/la-county-health-services-thousands-of-patients-data-exposed-in-email-breach\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> \u00fcber einen Datenschutzvorfall beim\u00a0 Los Angeles County Department of Health Services. Die Mail-Konten von 23 Mitarbeitern wurden Mitte Februar 2024 per Pishing kompromittiert und die Anmeldedaten gestohlen. Die Angreifer konnten dann auf Tausende von pers\u00f6nlichen Daten und Gesundheitsinformationen von Patienten zugreifen.<\/p>\n<p>Denken wir jetzt in Sachen elektronische Patientenakte weiter, wird mir regelrecht warm ums Herz, denn kommendes Jahr werden die Gesundheitsdaten gesetzlich Versicherter doch endlich (hochsicher) gesammelt und gespeichert. Was kann da schon schief gehen? Ist zwar aus einem anderen Bereich &#8211; aber die Marriot-Hotelgruppe musste Ende April 2024 in einer Anh\u00f6rung <a href=\"https:\/\/www.csoonline.com\/article\/2096365\/marriott-admits-it-falsely-claimed-for-five-years-it-was-using-encryption-during-2018-breach.html\" target=\"_blank\" rel=\"noopener\">eingestehen<\/a>, dass die 2018 gestohlenen und angeblich verschl\u00fcsselten Daten niemals verschl\u00fcsselt waren.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>Ich greife nochmals ein Thema auf, welches seit Wochen erhebliche Wellen schl\u00e4gt. Es geht um den erfolgreichen Cyberangriff auf den US-Anbieter Change Healthcare der UnitedHealth Group. Der Anbieter von Abrechnungsleistungen im US-Gesundheitssystem war Opfer zweier Ransomware-Angriffe und hat sogar L\u00f6segeld &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/05\/03\/desaster-cyberangriff-auf-change-healthcare-der-unitedhealth-group\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-294983","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294983","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=294983"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294983\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=294983"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=294983"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=294983"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}