Einführung
Aufgrund der zunehmenden Anzahl und Schwere von Cyberangriffen sind Gesundheitssysteme zu den Top-Zielen für Cyberbedrohungen geworden. Im Mai 2021 wurde die irische Gesundheitsbehörde Health Service Executive (HSE), die für die Bereitstellung öffentlicher Gesundheits- und Sozialfürsorgedienste zuständig ist, Opfer einer Conti-Cyberattacke, die zu einer weitreichenden Unterbrechung der Gesundheitsdienste führte. Trotz verschiedener Cybersicherheitsmassnahmen wurden die Systeme der HSE kompromittiert. Dies zeigt, dass sich Cyber-Bedrohungen ständig weiterentwickeln und dass robuste Sicherheitspraktiken mit der Entwicklung Schritt halten müssen.
Irland verfügt über ein öffentliches Gesundheitssystem mit zentralen und peripheren technologischen Systemen, die zahlreiche verstreute Krankenhäuser umfassen, von denen jedes der Öffentlichkeit allgemeine Gesundheitsdienste anbietet und sich in bestimmten Krankenhäusern auf Leistungen wie Krebsbehandlung, Herzprobleme, Kinderheilkunde und Rehabilitation spezialisiert hat. Die Gesamtheit der Krankenhäuser wird von einer zentralisierten Führungs- und Versorgungsstruktur, der HSE, überwacht, die von der irischen Regierung durch staatliche Steuereinnahmen finanziert wird. Das HSE beschäftigt mehr als 130.000 Mitarbeiter, die sich auf die 54 Krankenhäuser verteilen, und sein Hauptzweck ist die Verwaltung des irischen öffentlichen Gesundheitswesens.
Angesichts der immer raffinierteren und häufigeren Cyber-Bedrohungen ist die Cybersicherheit für alle Organisationen zu einer wichtigen Priorität geworden. Im Gesundheitswesen ist sie aufgrund der Sensibilität der persönlichen Daten und der kritischen Natur der angebotenen Dienstleistungen besonders wichtig. Die Integrität, Sicherheit, Zuverlässigkeit und Verfügbarkeit nicht nur von Informationssystemen und zugrundeliegenden Daten, sondern auch von mit dem Internet verbundenen medizinischen Geräten und anderen kritischen Infrastrukturen im Gesundheitswesen sind Teil eines Geflechts von Technologien, Systemen und Nutzungsmustern, das der Gesundheitsversorgung innewohnt. Die Sicherheit der Daten, des Zugangs und der Systeme sollte die Vertraulichkeit von Patientendaten, die kontinuierliche Erbringung von Dienstleistungen und das ordnungsgemässe Funktionieren lebensrettender Technologien gewährleisten und damit letztlich die Sicherheit und das Wohlergehen von Patienten sicherstellen, deren Leben von ihnen abhängt.
Dieser Lehrfall befasst sich mit den Ereignissen, die zu dem Angriff führten, mit den unmittelbaren und weiterreichenden Auswirkungen auf den Betrieb von HSE sowie mit den darauf folgenden Reaktions- und Wiederherstellungsmassnahmen. Er bietet die Gelegenheit, wichtige Themen wie die Reaktion auf einen Vorfall, Risikomanagement, Geschäftskontinuität und die Bedeutung einer starken Cybersicherheitsstruktur zu untersuchen.
Herausforderungen im Vorfeld eines Cyberangriffs im Jahr 2021
Im Jahr 2021 sah sich die HSE aufgrund von COVID-19 mit erheblichen Herausforderungen konfrontiert, die ein schnelles Handeln zur Bewältigung der öffentlichen Gesundheitskrise erforderten. Irlands Nationaler Dienstleistungsplan 2021 konzentrierte sich auf die Aufrechterhaltung der wesentlichen Gesundheitsdienste und führte umfassende Reaktionsmassnahmen ein, darunter Tests, Kontaktverfolgung und Impfprogramme. Da Irland eine ununterbrochene Landgrenze mit dem Vereinigten Königreich hat und ein Grossteil der Versorgungskette und der medizinischen Standards übereinstimmen, musste die irische Gesundheitsbehörde (HSE) viele mit dem Brexit verbundene Schwierigkeiten bewältigen und sich darauf konzentrieren, die Kontinuität der Dienstleistungen zu gewährleisten, die grenzüberschreitende Gesundheitsversorgung zu verwalten, Probleme mit dem Personal zu lösen und die Versorgung mit Arzneimitteln zu sichern, während sie gleichzeitig die DSGVO einhielt. Die HSE räumte auch elektronischen Gesundheitsdiensten und Gesundheitsinformationssystemen bei der Reform des Gesundheitswesens Priorität ein. Bedeutende Finanzmittel ermöglichten neue Initiativen, darunter ein integriertes IT-System für das COVID-19-Impfmanagement und die Erweiterung des Integrierten Informationsdienstes (IIS) zur Verbesserung der datengestützten Entscheidungsfindung. Darüber hinaus hatte die irische Regierung, wie viele andere Länder auch, in den Jahren 2020 und 2021 massive Einbrüche bei den Steuereinnahmen zu verzeichnen, die auf die COVID-Sperren, die eingeschränkte Industrietätigkeit und die reaktiven Notwendigkeiten der COVID-Pandemie zurückzuführen waren: Die „normale“ strategische Planung wurde in vielen Bereichen auf Eis gelegt, und insbesondere wurden Mittel und Anstrengungen in Aktivitäten gelenkt, die für die Pandemie erforderlich waren. Themen wie Cybersicherheit, IT-Modernisierung oder damit zusammenhängende, nicht unbedingt notwendige Investitionen wurden auf dem Höhepunkt der Pandemieabwehr auf ein Minimum reduziert, verlangsamt oder aus der Prioritätenliste gestrichen. Die Cyber-Attacke kam mitten in dieser Entwicklung.
Die IT-Infrastruktur von HSE
Ähnlich wie Gesundheitsdienstleister auf der ganzen Welt ist auch die HSE in hohem Masse von ihrer IT-Infrastruktur abhängig, um umfassende Gesundheitsdienste anbieten zu können. Dieses System unterstützt verschiedene Funktionen wie die Verwaltung von Patientenakten, Verwaltungsaufgaben, klinische Versorgung und Kommunikationsnetzwerke. Im Gesundheitswesen können die Daten sehr sensibel sein. Sie enthalten Patientenakten, medizinische Beurteilungen, Prognosen und Diagnosen sowie umfassende identitätsbezogene Daten.
Das Office of the Chief Information Officer (OoCIO) verwaltet diese umfangreiche dezentralisierte IT, die über 4500 Server, 70.000 Endgeräte und etwa 1000 Anwendungen umfasst, mit einem Team von etwa 350 IT-Fachleuten. In ganz Irland betreibt die HSE ein weites Netzwerk von über 4000 Standorten, 54 Akutkrankenhäusern und zahlreichen kommunalen Gesundheitseinrichtungen, die alle in hohem Masse auf Technologie angewiesen sind, um eine nahtlose Versorgung zu gewährleisten. Diese umfangreiche Infrastruktur ist entscheidend für die effektive Bereitstellung von Gesundheits- und Sozialdiensten für über 130.000 Mitarbeiter, die in verschiedenen Bereichen des Gesundheitswesens tätig sind. Ein zentraler Bestandteil dieser Infrastruktur ist das Nationale Gesundheitsnetzwerk (NHN), das für Konnektivität sorgt und die Bereitstellung wichtiger Gesundheitsdienste erleichtert. Obwohl das NHN den Zugang für das Personal vereinfacht, erhöht sein „flaches“ Netzwerkdesign das Risiko von Cyberangriffen, da sich Hacker innerhalb des Netzwerks frei bewegen können, sobald sie Zugang erhalten haben. Dieses Design macht das System anfällig für Angriffe nicht nur innerhalb der HSE, sondern auch von anderen angeschlossenen Organisationen. Die IT-Umgebung der HSE umfasst viele veraltete Systeme, wobei fast ein Drittel der Server veraltet ist oder nicht mehr unterstützt wird. Darüber hinaus tragen über 30.000 nicht unterstützte Windows 7-Arbeitsplätze zu einem niedrigen Reifegrad der Cybersicherheit bei. Insbesondere fehlte es dem HSE an einem Chief Information Security Officer (CISO) und einem Security Operations Centre, die beide für ein effektives Cybersicherheitsmanagement unerlässlich sind.
Warnsignale
Jenseits der schmalen Irischen See, die Irland vom britischen Festland trennt, gab es Warnblitze. Hacker griffen dreist sogar gesellschaftlich wichtige Dienste wie das Gesundheitswesen und Krankenhäuser an. Ein Ransomware-Angriff auf den Nationalen Gesundheitsdienst Grossbritanniens (NHS) aus dem Jahr 2017, der PCs mit Windows-Betriebssystemen angriff, entwickelte sich zu einem bedeutenden Cybervorfall, der zu weitreichenden Unterbrechungen der Gesundheitsdienste im ganzen Land führte. Der NHS-Cyberangriff von 2017 wurde durch einen Ransomware-Stamm namens WannaCry verursacht, eine virulentere Version von Eternal Blue, einer Schadsoftware, die einst von der US-amerikanischen NSA (National Security Agency) entwickelt wurde, um abtrünnige Akteure auszuschalten. Diese Schadsoftware nutzte eine Schwachstelle in älteren Microsoft Windows-Betriebssystemen aus, verschlüsselte Dateien und forderte ein Lösegeld für deren Freigabe.
Die Auswirkungen auf den britischen NHS waren erheblich. Es kam zu erheblichen Störungen in Krankenhäusern und Arztpraxen, Tausende von Terminen und Operationen wurden abgesagt oder verschoben. Notfallpatienten mussten in andere Krankenhäuser verlegt werden, und einige Intensivstationen waren betroffen. Etwa zur gleichen Zeit hatte China ähnliche Angriffe auf einige seiner Krankenhäuser gemeldet.
Der Angriff kostete den NHS schätzungsweise 92 Millionen GBP aufgrund von Produktionsausfällen und IT-Wiederherstellungskosten. Der Vorfall schadete dem Ruf des NHS und weckte Bedenken hinsichtlich seiner Bereitschaft zur Cybersicherheit.
Der NHS und andere britische Behörden beeilten sich, den Schaden einzudämmen. NHS- und Cybersicherheitsexperten arbeiteten schnell daran, den Angriff einzudämmen und eine weitere Ausbreitung zu verhindern. Mit Hilfe internationaler Partner und einer gründlichen Untersuchung durch das National Cyber Security Centre (NCSC) und andere Strafverfolgungsbehörden wurde eine massive Wiederherstellungsaktion gestartet, um die Systeme und Dienste wiederherzustellen. Der NHS führte anschliessend eine Reihe von Massnahmen zur Stärkung seiner Cybersicherheit ein, darunter verbesserte Patching-Prozesse und Mitarbeiterschulungen.
Der WannaCry-Angriff 2017 war ein Weckruf für den NHS und andere Organisationen weltweit. Er machte deutlich, dass robuste Cybersicherheitsmassnahmen, eine proaktive Erkennung von Bedrohungen und eine Planung der Reaktion auf Vorfälle erforderlich sind. Der Vorfall hat auch die Bedeutung der internationalen Zusammenarbeit bei der Bekämpfung von Cyber-Bedrohungen unterstrichen.
Die irische Gesundheitsbehörde HSE teilte mit, dass sie auf der Grundlage der Vorfälle in Grossbritannien Vorsichtsmassnahmen ergreifen und ihre Cyber-Vorsorge verstärken würde: Zu den Massnahmen gehörte die Benachrichtigung der Mitarbeiter, keine verdächtigen E-Mails zu öffnen und den externen Zugriff auf die Netzwerke der HSE zu unterbinden.
Angreifen!
Prolog … Mai 2021: Wie mit einer E-Mail alles begann
Der HSE-Cyberangriff am 14. Mai 2021 war einer der verheerendsten Ransomware-Angriffe auf ein Gesundheitssystem in der Geschichte. Die Wurzeln dieses Vorfalls reichen jedoch mehrere Monate zurück und verdeutlichen eine Reihe von übersehenen Warnungen und ignorierten Phishing-Versuchen. Der erste erfolgreiche Einbruch ereignete sich am 18. März 2021, als ein HSE-Mitarbeiter an einem Arbeitsplatz, der später als „Patient Zero“ bezeichnet wurde (der Begriff bezieht sich darauf, dass der Arbeitsplatz des Mitarbeiters als erster infiziert wurde, was vielleicht etwas verwirrend ist, wenn man bedenkt, dass auch Krankenhäuser Patienten haben), einen bösartigen Microsoft Excel-Anhang aus einer Phishing-E-Mail öffnete. Diesem entscheidenden Ereignis ging eine Reihe von Phishing-Versuchen voraus, die sich bereits im November 2020 gegen die HSE richteten.
Trotz der häufigen Phishing-E-Mails konnten die Verteidigungsmassnahmen der HSE die Infektion mit der Malware nicht verhindern. Zwischen dem 14. Dezember 2020 und dem 9. Februar 2021 wurde der Benutzer von „Patient Zero“ viermal mit ähnlichen Phishing-E-Mails angegriffen, aber erst am 18. März wurde eine erfolgreiche Infektion festgestellt. Den Angreifern, die als UNC2633 identifiziert wurden, gelang es, die ersten Abwehrmassnahmen zu umgehen, so dass die Malware in der IT-Umgebung der HSE Fuss fassen konnte. Das Versäumnis, diese frühen Phishing-Versuche zu erkennen und zu entschärfen, bereitete den Boden für den katastrophalen Einbruch, der folgte.
Phishing ist nach wie vor eine der effektivsten Techniken für Cyberangreifer, da sie auf menschliches Versagen angewiesen ist. Die E-Mails geben sich oft als vertrauenswürdige Personen oder Institutionen aus und fordern die Empfänger auf, Anhänge zu öffnen oder auf Links zu klicken, die legitim erscheinen. In diesem Fall zahlte sich die Hartnäckigkeit der Angreifer aus, als das bösartige Excel-Dokument geöffnet wurde und die Malware-Infektion auslöste.
Der ursprüngliche Einbruch und die Persistenzmechanismen
Am 18. März 2021 hatte die Conti-Malware die erste Workstation, „Patient Zero“, erfolgreich infiziert. Bis zum 23. März hatten die Angreifer einen Persistenz-Mechanismus auf der kompromittierten Workstation eingerichtet, der einen kontinuierlichen Zugriff sicherstellte, selbst wenn das System neu gestartet oder ausgeschaltet wurde. In den folgenden Wochen blieben die Angreifer relativ unauffällig, sammelten Informationen und kompromittierten nach und nach weitere Systeme innerhalb der HSE. Am 31. März entdeckte die Antivirensoftware der HSE die Ausführung der bekannten bösartigen Tools Cobalt Strike und Mimikatz auf „Patient Zero“. Da sich die Antivirensoftware jedoch im Überwachungsmodus befand, blockierte sie die bösartigen Aktivitäten nicht, so dass die Angreifer ungehindert weitermachen konnten. Für Angreifer sind Persistenzmechanismen von entscheidender Bedeutung, da sie den Zugriff auf das kompromittierte Netzwerk trotz aller Unterbrechungen aufrechterhalten. Durch die Installation von Hintertüren und anderen Tools verstärkten die Angreifer ihre Position in der IT-Infrastruktur von HSE und bereiteten sich auf weitere Angriffe vor.
Eskalation und weitreichende Kompromittierung
Vom 1. April bis zum 6. Mai 2021 operierten die Angreifer unbemerkt und nutzten die Schwachstellen in der IT-Umgebung der HSE aus. Der Incident Response Provider der HSE fand später heraus, dass die Angreifer 180 Systeme und hoch privilegierte Konten in acht Krankenhäusern und 19 Domänen kompromittiert hatten. Zu ihren Aktivitäten gehörten das Einschleusen von Hintertüren, die Erkundung von Domänen und die Kompromittierung weiterer Systeme. Bis zum 7. Mai weiteten die Angreifer ihre Aktivitäten aus, installierten zusätzliche Malware und nutzten hochprivilegierte Konten, um sich seitlich im Netzwerk zu bewegen. In den nächsten Tagen stieg die Zahl der kompromittierten Systeme rapide an, und die Angreifer verschafften sich Zugang zu mehreren weiteren Krankenhäusern.
Am 11. Mai hatte sich die Malware weiter ausgebreitet und einen Computer in einem Krankenhaus über eine ungepatchte Sicherheitslücke infiziert. Das Antivirenprogramm des Krankenhauscomputers erkannte und entfernte die Malware. Am 12. Mai wurde die Malware in einem weiteren Krankenhaus gefunden. Sie durchsuchte Ordner, erstellte Archive und griff auf File-Sharing-Sites in vielen weiteren Krankenhäusern zu. Der Cybersicherheitsdienstleister der HSE alarmierte das Security Operations Team, das die Server-Scans bestätigte. Am 13. Mai wurden die Aktivitäten des Angreifers innerhalb der HSE weiter aufgedeckt. Seit dem 7. Mai wurden auf mindestens 16 Systemen unbehandelte Bedrohungen gemeldet. Das Security Operations-Team wies das Server-Team an, die betroffenen Server neu zu starten. Mitte Mai waren die Tentakel der Malwareverbreitung nur allzu offensichtlich geworden.
Trotz dieser alarmierenden Anzeichen blieben die Abwehrmassnahmen der HSE bei der Eindämmung des Angriffs weitgehend unwirksam, und auch der Neustart der Server brachte wenig. Nachdem sich die Malware den ersten Zugang verschafft hatte, bewegte sie sich vorsichtig, um eine Entdeckung zu vermeiden, während sie ihre bösartige Kontrolle über das Netzwerk allmählich ausweitete. Die Verwendung hoch privilegierter Konten ermöglichte es ihnen, ihre Privilegien zu erweitern und tieferen Zugriff auf kritische Systeme zu erlangen, und gemeinsam genutzte Netzwerklaufwerke und Ordner boten reife Möglichkeiten für laterale Bewegungen von Krankenhaus zu Krankenhaus und über die Krankenhausgruppen hinweg. Zu diesem Zeitpunkt hatte die Malware das HSE bereits durchdrungen, aber ausser der Reproduktion, der Kartierung des HSE-Netzwerks und dem Einschleusen bösartiger Dateien und ausführbarer Dateien hatte die Malware ihren wahren Zweck noch nicht preisgegeben.
Der Tag des Angriffs: 14. Mai 2021
Am 14. Mai 2021 führten die Angreifer die Schadsoftware Conti Ransomware aus und markierten damit den Höhepunkt des Angriffs auf die IT-Umgebung von HSE. Der Angriff begann gegen 01:00 Uhr morgens und verschlüsselte Tausende von Systemen. Um 02:50 Uhr erhielt der nationale Service Desk der HSE erste Meldungen über Ausfälle von verschiedenen Krankenhäusern. Die weit verbreitete Verschlüsselung von Servern und Workstations wurde bald deutlich und führte zu einer schwerwiegenden Störung der Gesundheitsdienste.
Um 04:41 Uhr entdeckte die HSE eine bösartige Verschlüsselung auf mehreren Servern in ihrem Rechenzentrum und leitete den Critical Incident Process ein. Um 05:10 Uhr wurde ein Critical Incident Call mit Netzwerk- und Infrastrukturexperten einberufen, der zu der Entscheidung führte, alle internen und externen Verbindungen zu unterbrechen, um die Bedrohung einzudämmen. Diese Massnahme war zwar notwendig, beeinträchtigte aber die Kommunikationsmöglichkeiten der HSE erheblich, so dass analoge Telefone und Faxgeräte verwendet werden mussten. Um 06:00 Uhr morgens hatte der CEO den HSE-Vorstand über den Vorfall informiert, und um 07:00 Uhr morgens wurde der Vorfall von RTÉ News (Irlands grösster Mediengruppe) gemeldet und damit der Öffentlichkeit bekannt gemacht. Kurz darauf informierte der CEO das Executive Management Team und das National Crisis Management Team (NCMT).
Art des Angriffs
Der HSE-Angriff nutzte die Conti-Ransomware, eine ausgeklügelte Malware, die von der cyberkriminellen Gruppe Wizard Spider entwickelt und als Ransomware-as-a-Service (RaaS)-Modell denjenigen angeboten wird, die bereit sind, sie als „vertrauenswürdige Partner“ dieser cyberkriminellen Gruppe zu kaufen. Wizard Spider, das seit etwa 2016 aktiv ist, ist finanziell motiviert und bietet seine Conti-Malware auf Gebührenbasis an. Vor dem HSE-Angriff hatte die Gruppe bereits eine Reihe von erfolgreichen Cyberangriffen auf eine Vielzahl von Organisationen, darunter auch Krankenhäuser, durchgeführt und verfügte über Fachwissen in einer Vielzahl von Angriffsmethoden, -ansätzen und -vektoren. Die „Errungenschaften“ von Spider Wizard würden potenzielle „Partner“ überzeugen, die den Kauf ihrer Conti-Malware in Erwägung ziehen, da das Malware-Paket Funktionen wie die effektive seitliche Bewegung durch infizierte Computernetzwerke mithilfe von Batch-Skripten zur Übertragung von Ransomware von Rechner zu Rechner, die Herstellung von Persistenz durch das Hacken von Systemregistrierungen, die Verwendung von Makros zur Ausführung von PowerShell-Skripten für die seitliche Bewegung, die Erstellung von Administratorkonten und die Ausweitung von Benutzerrechten auf infizierten Computern, die Datenarchivierung und die sichere Exfiltration auf nicht zurückverfolgbare Remote-Server und vieles mehr umfasste. Dies waren genau die Aktivitäten und Eigenschaften, die bei einem Angriff auf einen Gesundheitsdienstleister hoch im Kurs standen.
Zwei „Trusted Affiliate“-Gruppen waren an dem HSE-Angriff beteiligt, bei dem die Conti-Malware zum Einsatz kam: Die erste Gruppe, UNC2633, war für den ersten Einbruch und die Aufklärung zuständig, während die zweite Gruppe, UNC2727, für die Verbreitung der Ransomware verantwortlich war. Diese Aufteilung ist bei hochkarätigen Angriffen nicht ungewöhnlich: Ein Team verschafft sich Zugang und das andere maximiert die Wirkung durch den Einsatz von Ransomware und Erpressung.
Bei solchen Angriffen nutzen die Angreifer oft menschliche und verfahrenstechnische Schwachstellen aus, um sich einen ersten Zugang zu verschaffen. Dazu werden in der Regel gezielte Phishing-E-Mails verschickt, um die Opfer dazu zu bringen, ihre Anmeldedaten preiszugeben oder auf bösartige Links zu klicken. Sobald diese Anmeldedaten vorliegen, können Angreifer leicht in mehrere Systeme eindringen, indem sie Standardbenutzernamen und -kennwörter ausnutzen, die von den Benutzern oft unverändert gelassen werden.
Die Conti-Ransomware ist bekannt für ihre schnellen Verschlüsselungsfähigkeiten, die mehrere CPU-Threads gleichzeitig nutzen. Sie verwendet Tools wie den Windows Restart Manager, um Anwendungen herunterzufahren und Dateien zu verschlüsseln, was ihr Störpotenzial noch erhöht. In der Regel wird diese Ransomware manuell mit Tools wie RDP, PsExec, Mimikatz und Cobalt Strike in kompromittierten Netzwerken eingesetzt, so dass sich die Angreifer seitlich bewegen und die Ransomware auf allen aktiven Endpunkten ausführen können. Wie bereits erwähnt, erfolgte im Fall der HSE der erste Einbruch am 18. März 2021 durch eine Phishing-E-Mail, die eine mit Malware infizierte Excel-Datei enthielt, und am 31. März 2021 entdeckte die Antivirensoftware der HSE die Ausführung von Cobalt Strike und Mimikatz auf der Workstation „Patient Zero“. Rückblickend lassen sich einige der Merkmale der Conti-Ransomware erkennen, die vielleicht ein Vorbote dessen waren, was später im Mai als vollwertiger Ransomware-„Lockdown“ kommen sollte.
Die koordinierten Bemühungen von UNC2633 und UNC2727 verdeutlichen die Komplexität und Raffinesse des Angriffs. Es gab zwei Hauptgefahren: erstens die Verschlüsselung von pflegekritischen Servern, Datenbanken und Benutzerkonten im gesamten HSE-Netzwerk; zweitens die mögliche Exfiltration von Daten und die Möglichkeit, dass sensible Daten zum Verkauf angeboten oder im Dark Web weiterverwendet werden könnten. Die Angreifer nutzten die Conti-Ransomware-Funktionalität, um nicht nur Dateien zu verschlüsseln, sondern auch Daten zu exfiltrieren, indem sie damit drohten, diese Daten weiterzugeben, was den Druck zur Zahlung eines Lösegelds noch erhöhte.
Reaktion und Wiederherstellung
In den unmittelbaren Stunden und Tagen nach der Ausführung der Ransomware schaltete die HSE mehrere externe Cybersicherheitsexperten und Organisationen ein, darunter das National Cyber Security Centre (NCSC), das Garda National Cyber Crime Bureau, Interpol und verschiedene Incident Response Teams. Trotz des grossen Schadens haben sich die irische Regierung und die HSE entschieden, das Lösegeld nicht zu zahlen, da sie nicht mit Cyberkriminellen verhandeln wollen, um die Finanzierung weiterer illegaler Aktivitäten zu verhindern. Den ganzen Tag über konzentrierten sich die Bemühungen darauf, den Einbruch einzudämmen und den Wiederherstellungsprozess einzuleiten. Um 16:30 Uhr begann das Incident Response Team der HSE mit dem Einsatz von Software zur Überwachung der Endpunktsicherheit, um Einblicke in die kompromittierten Systeme zu gewinnen und eine forensische Untersuchung zu starten. Damit begann ein langwieriger und schwieriger Wiederherstellungsprozess.
Koordination nach dem Angriff
Eine umfassende und koordinierte Reaktion war notwendig, um den Schaden zu minimieren und die Dienste wiederherzustellen. Der Angriff hatte das irische Gesundheitssystem lahmgelegt und wichtige IT-Infrastrukturen und Patientendienste unterbrochen. Paul Reid, CEO der HSE, beschrieb den Angriff in einem Medienbriefing als „den Magen umdrehend“ und betonte die erheblichen Auswirkungen auf das Gesundheitssystem und die dringende Notwendigkeit einer sofortigen Reaktion.
Einen Tag nach dem Anschlag, am 15. Mai 2021, übernahm die HSE-Führungsebene ein externes Büro, um ihre Reaktions- und Wiederherstellungsbemühungen zu zentralisieren. Sie richteten erste Arbeitsgruppen für eine effiziente Bearbeitung des Vorfalls ein. Der Datenschutzbeauftragte der HSE informierte die Datenschutzkommission über den Verstoss und unterstützte die Krankenhäuser bei der Bewertung der Kompromittierung. Den leitenden Angestellten wurden saubere Microsoft 365-Postfächer für eine sichere Kommunikation zur Verfügung gestellt, und es wurde ein spezielles Postfach für die Verwaltung von Ransomware-Problemen eingerichtet. Zwischen dem 17. und 21. Mai begannen Besprechungen zum Management des Vorfalls, an denen alle Hauptverantwortlichen teilnahmen. Das Office of the Chief Information Officer (OoCIO) richtete eine zweimal täglich stattfindende Besprechungsroutine ein. Ziel dieser Treffen war es, den Informationsaustausch zu erleichtern und neue Prozesse zur Wiederherstellung zu implementieren. Dazu gehörten die folgenden Punkte:
- Identifizierung und Neupriorisierung von prioritären Anwendungen auf der Grundlage des klinischen Bedarfs,
- Wiederherstellung der Active Directory (AD)-Domäne,
- Verteilung von sauberen Laptops an ausgewählte Personen zur Nutzung von E-Mails für die Krisenkommunikation,
- Überwachung von Patienteninformationen, die online durchsickern,
- die Einrichtung einer Arbeitsgruppe Recht und Daten zur Unterstützung von Datenschutzuntersuchungen,
- die Bestätigung des Versicherungsschutzes im Rahmen des Clinical Indemnity Scheme für Angehörige der Gesundheitsberufe, und
- Einführung von Gesundheitsüberwachung und Dienstplänen zur Bekämpfung von Burnout beim Personal.
Kommunikation und Verhandlung mit Hackern
Die Angreifer kontaktierten die HSE zunächst mit einer Lösegeldforderung auf infizierten Systemen und leiteten sie auf eine Tor-basierte Kontaktseite weiter. Sie stellten sich als „Geschäftsleute“ vor und forderten 19.999.000 € und drohten, die gestohlenen Daten zu veröffentlichen oder zu verkaufen, wenn das Lösegeld nicht gezahlt würde. Die HSE weigerte sich, über das Lösegeld zu verhandeln oder es zu zahlen und konzentrierte sich stattdessen auf alternative Wiederherstellungsmethoden. Am 20. Mai 2021, weniger als 1 Woche nach der Ausführung der Malware, stellten die Angreifer überraschenderweise einen Entschlüsselungsschlüssel zur Verfügung, ohne eine Zahlung zu verlangen. Nachdem die Echtheit des Schlüssels überprüft worden war, begann das Incident Response Team der HSE damit, alle gesperrten Computer zu entschlüsseln. Trotzdem blieb die Lösegeldforderung bestehen und konzentrierte sich auf die Drohung, Patientendaten freizugeben. Noch am selben Tag erliess der High Court of Ireland eine einstweilige Verfügung, um die Angreifer daran zu hindern, die gestohlenen Daten zu veröffentlichen, zu verkaufen oder weiterzugeben.
Epilog … Bemühungen zur Wiederherstellung
Das Entschlüsselungstool beschleunigte die Wiederherstellung der betroffenen Systeme erheblich und ermöglichte es der HSE, den Betrieb effizienter wieder aufzunehmen. Die Wiederherstellungsphase begann offiziell am 22. Mai 2021 und konzentrierte sich auf die Entschlüsselung von Systemen, die Bereinigung von Arbeitsplätzen, die Wiederherstellung von Systemen und die Wiederherstellung von Anwendungen.
Innerhalb des ersten Monats wurde fast die Hälfte der Server entschlüsselt und viele Akut-, Community Services- und Geschäftsanwendungen wiederhergestellt. Nach 2 Monaten waren fast alle Server und ein Grossteil der Anwendungen wiederhergestellt. Am Ende des dritten Monats waren alle Server und die meisten Anwendungen wieder voll funktionsfähig. Am 21. September 2021 hatte die HSE 100% aller Server und 1075 von 1087 Anwendungen wiederhergestellt, dank der koordinierten Bemühungen von Mitarbeitern, IT-Teams, Cybersicherheitsexperten, der Regierung und verschiedenen externen Organisationen.
Das Schicksal der exfiltrierten Daten blieb unklar. Die Aufmerksamkeit der Medien hatte sich auf etwas anderes gerichtet, da die HSE nun wieder zu funktionieren schien. Es wurde kein Lösegeld gezahlt.
Wichtige Themen
Governance und organisatorische Fragen
Führungsqualitäten
Die Cybersicherheit der HSE wurde durch das Fehlen eines leitenden Cybersicherheitsbeauftragten, eines speziellen Ausschusses und einer zentralen Funktion für das Risikomanagement und die Überwachung kritisch unterminiert. Dieser Mangel an Führung führte zu einer begrenzten Szenarienplanung, einem unklaren Risikoverständnis und dem Fehlen einer umfassenden Cybersicherheitsstrategie und eines Plans. Darüber hinaus arbeitete während des Vorfalls ein hochrangiger Cybersicherheitsspezialist an der Sicherheit der COVID-19-Impfung, was die unzureichenden Ressourcen für kritische Cybersicherheitsaktivitäten deutlich machte. Die Ressourcen wurden anderweitig eingesetzt, wobei das Hauptaugenmerk auf COVID-19 und die Sicherstellung der operativen Effizienz gerichtet war. Die Krise offenbarte Lücken in der Entscheidungsbefugnis zwischen dem HSE, den Krankenhäusern und den CHOs. Während der unmittelbaren Ausführung der Malware wies der OoCIO alle Beteiligten an, die Systeme herunterzufahren und auf weitere Anweisungen zu warten, ohne die besondere Situation der einzelnen Krankenhäuser zu berücksichtigen. Ausserdem führte das Fehlen eines einheitlichen Plans für die Kontinuität von Kliniken und Diensten zu inkonsistenten und ineffektiven Reaktionen mit unklaren Rollen und fragmentierten Fähigkeiten. Während des Angriffs führte das Fehlen klarer Entscheidungsbefugnisse und eines strategischen Krisenmanagementplans zu reaktiven Entscheidungen und anfänglicher Verwirrung.
Politik
Die HSE hatte in mehreren Bereichen erhebliche politische Defizite. Dazu gehörte das Fehlen eines speziellen Cybersicherheitsforums, was die Diskussion und Dokumentation von Cyberrisiken einschränkte, die Umsetzung wesentlicher Kontrollen verzögerte und die Cyberrisiken nicht richtig priorisierte. Ausserdem fehlte es der HSE an umfassenden Richtlinien für Krisenmanagementschulungen und Übungen zur Aufrechterhaltung des Dienstes. Obwohl gelegentlich Notfallübungen für Szenarien wie extreme Wetterbedingungen und Infektionskrankheiten durchgeführt wurden, gab es keine einheitliche Richtlinie, die eine konsistente Schulung für alle Mitarbeiter gewährleistet hätte. Fortgeschrittene Trainingsprogramme für solche Fälle gab es in bestimmten Regionen, aber sie waren nicht weit verbreitet. Die Politik schrieb weder Übungen auf strategischer Ebene für das nationale Krisenmanagementteam vor, noch gab es Bestimmungen für Krisensimulationen mit mehreren Teams, um Ausfälle kritischer Infrastrukturen zu bewältigen. Lokale Stellen führten zwar Notfallübungen durch, doch waren diese nicht standardisiert oder an bewährten Verfahren ausgerichtet. Darüber hinaus verfügte das HSE zwar über Richtlinien für die Auswertung von Vorfällen und die daraus zu ziehenden Lehren, diese wurden jedoch nicht konsequent befolgt. Zum Beispiel wurden die Lehren aus Grossereignissen wie COVID-19 nicht vollständig umgesetzt.
Und schliesslich gab es keinen dokumentierten Krisenkommunikationsplan der HSE, was zu einer fragmentierten Kommunikation zwischen den Krankenhäusern und CHOs führte. Aus diesem Grund verliess sich das Team während des Anschlags hauptsächlich auf seine bisherigen Erfahrungen und nicht auf formale Richtlinien.
Menschliche, technische und IT-Infrastrukturfragen
Verhaltensweisen, Sicherheitskontrollen und Überwachung
Eine nachträgliche Untersuchung der HSE-Cyberattacke durch das externe Beratungsunternehmen PricewaterhouseCoopers ergab erhebliche Sicherheitslücken in der IT-Umgebung des Unternehmens. Bestimmte Benutzerkonten hatten übermässigen Zugriff und Kontrolle, was ein Sicherheitsrisiko darstellte. Die Vorfälle und der Zeitplan, die zu dem Angriff führten, machten deutlich, dass es an effektiven Sicherheitsüberwachungsmöglichkeiten fehlte, um Warnungen zu erkennen, zu untersuchen und darauf zu reagieren. Die wiederholten Phishing-Versuche begannen bereits im November 2020, doch die Abwehrmassnahmen der HSE waren nicht in der Lage, Malware-Infektionen zu verhindern. Der IT-Infrastruktur der HSE fehlten moderne Tools zur Erkennung und Verhinderung von Ransomware und es gab keine geschulten Sicherheitsanalysten, die Virenwarnungen überwachen und auf potenzielle Bedrohungen reagieren konnten. Diese Lücke in den Fähigkeiten bereitete den Boden für den Angriff. Ausserdem verliess sich die HSE zu sehr auf Antivirensoftware, die nicht richtig konfiguriert war, um bösartige Aktivitäten auf Servern zu blockieren, und die nicht rund um die Uhr überwacht wurde. Dieses übermässige Vertrauen wurde deutlich, als bekannte bösartige Tools wie Cobalt Strike entdeckt, aber nicht angemessen bekämpft wurden. Der Angriff, der begann, als der Benutzer des Arbeitsplatzes „Patient Zero“ im März ein bösartiges Dokument öffnete, eskalierte, bis die Ransomware Mitte Mai 2021 ausgeführt wurde.
Der HSE-Angriff wurde durch das Verhalten der Benutzer ausgelöst, das bei vielen Cyberangriffen der Zündfunke ist: ein Phishing-Versuch war erfolgreich, und eine bösartige Datei wurde heruntergeladen. Es handelt sich eindeutig um ein menschliches Problem, denn solche Verhaltensweisen beruhen in der Regel auf unzureichender Schulung oder unzureichendem Wissen über die akzeptable Nutzung von IT-Systemen, was auf mangelhafte Richtlinien, mangelhafte Umsetzung der Richtlinien oder unzureichendes Wissen der Führungskräfte zurückzuführen ist.
Trotz zahlreicher deutlicher Warnungen hat die HSE ihren externen Reaktionsdienst für kritische Vorfälle nicht aktiviert. Dieses Versäumnis war nicht nur auf die IT-Infrastruktur zurückzuführen, sondern auch auf das Fehlen von Fachwissen im Bereich Cybersicherheit und auf unzureichende Reaktionsverfahren und -richtlinien, wie bereits erwähnt.
IT-Infrastruktur und Komplexität
In grossen Organisationen, die sich im Laufe der Zeit entwickelt haben, und insbesondere in staatlich finanzierten Diensten wie dem Gesundheitswesen, dem Bildungswesen und anderen Diensten, ist es üblich, dass technologische Systeme stückweise aufgerüstet werden, wenn die Budgets schwanken. Die Technologie der HSE hatte sich auf fragmentierte Weise entwickelt, was zu einem sehr komplexen und anfälligen Systemmix führte. Viele alte Systeme waren nicht auf dem neuesten Stand der Sicherheitstechnik, was sie zu einem leichten Ziel für Angreifer machte. Ausserdem verkomplizierten mehrere E-Mail-Systeme vor Ort die Sicherheitsumgebung und erschwerten es der HSE, konsistente Sicherheitsmassnahmen für das gesamte System zu implementieren.
Das „flache“ Design und die fehlende Segmentierung des HSE-Netzwerks sowie die gegenseitigen Vertrauensbeziehungen zwischen vielen Active Directory-Domänen verschlimmerten diese Schwachstellen. Das flache Netzwerkdesign erhöhte die Wahrscheinlichkeit eines Angriffs, da Angreifer, die sich Zugang zu einem Teil des Netzwerks verschafft hatten, sich relativ leicht seitlich durch das gesamte Netzwerk bewegen konnten. Das Fehlen einer Segmentierung bedeutete, dass die verschiedenen Arten von Datenverkehr nicht getrennt wurden, was es Angreifern erleichterte, durch mehrere Bereiche des Netzwerks zu navigieren und darauf zuzugreifen, ohne auf zusätzliche Sicherheitsbarrieren zu stossen.
Ausserdem bedeuteten die gegenseitigen Vertrauensbeziehungen zwischen vielen Active Directory-Domänen, dass ein Angreifer, sobald er eine Domäne kompromittiert hatte, diese Vertrauensbeziehungen ausnutzen konnte, um auf Ressourcen in anderen vertrauenswürdigen Domänen zuzugreifen und so den Angriff weiter zu verbreiten. Abgesehen von den Krankenhäusern, Krankenhausgruppen und ihren Computern, Servern und lokalen Netzwerken fielen zahlreiche andere Organisationen, die mit dem NHN verbunden waren, in den Sicherheitsbereich der HSE, so dass die Sicherheitsgrenze der HSE weitläufig und schlecht definiert war. Dies erhöhte das Risiko von Cyberangriffen auf das HSE von anderen angeschlossenen Organisationen aus und umgekehrt, da eine offene Lieferkettenarchitektur möglich war.
Operative Fragen und Krisenmanagement
Reaktion auf Vorfälle und Wiederherstellung
Die HSE hatte mehrere Probleme bei der Reaktion und Wiederherstellung während der Krise. Das Fehlen eines dokumentierten Plans für die Reaktion auf Cybervorfälle und das Fehlen von Übungen stellten sie vor grosse Herausforderungen, was zu einer langsamen und unorganisierten Reaktion führte. Ein Hauptproblem war die falsche Handhabung der ersten Untersuchung verdächtiger Aktivitäten am 13. Mai 2021. Die HSE ging fälschlicherweise davon aus, dass die Bedrohung von einem bestimmten Krankenhaus ausging und nicht von einer externen Quelle. Folglich wurde nicht rechtzeitig um externe Hilfe gebeten, was die Fähigkeit beeinträchtigte, den Angriff ordnungsgemäss zu untersuchen und darauf zu reagieren.
Die Abhängigkeit der HSE von Drittanbietern verzögerte die interne Koordination weiter. Ausserdem wurden die Wiederherstellungsbemühungen durch das Fehlen einer umfassenden Priorisierung der Anwendungen verlangsamt. Eine unzureichende Vorplanung und das Fehlen zentraler Informationen über die Anwendungen führten zu Ineffizienzen, da die HSE während der Krise Listen mit den Anwendungen, ihren Eigentümern und den Prioritäten für die Wiederherstellung erstellen und aktualisieren musste. Schliesslich führte die Abhängigkeit von bestimmten Personen während der Reaktion zu Verzögerungen und Engpässen. Wichtige IT-Mitarbeiter hatten umfangreiche Verantwortlichkeiten, begrenzte Ressourcen und keine standardisierte Dokumentation, was die Effektivität der Reaktion der HSE beeinträchtigte.
Krisenkoordination und -kommunikation
Die HSE stiess während des Cyberangriffs auf mehrere erhebliche Probleme im Zusammenhang mit der Krisenkoordination und -kommunikation, die ihre Reaktions- und Wiederherstellungsbemühungen stark beeinträchtigten. Erstens war die HSE durch die fehlende Integration der Kontinuität von Management und klinischen Diensten im Rahmen eines operativen Resilienzprogramms anfällig für die Cyberattacke. Siloartige Arbeitsabläufe verhinderten eine einheitliche Strategie gegen Cyber-Bedrohungen, was zu einer unzureichenden Planung und Vorbereitung führte. Infolgedessen wurden die erkannten Risiken nicht in verbesserte Reaktionsmöglichkeiten umgesetzt, was die Anfälligkeit der Organisation erhöhte. Zweitens bestand ein grosses Problem darin, dass der Benachrichtigungsprozess für Mitarbeiter und Interessengruppen ad hoc und ohne formelle Verfahren erfolgte. Dies führte zu einer inkonsistenten und unvollständigen Kommunikation während des Vorfalls und verlangsamte die rechtzeitige Weitergabe wichtiger Informationen.
Drittens mangelte es an Aufsicht und Struktur bei der Koordinierung und Integration der Unterstützung durch Dritte. Dies führte zu Ineffizienzen wie doppelter Datenerfassung und Fehlkommunikation, was die Aufmerksamkeit von wichtigen Reaktionsbemühungen ablenkte und die effektive Nutzung externer Ressourcen erschwerte. Viertens war die anfängliche Folgenabschätzung aufgrund des Fehlens einer HSE-weiten Schweregradmatrix begrenzt, was zu unklaren Kriterien und Verzögerungen beim Verständnis des vollen Ausmasses des Vorfalls führte. Dies erschwerte die strategische Reaktion und verzögerte wichtige Entscheidungen.
Und schliesslich wurde die Reaktion zunächst von technologischen Prioritäten und nicht von dem zentralen HSE-Wert der Patientenversorgung bestimmt. Eine frühere Einführung dieses wertorientierten Ansatzes hätte möglicherweise die Effizienz der Wiederherstellung verbessert und die Auswirkungen auf die Patientenversorgung verringert.
Fazit
Die HSE ist eine grosse, verteilte Organisation. Sie war das Ziel. Der Cyberangriff war erfolgreich, denn er drang in das gesamte Netzwerk ein, sperrte Benutzer von ihren Systemen aus und exfiltrierte Patientendaten. Die Angreifer erhielten kein Lösegeld und gaben freiwillig einen Entschlüsselungsschlüssel heraus, damit eine Nation auf ihre Gesundheitsdaten zugreifen konnte. Die HSE konnte ihre Server und die meisten ihrer Anwendungen wiederherstellen. Die exfiltrierten Daten bleiben jedoch im Dark Web verloren. Die Untersuchungen nach dem Vorfall ergaben Mängel bei der Vorbereitung, der Proaktivität und der reaktiven Haltung und Aktion, die Menschen, Prozesse und Technologie umfassen. Ausserdem wurden Schwächen in der Unternehmensführung festgestellt, insbesondere bei der Fähigkeit der Führung, mit einem Cyberangriff umzugehen, sowie bei der unzureichenden Formulierung, Prüfung und Umsetzung von Richtlinien. Weitere Probleme betrafen die Reaktionsfähigkeit im Falle eines Angriffs, mit besonderen Schwächen in der Kommunikation und Krisenkoordination in einer so grossen und verteilten Organisation.
Zur einfacheren Lesbarkeit wurden die Quell- und Literaturverweise entfernt. Der Abschnitt über die Entstehung der HSE und weitere diesbezügliche Informationen wurden ebenfalls entfernt.
Übersetzung Boris Wanzeck, Swiss Infosec AG
Mona Isazad Mashinchi, Thomas Acton, und Pratim Milton Datta in: The Journal of Information Technology Teaching Cases; 30.08.2024