Salta al contenuto
News

AdaptHealth: Social Engineering-Angriff auf Cloud-Systeme und Patientendatendiebstahl

AdaptHealth: Social Engineering-Angriff auf Cloud-Systeme und Patientendatendiebstahl

Auf einen Blick

AdaptHealth, ein Unternehmen für medizinische Geräte, wurde Opfer eines Cyberangriffs mittels Social Engineering, der es Kriminellen ermöglichte, auf Cloud-Systeme zuzugreifen und sensible Patientendaten zu stehlen. Der Angriff kompromittierte interne Patientenverwaltungssysteme, Speicherplattformen und elektronische Patientenakten-Portale. Die Sicherheitsverletzung erfolgte über einen nichtsahnenden Drittanbieter. Das Unternehmen aktivierte die Incident-Response-Protokolle, nachdem es am 15. Juni von den Angreifern kontaktiert wurde.

Hintergrund

AdaptHealth, ein Unternehmen für medizinische Geräte, hat der Securities and Exchange Commission (SEC) mitgeteilt, Opfer eines Cyberangriffs geworden zu sein. Die Angreifer nutzten Social-Engineering-Techniken, um in die Unternehmenssysteme einzudringen und sensible Patientendaten, einschließlich Passwörter für die Versicherungsabrechnung, zu entwenden. Die Intrusion betraf interne Patientenverwaltungssysteme, Dokumentenspeicherplattformen und externe Portale für elektronische Patientenaktensysteme. Der Angriff wurde durch die gezielte Ausnutzung eines nichtsahnenden Drittanbieters durchgeführt. Über diesen Kanal erhielten die Kriminellen Zugang zur Cloud-Umgebung des Unternehmens, wo Anwendungen mit den sensiblen Daten gespeichert waren. AdaptHealth aktivierte ihre Incident-Response-Protokolle sofort, nachdem sie am 15. Juni von den Angreifern kontaktiert wurden, dem Datum, an dem diese den Diebstahl offenbarten.

Warum es wichtig ist

Der Vorfall bei AdaptHealth unterstreicht die entscheidende Bedeutung von Cybersicherheit und Risikomanagement für Organisationen, die sensible Daten verarbeiten, insbesondere im Gesundheitswesen. Die Verletzung personenbezogener Daten, insbesondere von Gesundheitsinformationen, die unter die besonderen Kategorien von Daten gemäß der DSGVO (Art. 9) fallen, zieht strenge Meldepflichten gegenüber den Aufsichtsbehörden und, falls erforderlich, gegenüber den betroffenen Personen (Art. 33, 34) nach sich. Der Einsatz von Social Engineering verdeutlicht die anhaltende menschliche Schwachstelle und erfordert eine ständige Schulung und Sensibilisierung des Personals. Darüber hinaus beleuchtet die Kompromittierung über einen Drittanbieter die Notwendigkeit eines robusten Lieferkettenmanagements und der Sicherheit von Lieferanten, wie es Art. 21 Absatz 2 Buchstabe g der NIS2-Richtlinie und spezifische Kontrollen der ISO 27001 (z.B. A.5.17) fordern. Die rechtzeitige Aktivierung der Incident-Response-Protokolle ist entscheidend, um Schäden zu mindern und Sorgfalt zu beweisen.

Was zu tun ist

  • Incident-Response-Protokolle bei vermuteter Verletzung umgehend aktivieren.
  • Die Schulung des Personals zu Social-Engineering-Techniken verstärken, um die menschliche Schwachstelle zu mindern.
  • Robuste Sicherheits- und Risikomanagementmaßnahmen für Drittanbieter implementieren, die Zugriff auf Unternehmenssysteme haben.
  • Den angemessenen Schutz von Cloud-Systemen, Dokumentenmanagement-Plattformen und EHR-Portalen, die sensible Daten enthalten, gewährleisten.
  • Meldepflichten gegenüber den zuständigen Behörden und, falls zutreffend, den betroffenen Personen nach einer Verletzung erfüllen.

Was zu vermeiden ist

  • Die Schulung des Personals zu Social-Engineering-Bedrohungen nicht vernachlässigen.
  • Sicherheitsrisiken, die von Drittanbietern mit Zugriff auf Unternehmenssysteme ausgehen, nicht unterschätzen.
  • Verzögerungen bei der Aktivierung von Incident-Response-Plänen nach Feststellung einer Verletzung vermeiden.
  • Passwörter oder sensible Daten nicht in unzureichend geschützten Umgebungen speichern.

Praktische Auswirkungen

Der Vorfall zeigt, dass auch Unternehmen mit aktivierten Antwortprotokollen ein effektives Ziel für komplexe Angriffe sein können, die die Lieferkette und menschliche Schwachstellen ausnutzen. Die Implikationen betreffen den Ruf, regulatorische Sanktionen und das Kundenvertrauen, insbesondere im Gesundheitswesen, wo der Datenschutz kritisch ist.

Empfohlene Maßnahmen

  • Incident-Response-Pläne regelmäßig überprüfen und testen.
  • Umfassende Sicherheitsaudits bei Drittanbietern durchführen, die sensible Daten verwalten oder darauf zugreifen.
  • Kontinuierliche Schulungsprogramme für Mitarbeiter zu den neuesten Angriffstechniken, wie Social Engineering, implementieren.
  • Die Sicherheitsarchitektur für Cloud-Systeme und externe Portale, die Gesundheitsdaten enthalten, bewerten.

Zu vermeidende Fehler

  • Annehmen, dass Cloud-Systeme ohne entsprechende Konfigurationen und Kontrollen intrinsisch sicher sind.
  • Warnsignale oder ungewöhnliche Anfragen ignorieren, die auf einen Social-Engineering-Versuch hindeuten könnten.
  • Risikobewertungen bezüglich der Lieferkette nicht regelmäßig aktualisieren.

Fragen zur Selbsteinschätzung

  • Verfügt unsere Organisation über klare und getestete Verfahren für das Management von Sicherheitsvorfällen?
  • Ist unser Personal ausreichend geschult und sich der Social-Engineering-Risiken bewusst?
  • Wie verwalten und überwachen wir die Sicherheit der Daten, die von unseren Drittanbietern verarbeitet werden?
  • Sind unsere Cloud-Systeme und externen Portale, die sensible Daten enthalten, mit angemessenen und aktualisierten Sicherheitskontrollen geschützt?
  • Sind wir in der Lage, unautorisierte Zugriffe oder verdächtige Aktivitäten auf unseren Systemen schnell zu identifizieren?

Verweise

Nationales Recht: Regolamento Generale sulla Protezione dei Dati (GDPR) Art. 9, Art. 28, Art. 32, Art. 33, Art. 34 · Direttiva NIS2 (UE 2022/2555) Art. 21, Art. 23 · ISO/IEC 27001

Zum Originalartikel auf DataBreaches.net ↗

Lesen Sie auch