Bericht: Gehackte US-Krankenhauskette war Heartbleed-Opfer

Der Diebstahl von 4,5 Millionen Patientendaten bei der US-Krankenhauskette Community Health Systems (CHS) war durch die Heartbleed-Lücke in OpenSSL möglich. Das berichtet David Kennedy, CEO von TrustedSec sowie früherer NSA-Angestellter. Ihm zufolge setzte CHS nicht gepatchte Netzwerk-Hardware von Juniper ein.

Der Vorfall wäre damit der bisher größte aus Heartbleed (CVE-2014-0160) resultierende. Zwar patchte OpenSSL die Lücke im April, die Angreifer kamen aber wohl der Krankenhaus-IT zuvor: Die Attacke hat sich wahrscheinlich zwischen April und Juni ereignet. Der Sicherheitsanbieter Mandiant, der zu FireEye gehört, hat sie nach China zurückverfolgt.

Die Heartbleed-Lücke hatten das finnische Unternehmen Codenomicon und Neel Mehta von Google Security entdeckt. Angreifer können damit an zufällige Daten aus dem Speicher eines Servers gelangen, unter denen sich auch Verschlüsselungszertifikate oder andere kritische Informationen befinden können. Mit einem solchen Zertifikat wäre es beispielsweise möglich, sich gegenüber Dritten als der angegriffene Server auszugeben.

Angriffe via Heartbleed sind so gut wie unentdeckbar. Zur Zeit der Entdeckung dürften nach Schätzungen zwei Drittel aller Websites weltweit betroffen gewesen sein – einschließlich Social Networks und Banken.

Den anonymen Quellen von TrustedSec zufolge war die Heartbleed-Lücke in den Remote-Access-Systemen fürs Krankenhauspersonal ungepatcht. Die Angreifer gelangten nach ihrer Darstellung an die Zugangsdaten eines Mitarbeiters, die sich gerade im RAM eines Juniper-Systems befanden. So konnten sie sich ins VPN und von dort aus in die Patientendatenbank einloggen.

TrustedSec kommentiert: „Dies ist der erste bestätigte Sicherheitsvorfall, bei dem der ursprüngliche Angriffsvektor der Heartbleed-Lücke galt. Was wir hier lernen können, ist, dass wir uns im Fall einer (seltenen) Lücke wie Heartbleed ohne Verzögerung der Behebung zuwenden müssen. Durch schnelle Reaktion hätte der komplette Angriff von vornherein verhindert werden können.“

Ende Juni waren laut dem Sicherheitsunternehmen Errata Security noch mehr als 300.000 Server weltweit für Heartbleed anfällig. Damals hieß es, die Zahl der Server, die eine unsichere Version von OpenSSL verwenden, habe sich seit Entdeckung der Lücke Anfang April halbiert.

Nach Angaben von CHS, das 206 Krankenhäuser in 29 Bundesstaaten verwaltet, wurden unter anderem Namen, Adressen, Telefonnummern, Geburtsdaten und Sozialversicherungsnummern von Patienten gestohlen. Auf Kreditkartendaten und Patientenakten hatten die Hacker offenbar keinen Zugriff. Reuters zufolge ist es der größte Diebstahl von Patientendaten seit 2009, als die US-Regierung derartige Vorfälle zu überwachen begann.

[mit Material von Max Smolaks, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.