Im Mai 2024 ereignete sich bei NHS Professionals (NHSP), der Vermittlungsplattform für temporäres Personal im britischen National Health Service (NHS), ein massiver Cyberangriff, der schwere Sicherheitslücken offenlegte und die Integrität einer der wichtigsten IT-Strukturen des Gesundheitssektors in England gefährdete. Trotz der Schwere des Vorfalls wurde der Hack zunächst nicht öffentlich gemacht, doch dank eingehender Recherchen und eines detaillierten Incident-Reports von Deloitte, einem führenden Beratungsunternehmen im Bereich IT-Sicherheit, kamen die Einzelheiten des Angriffs ans Licht. NHS Professionals ist eine Organisation im Besitz des Department of Health and Social Care (DHSC), die über 190.000 registrierte Gesundheitsfachkräfte und mehr als 1.000 Mitarbeiter beschäftigt.
Ihre Aufgabe besteht darin, temporäre klinische und nicht-klinische Arbeitskräfte an NHS-Träger in ganz England zu vermitteln und so eine flexible Personalstärke sicherzustellen. Die reibungslose und sichere Verwaltung dieser sensiblen Daten ist daher von höchster Bedeutung, da sie direkten Einfluss auf die Versorgungssicherheit und den Schutz personenbezogener Daten hat. Der Vorfall wurde am 15. Mai 2024 entdeckt, als Cyberkriminelle über ein kompromittiertes Citrix-Konto namens „LMS.Support2“ in das Netzwerk eindrangen.
Die genaue Methode, wie dieses Konto infiltriert wurde, konnte Deloitte nicht endgültig klären. Dennoch gelang es den Angreifern, ihre Zugriffsrechte bis hin zur Kontrolle über das gesamte Active Directory (AD) zu erhöhen. Das AD ist das Herzstück der IT-Infrastruktur, denn es verwaltet die Zugriffsrechte aller Nutzer in einem Netzwerk. Mit der Kontrolle über den AD-Dienst erhalten Hacker quasi die Schlüssel zur gesamten Organisation. Der Diebstahl der „ntds.
dit“-Datei des Active Directorys stellt daher einen besonders schwerwiegenden Eingriff dar. Diese Datenbank speichert sämtliche Benutzerkonten, Gruppen und deren verschlüsselte Zugangsdaten. Mit diesem Zugriff könnten Angreifer theoretisch die gesamte Netzwerkumgebung übernehmen und nach Belieben agieren. Deloitte dokumentierte zudem, dass über Remote-Protokolle wie RDP und SMB weitere Bewegungen im Netzwerk stattfanden, sodass die Cyberkriminellen größeren Schaden hätten anrichten können, wenn sie nicht entdeckt worden wären. Außerdem versuchten die Hacker, Schadsoftware wie Cobalt Strike zu installieren, das häufig für spätere Erpressungsangriffe (Ransomware) und erweiterte Schadensausbreitung genutzt wird.
Aufgrund von Lücken in den Systemprotokollen konnten Ermittler jedoch nicht abschließend bestätigen, ob diese Malware-Installationen vollständig erfolgreich waren. Vermutlich war das Ziel der Täter, nach dem Diebstahl der Zugangsdaten einen Ransomware-Angriff zu starten und so Lösegeld zu erpressen. Ein entscheidender Faktor, der die Angriffsmöglichkeiten der Hacker erheblich erleichterte, war das Fehlen einer umfassenden Zwei-Faktor-Authentifizierung (MFA) im Unternehmen. Zwischenzeitlich versuchte NHSP, MFA für alle Benutzerkonten einzuführen, doch zum Zeitpunkt der Untersuchung war dieser Prozess noch unvollständig. MFA gilt als eine der effektivsten Maßnahmen, um unbefugten Zugriff zu verhindern, gerade bei besonders sensiblen Konten mit hohen Rechten, wie es bei Domain-Admins der Fall ist.
Darüber hinaus fehlten flächendeckende Endpoint Detection and Response (EDR)-Lösungen, um den Datenverkehr und das Verhalten aller Endgeräte kontinuierlich zu überwachen. Ohne diese Schutzmaßnahmen konnten die Angreifer unbemerkt durch das Netzwerk navigieren und Daten exfiltrieren. Dies unterstreicht eine eklatante Sicherheitslücke in der Umsetzung moderner Cybersicherheitsstandards. Bei dem Angriff nutzten die Cyberkriminellen eine Schwachstelle in der Citrix-Umgebung, indem sie die Funktion der Laufwerkszuordnung missbrauchten. Diese erlaubte es, externe physische Laufwerke als Netzwerklaufwerke einzubinden und so die gestohlenen Daten direkt herunterzuladen und zu sichern.
Als Reaktion darauf deaktivierte NHSP dieses Feature für alle Nutzerkonten ohne zwingenden geschäftlichen Bedarf. Die Reaktion von NHS Professionals wurde von Deloitte als schnell und zielgerichtet beschrieben, da unter anderem das Active Directory vollständig zurückgesetzt, alle Authentifizierungszertifikate erneuert und sämtliche Passwörter rotiert wurden. Diese Maßnahmen sind entscheidend, um die Gefahr einer erneuten Kompromittierung durch bereits gestohlene Anmeldedaten zu minimieren. Trotzdem befand sich NHS Professionals zum Zeitpunkt des Reports noch in der Mitte des Wiederherstellungsprozesses, und wesentliche Langfristmaßnahmen waren noch nicht abgeschlossen. Trotz umfangreicher Vorstellung der Sachlage gab es von Seiten NHSPs zunächst widersprüchliche Aussagen zur tatsächlichen Datenexfiltration.
Während das Unternehmen von einem erfolgreich abgewehrten Angriff sprach, bestätigte der Deloitte-Bericht, dass die Angreifer höchstwahrscheinlich die Active Directory-Datenbank kopieren konnten. Eine offizielle Korrektur der öffentlichen Statements blieb bis heute aus, was die Transparenzfrage und das Vertrauen in die Organisation erschwert. Insider im NHS mutmaßen, dass es sich hierbei um einen Versuch der Ransomware-Infektion gehandelt haben könnte, welcher glücklicherweise vorzeitig unterbunden wurde. Die Vermutung fällt auf die kriminelle Gruppe Scattered Spider, die für derartige Cyberangriffe bekannt ist. Allerdings konnte Deloitte aufgrund fehlender spezifischer Angriffsspuren keine eindeutige Zuordnung zu diesem oder einem anderen Hacker-Kollektiv treffen.
Die Sicherheitslücken bei NHS Professionals sind symptomatisch für eine grundsätzliche Problematik im NHS und im britischen Gesundheitssystem. Ressourcenknappheit, fehlendes technisches Fachpersonal sowie die wachsende Komplexität des IT-Umfelds sorgen dafür, dass immer wieder Sicherheitsvorgaben nicht vollständig umgesetzt oder nur unzureichend überwacht werden können. Die Folgen sind gravierende Risiken für sensible Gesundheitsdaten und die Funktionsfähigkeit der medizinischen Dienste. Die Datenbank des NHS Professionals wurde laut Deloitte im Anschluss an den Vorfall eingehend überprüft und die Sicherheitsarchitektur kontinuierlich verstärkt. Doch insbesondere die Größe der zu überwachenden Infrastruktur mit zehntausenden registrierten Gesundheitsfachkräften und Mitarbeitern stellt enorme Herausforderungen dar.
Die Erhöhung der Log-Größen von 16 Megabyte pro Server und die Anbindung an zentrale Sicherheitsinformations- und Ereignis-Management-Systeme (SIEM) sind nur einige von vielen notwendigen Maßnahmen zur effektiven Erkennung und Abwehr von Cyberangriffen. Experten wie Rob Dyke, erfahrener IT-Sicherheitsexperte im Gesundheitsbereich, bewerten den Vorfall als besonders schwerwiegend. Er betont, dass der Diebstahl der AD-Daten allein schon den Charakter einer „Major Compromise“ habe, die nur mit erheblichen Ressourcen und Zeitaufwand vollumfänglich zu beheben sei. Dyke warnt außerdem davor, dass solche Vorfälle bei mangelnder Führungsebene und unzureichender Ressourcenallokation sehr lange in der Wiederherstellung verharren können – mit potentiell weitreichenden Konsequenzen für die Patientensicherheit. Die Entwicklungen bei NHS Professionals und deren Kommunikationspolitik werfen zudem Fragen zum Umgang mit Sicherheitsvorfällen und der Informationsweitergabe an die Öffentlichkeit und Aufsichtsbehörden auf.
