Im Juli wurde bekannt, dass Hacker 1,5 Millionen Patientendaten aus der Datenbank der Gesundheitsgruppe SingHealth in Singapur gestohlen hatten. Seither untersuchen die Cyber Security Agency of Singapore (CSA) und das Integrierte Gesundheitsinformationssystem (IHiS) den Fall eingehend. Sie beschrieben die Cyberattacke damals als „absichtlich, gezielt und gut geplant“. Nun gibt es neue Details der Untersuchung. Die SingHealth Datenpanne war mit einer ganzen Kette von Ereignissen verknüpft. Einige davon machten es den Hacker leicht, wie es scheint. Eine große Rolle spielte dabei ein Server der SingHealth Gesundheitsgruppe.

IT-Abteilungen aktualisieren alle Softwarekomponenten so oft wie nötig und Sicherheitssoftware meistens sogar mehrmals im Monat. Die Verantwortlichen bei SingHealth hatten jedoch die notwendigen Updates der Sicherheitssoftware 14 Monate lang nicht durchgeführt, wie jetzt aufgedeckt wurde.

Herr Tan Aik Chin, Senior Manager im Forschungsbereich des National Cancer Center Singapore sagte vor der Untersuchungskommission aus, dass er eher zufällig der Verwalter des betroffenen Servers geworden sei. Die IHiS ist eigentlicher Betreiber aller IT-Systeme der öffentlichen Gesundheitseinrichtungen Singapurs. Ganz offiziell wurde ihm die Aufgabe nicht übertragen. 2014 hatten ihm Kollegen der IHiS Benutzernamen und Passwort des Admin-Zugangs für diesen Server gegeben, da er sich ohnehin im gleichen Gebäude befinden würde. Als die Kollegen die Behörde später verließen, übernahm niemand ihre Aufgabe. So war fortan Herr Tan, der eigentlich ganz andere Aufgaben hat in der Behörde, alleiniger Verwalter des Servers. Er hatte jedoch keinerlei Befähigungen in Sachen Cybersicherheit oder Serveradministration und kannte sich nur oberflächlich aus. Nicht verwunderlich also, dass der betroffene Server 2014 zuletzt ein Sicherheitsupdate erhalten hatte.

Herr Tan wurde darüber informiert, dass der Server im Juli dieses mit einem Virus infiziert wurde. Einem IHiS-Mitarbeiter gelang es nicht, die Antivirensoftware dieses Servers zu aktualisieren. Es hieß, die Serversoftware sei veraltet und müsse neu installiert werden. Der IHiS-Mitarbeiter wies ihn an, den Server vom SingHealth-Netzwerk zu trennen dann die Installation der Antivirensoftware und alle Updates manuell durchzuführen. Als Herr Tan anschließend am 10. Juli den Server auf Sicherheitsbedrohungen scannte, wurden drei Bedrohungen gelistet. Zwei konnten bereinigt werden, aber der Dritte war in Quarantäne gestellt worden.

Die Direktorin der IHIS-Infrastrukturdienstabteilung, Frau Serena Yong, gab an, dass ihr nicht bekannt war, dass der fragliche Server nicht von IHiS verwaltet wurde. 2014 hatte sie eine Richtlinie erlassen, dass IHiS die insgesamt acht Forschungsserver nicht verwalten würde. Herrn Tan übernahm diese Aufgabe dann inoffiziell. Der Eindruck bleibt, dass bei diesem Sicherheitsvorfall noch viel mehr nicht so war, wie es sein sollte. Die weiteren Untersuchungen des Falles werden sicher noch mehr ans Tageslicht bringen.

Artikel von straitstimes.com, 27.09.2018: Exploited server in SingHealth cyber attack did not get security update for 14 months, COI finds

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0