Das „Kerberoasting“ Wie eine E-Mail und alte Passwörter 140 Krankenhäuser ins Chaos stürzten

Heute tauchen wir in die wunderbare Welt der Cyber-Sicherheit ein, genauer gesagt in ein, nein zwei verheerenden Ransomware-Angriffe auf das US-Gesundheitsunternehmen Ascension.

Es gab gerade erst viel Gerede um Microsofts angebliche Nachlässigkeit, aber wie so oft bei solchen Dingen, steckt die Wahrheit tiefer. Dieser Vorfall zeigt, wie eine Kette von Schwachstellen, von einem schwachen Passwort bis zu veralteten Systemen, zu einer Katastrophe führen kann.

Hintergrund: Die Zahl der Ransomware-Angriffe geht weltweit durch die Decke, besonders im lohnenswerten Ziel USA ist sie 2024 sprunghaft angestiegen. Mit über 5.000 gemeldeten Angriffen, ein Anstieg von 15 % gegenüber 2023 ist die Bedrohung realer denn je. Die Hälfte dieser Angriffe richtete sich gegen Organisationen, darunter Krankenhäuser, Behörden und Privatunternehmen. Der Fall Ascension ist ein tragisches Beispiel für die menschlichen Kosten dieser Entwicklung.

Was ist passiert? Der Angriff auf Ascension

Stellt euch vor, ein Krankenhaus ist plötzlich von der Außenwelt abgeschnitten: keine elektronischen Patientenakten, keine Termine, keine geregelten Abläufe. Das ist genau das, was bei Ascension passierte. Nur mit Faktor 140!
Der Angriff von Mai 2024 hat nicht nur 140 Krankenhäuser lahmgelegt und die Daten von 5,6 Millionen Patienten gestohlen, sondern auch lebensbedrohliche Situationen geschaffen.

Der Hack begann mit einer kleinen, aber folgenschweren Aktion: Ein externer Auftragnehmer klickte auf einen bösartigen Link in einem Bing-Suchergebnis, was den Download einer schädlichen Datei und die Infektion des Laptops zur Folge hatte. Dieser erste Fehler ermöglichte es den Angreifern, sich im Netzwerk auszubreiten. Vom infizierten Rechner aus verschafften sie sich dann Zugang zum Herzstück des Netzwerks: dem Windows Active Directory. Das Active Directory ist der Master-Key für alle Türen in einem Unternehmen. Wenn man es knackt, hat man quasi den Generalschlüssel für alles.

„Kerberoasting“: Das Schwachstelle-Prinzip

Die Angreifer nutzten eine Methode namens Kerberoasting. Klingt nach einem gemütlichen Grillabend, ist aber alles andere als das. Sie profitierten von einer uralten Schwachstelle im Kerberos-Authentifizierungsprotokoll von Microsoft, das auf einem unsicheren Verschlüsselungsverfahren basiert.

Das Problem? Selbst wenn neuere Versionen des Active Directory sicher sind, fallen sie standardmäßig auf die veraltete, schwächere Methode zurück, wenn ein Gerät, zum Beispiel ein infizierter Laptop danach fragt. Das ist, als würdet ihr die neueste, sicherste Alarmanlage installieren, aber die Tür lässt sich immer noch mit dem alten Schlüssel eures Opas öffnen.

Was ist Kerberos und wie funktioniert es?

Für alle, die es genauer wissen wollen: Kerberos ist ein klassisches Authentifizierungsprotokoll aus den 80ern. Es verwendet temporäre „Tickets“, um zu bestätigen, dass ein Gerät oder eine Person autorisiert ist. Das ist sicherer, als Passwörter ständig neu zu verschicken.

Kerberoasting nutzt die Tatsache aus, dass jeder gültige Benutzer ein „Service Ticket“ anfordern kann. Dieses Ticket ist mit dem Passwort-Hash des angefragten Dienstes verschlüsselt. Angreifer klauen dieses Ticket, knacken offline den Hash und haben dann vollen Zugriff auf den Dienst.

Die wahre Ursache: Schwache Passwörter und Co.

Was in der öffentlichen Debatte unterging, war die Rolle von Ascension selbst. Denn Kerberoasting-Angriffe funktionieren nur, wenn das gehashte Passwort schwach genug ist, um geknackt zu werden!

Der IT-Sicherheitsforscher Tim Medin, der den Begriff „Kerberoasting“ geprägt hat, ist sich sicher: „Das Problem, das zu Kerberoasting führt, sind grundlegend schlechte Passwörter.“ Er schätzt, dass selbst ein 10-stelliges, zufälliges Passwort kaum zu knacken wäre. Das deutet darauf hin, dass das kompromittierte Passwort von Ascension weder zufällig war noch den Empfehlungen von Microsoft entsprach.

Ein weiterer Experte, Richard Gold, weist auf weitere massive Sicherheitsprobleme hin:

• Fehlende Netzwerksegmentierung: Ein infizierter Computer sollte niemals direkten Zugriff auf das gesamte Netzwerk haben.
  
• Fehlendes Prinzip der geringsten Rechte: Benutzerkonten sollten nur die allernötigsten Zugriffsrechte haben.
  
• Keine Tiering-Architektur: Wichtige Systeme (wie der Domain Controller) sollten strikt von weniger wichtigen getrennt sein.

Kurz gesagt: Die Angreifer konnten vom Laptop des Auftragnehmers direkt zum zentralen „Master-Schlüssel“ des Netzwerks springen. Das sollte in einem so großen Unternehmen einfach nicht passieren. Es ist ein klassischer Fall von „Security in Depth“ (oder dem Fehlen davon). Stellt euch ein Boot vor, das mehrere Schichten hat, um einen Riss im Rumpf zu überstehen. Eine einzige Schwachstelle sollte nicht zum Totalausfall führen.

Ein weiteres, oft übersehenes Problem: Die Angreifer blieben drei Monate unentdeckt, von Februar bis Mai. Das deutet auf massive Mängel bei der Netzwerküberwachung und Intrusion Detection hin.

Und als ob das nicht reicht: Ein zweites Datenleck

Als ob die Katastrophe von Mai 2024 nicht schon genug wäre, wurde Ascension in einem separaten Vorfall erneut Opfer eines Datenlecks. Wie das Unternehmen Anfang Mai 2025 bekannt gab, wurden im Dezember 2024 die persönlichen Daten von über 100.000 Menschen gestohlen.

Dieser Hack hatte nichts mit dem Kerberoasting-Angriff zu tun. Er wurde über die Software eines ehemaligen Geschäftspartners von Ascension durchgeführt, der wiederum mit dem berüchtigten Cl0p-Ransomware-Hack in Verbindung gebracht wird. Neben SentinelOne haben sich auch die Jungs von Barracuda intensiv mit dem Thema befasst. Hier nutzten die Angreifer eine Schwachstelle in einer Dateiübertragungsplattform aus, um sensible Informationen zu stehlen. Dazu gehören:

• Namen, Adressen, Telefonnummern und E-Mail-Adressen
• Sozialversicherungsnummern
• Informationen zu Diagnosen und Versicherungen

Ascension war gezwungen, den Betroffenen in fünf verschiedenen US-Bundesstaaten zwei Jahre lang kostenlose Bonitäts- und Identitätsschutzdienste anzubieten. Dieser Vorfall zeigt erneut, dass das Unternehmen über alle Kanäle hinweg mit grundlegenden Sicherheitsvorkehrungen zu kämpfen hat.

Die Folgen: Wenn der Computer ausfällt

Die Auswirkungen des Hacks waren verheerend und betrafen Menschenleben. Ärzte und Pflegepersonal konnten nicht mehr auf elektronische Patientenakten zugreifen. Systeme für die Bestellung von Tests, Verfahren und Medikamenten waren lahmgelegt. Ein Pfleger im US-Sender NPR berichtete von einem erschreckenden Erlebnis: Er hätte beinahe einem Baby die falsche Dosis eines Betäubungsmittels verabreicht, weil die handschriftlichen Unterlagen verwirrend waren.

Dieser Vorfall macht deutlich, was passieren kann, wenn ein Gesundheitssystem, das jahrelang komplett digital gearbeitet hat, plötzlich zum Papier zurückkehren muss. Viele Krankenschwestern und Pfleger, die nie zuvor mit Papierdokumenten gearbeitet hatten, mussten plötzlich auf jahrzehntealte Formulare zurückgreifen, die aus Schubladen gekramt wurden.

Die Schäden gehen weit über die unmittelbare Störung hinaus:

• Erhöhte Sterblichkeitsrate: Studien schätzen, dass die Sterblichkeitsrate in Krankenhäusern infolge eines Cyberangriffs um 1-2 % steigen kann.
  
• Rechtliche Konsequenzen: Ascension sieht sich bereits mit Klagen konfrontiert.
  
• Finanzielle Einbußen: Abgesehen von möglichen Lösegeldzahlungen und den Kosten für die Wiederherstellung der Systeme, können Cyberangriffe zu massiven Umsatzeinbußen und Einstellungsengpässen führen.

Microsoft in der Kritik

Senator Ron Wyden hat die Federal Trade Commission (FTC) offiziell dazu aufgefordert, Microsoft wegen Cybersicherheits-Versäumnissen zu untersuchen. Er wirft dem Unternehmen vor, die kritische US-Infrastruktur durch seine nachlässige Haltung gegenüber Sicherheit zu gefährden. Wyden kritisierte öffentlich, dass Microsofts „de facto Monopol auf dem Enterprise-Betriebssystem-Markt“ eine ernsthafte Bedrohung für die nationale Sicherheit darstellt.

Die Fakten sind brisant: Wydens Mitarbeiter warnten Microsoft im Juli 2024 vor der Schwachstelle. Microsoft veröffentlichte im Oktober 2024 einen Blogpost dazu, versprach aber weder eine direkte Kundenwarnung noch eine schnelle Software-Aktualisierung. Fast ein Jahr später ist noch immer kein Update erschienen, um die veraltete Verschlüsselung standardmäßig zu deaktivieren.

Wie Ensar Seker, CISO bei SOCRadar, feststellte: „Was bei Ascension passiert ist, geht nicht nur auf einen Klick oder einen alten Chiffrierungsstandard zurück. Es geht um systemische Risiken, die von Standardkonfigurationen und der architektonischen Komplexität weit verbreiteter Software-Ökosysteme wie dem von Microsoft herrühren.“

Was können Organisationen daraus lernen?

Das größte Learning aus dem Ascension-Debakel ist die Bedeutung von Vorsorge und Reaktionsplanung. Es reicht nicht, nur IT-Sicherheit zu betreiben. Man muss davon ausgehen, dass ein Angriff irgendwann passieren wird.

Das wichtigste ist, einen klaren Plan zu haben und diesen auch regelmäßig zu üben. Expertin Jen Anthony betont: „Die beiden größten Faktoren für die Reaktion einer Organisation sind Führung und Kommunikation.“

• Üben, üben, üben: Sogenannte „Tabletop-Übungen“ simulieren einen Cyberangriff. Dabei werden Schwachstellen identifiziert, die Reaktionszeit verbessert und die Kommunikationswege getestet.
  
• Klare Kommunikation: In einer Krise ist es essenziell, Mitarbeitern und Kunden/Patienten gegenüber offen und ehrlich zu kommunizieren, um Vertrauen zu bewahren.

Fazit: Eine Katastrophe, die vermeidbar war

Die Angriffe auf Ascension zeigen, dass es nicht den einen Schuldigen gibt. Microsofts Bequemlichkeit, veraltete Standards zu unterstützen, hat einen Beitrag geleistet, aber die größte Verantwortung liegt bei Ascension selbst.

Die fehlenden Sicherheitsstandards, beginnend bei starken Passwörtern über Netzwerk-Segmentierung bis hin zu „Zero Trust“-Prinzipien waren der eigentliche Grund, warum der Angriff von Mai 2024 so erfolgreich sein konnte. Eine einzige Schwachstelle hätte nicht zum Kollaps eines so großen Netzwerks führen dürfen. Der zweite Vorfall zeigt, dass es sich hier um ein systematisches Problem handelt, das weit über einen einzigen Angriffsvektor hinausgeht.

Besonders weil Angreifer immer neue Wege finden werden, ist es die Aufgabe von Unternehmen, grundlegende Sicherheitsmaßnahmen zu implementieren und diese auch kontinuierlich weiter zu pflegen. Die Geschichte von Ascension ist ein Weckruf für alle, die glauben, dass Cyber-Sicherheit nur ein Thema für die IT-Abteilung ist.

Zusätzliche Ressourcen zum Thema:

• Zero Trust Prinzip: Was steckt hinter diesem Sicherheitsmodell?
• Passwort-Sicherheit: Wie erstellt man wirklich starke Passwörter?
• Active Directory Best Practices: Ein Guide für Admins, um das Active Directory abzusichern.