Ransomware
Back to the roots: Cyberattacken legen ganze Krankenhäuser lahm
Die Vorfälle häufen sich. Angriffe auf IT-Sicherheitssysteme bringen ganze Krankenhäuser zum Stillstand. Nichts geht mehr – also zurück zu Papierakte, Fax und Botengängen. Aber das ist noch längst nicht die Spitze des Eisberges, denn teilweise wird die medizinische Versorgung massiv eingeschränkt. Operationen müssen abgesagt, Notfälle in andere Krankenhäuser weitergeleitet und diagnostische Geräte nicht verwendet werden.
Report: Melanie Günther
Schuld daran ist eine Ransomware, ein Verschlüsselungstrojaner. Diese wird mittels einer E-Mail gezielt oder wahllos versandt. Sie enthält manipulierte Anhänge wie PDF-Dokumente, MP3- oder Videodateien. Unvorsichtigkeit ist dann oftmals die Wurzel allen Übels. Wird der Anhang geöffnet, lädt die Software den eigentlichen Schadquellcode nach.
Mit dem Nachladen des sogenannten Payloads wird die Software aktiv und verschlüsselt jegliche Art von Dokumenten auf den verfügbaren Lauf- und Netzwerken. In der Regel informiert die Malware den Nutzer nach Abschluss der Verschlüsselung und fordert ihn auf Geld oder Bitcoins für die Wiederherstellung des Systems zu überweisen.
Amerikanisches Krankenhaus zahlt 40 Bitcoins
Bereits am 5. Februar infiltrierte eine Schadsoftware das IT-System des Hollywood Presbyterian Medical Center in Los Angeles. Geschäftsführer Allen Stefanek hielt die Zahlung der geforderten 40 Bitcoins, dies entspricht rund 17.000 US-Dollar, für den schnellsten und effizientesten Weg, das System und administrative Funktionen wiederherzustellen. Etwa zwei Wochen lang waren alle Versuche gescheitert, die Verschlüsselung selbst zu knacken und das System sowie Dateien wiederherzustellen.
Das muss aber nicht unbedingt sein, weiß Frederik Humpert-Vrielink, Geschäftsführer der CETUS Consulting GmbH: „Sofern es sich um eine aggressive Schadsoftware handelt, ist es sinnvoll das komplette IT-System vom Netz zu nehmen, die Ursache des Schadens auszumachen und zusammen mit Experten herauszufinden, wie das System wiederhergestellt werden kann. Oft reichen gezielte Back-ups aus, um alte Daten wiederherzustellen.“
Deutsche Krankenhäuser sind ebenfalls betroffen
Auch das städtische Lukaskrankenhaus in Neuss wurde Opfer eines Cyberangriffes. Zunächst dementierte die Klinikleitung, dass eine Lösegeldforderung eingegangen sei. Mittlerweile ermittelt jedoch die Staatsanwaltschaft Köln wegen versuchter Erpressung.
Humpert-Vrielink glaubt allerdings nicht an gezielte Angriffe aus das Gesundheitswesen: “Ich glaube nicht, dass es organisierte Angriffe auf deutsche Krankenhäuser sind. Es handelt sich dabei um eine der immer häufiger vorkommenden Wellen von Ransomware oder Schadsoftware, die einfach darauf abzielt, möglichst viel Schaden anzurichten. Das Ganze ist recht simple organisierte Kriminalität, mit der man in der Regel Geld erpressen möchte.“
Dass es sich um wahllose Wellen handelt, dafür spreche auch, dass viele Krankenhäuser seit Bekanntwerden die Vorfälle durch gezielte Sicherheitsmaßnahmen unbeschadet überstanden haben. „Ich weiß von Krankenhäusern, die beim ersten Bekanntwerden ihre Mitarbeiter gebrieft haben. Das Öffnen von Downloadanhängen, Mailanhängen und ähnlichem wurde schlichtweg untersagt oder technische gesperrt.“ Außerdem seien auch industrielle Unternehmen von Cyberattacken betroffen.
Fehler im System liegt in falschen Prioritäten
Solche Sicherheitsvorfälle wie in Neuss deuten darauf hin, dass die IT-Infrastruktur nicht ausreichend gesichert sei und das Personal nicht genug sensibilisiert wurde.
Humpert-Vrielink weiß: „Die Prioritäten werden schlichtweg falsch gesetzt und somit die Gefahr unterschätzt. Es wird zu wenig in die Organisation, in das Management und strukturierte IT-Prozesse investiert. Das Lukaskrankenhaus verfügt über ein siebenköpfiges IT-Team. Ein Krankenhaus muss in der Regel 180 bis 200 IT-Dienste betreuen. Im Fall Neuss entspricht dies einem Verhältnis von 1,5 Arbeitsstunden pro IT-Dienst pro Woche. 1,5 Stunden stehen dann für Updates, die Schließung von Sicherheitslücken, die Einführung von Projekten oder der Datensicherung zur Verfügung. Das ist schlicht zu wenig Zeit.“
Worin liegt nun also der Fehler im System? Ganz klar: Offensichtlich mangelt es den Krankenhäusern an einer klaren Prioritätensetzung. Nur mit einem gezielten und strukturierten IT-Betrieb sowie einer ausreichend großen Personaldecke können Sicherheitslücken frühzeitig erkannt und geschlossen werden. Darüber hinaus muss das Klinikpersonal ausreichend geschult werden. Im Fall Neuss hatte ein Mitarbeiter unvorsichtigerweise einen E-Mail-Anhang geöffnet. Daraufhin verseuchte der Virus hunderte Rechner.
Eigentliche Bedrohung liegt woanders
Dass die Investition in die Sicherung der IT-Infrastruktur ein ganz zentraler Punkt ist, erläutert Humpert-Vrielink: „Ransomware Programme sind relativ ungefährlich und können mit einem gezielten Back-up zurückgespielt werden – sofern dieses vorliegt. Eine größere Gefahr geht von sogenannten Killertrojanern aus. Das sind gefährliche Werkzeuge, mit denen je nach Netzwerk- und Fehlerstruktur, Medizingeräte gesteuert sowie Patientendaten gestohlen werden können. Diese werden dann oft auf dem Schwarzmarkt verkauft. In den USA sind Patientendaten bereits fast vier Mal so viel wert wie Kreditkartendaten.“
08.06.2016