Sicherheit + Datenschutz 20. März 2020 5 Min Lesezeit

Cyberangriff mit Ransomware legt grösstes Covid-19 Test-Labor lahm

Geschrieben von
Roger Klein
Covid Cybercrime

Die Uniklinik der tschechischen Stadt Brno (Brünn) wurde mit Ransomware angegriffen und musste daraufhin ihre EDV abschalten. Das berichten Journalisten des Radiosenders der Hauptstadt Prag. Besonders prekär ist der Umstand, dass ausgerechnet dieses Krankenhaus eines der grössten tschechischen Testlabore für Covid-19 betreibt.

Erpressersoftware seit Mitte März auf den Unirechnern

Mitte März wurde die EDV der Klinik mit Malware angegriffen. Die Kriminellen platzierten einen Erpressungstrojaner im internen Netz des Krankenhauses und forderten Lösegeld — über die Höhe schweigen Klinikleitung und tschechische Polizei. Von einer Zahlung raten Experten ohnehin ab: Erpresser geben nach der ersten Zahlung die Daten häufig nicht frei, sondern schrauben ihre Forderungen weiter nach oben. Die Klinik reagierte, wie es unumgänglich erschien: Sie schaltete ihre Server ab. Damit war fast der gesamte Krankenhausbetrieb lahmgelegt. Operationen konnten nicht mehr planmässig durchgeführt werden, die Ärzte suchten nach neuen Terminen. Die Webseite des Uniklinikums blieb zunächst tagelang offline. Sie ist inzwischen wieder erreichbar, doch relevante Patientendaten konnten noch nicht vollständig rekonstruiert werden (Stand: 23.03.20). Inwieweit davon auch Testproben zu Covid-19 betroffen sind und welche Schadsoftware die Kriminellen verwendeten, kommuniziert das Klinikum nicht.

Datenwiederherstellung erst in einigen Wochen

Klinikchef Jaroslav Sterba verwies gegenüber den Journalisten von Radio Prag auf die Schwierigkeiten bei der Recovery. Diese werde wohl Wochen dauern, so Sterba. Erst dann sei wieder mit einem normalen Betrieb zu rechnen. Aus Sicherheitsgründen habe man zunächst alle Server und Rechner der Klinik abschalten müssen. Die hauseigene IT-Abteilung arbeitet unter Hochdruck — gemeinsam mit Experten der Polizei und des nationalen Cyberabwehrzentrums — an der Recovery und an der Identifizierung der Schadsoftware und der Angreifer. Nach bisherigen Erkenntnissen stehen die Chancen recht gut, die Kriminellen dingfest zu machen und den Schadsoftwaretypus einzugrenzen. Derzeit betreue man die Patienten ohne EDV. Das sei mühselig ohne den digitalen Zugriff auf Krankenakten, aber machbar. Lediglich akute Fälle mussten in umliegende Krankenhäuser verlegt werden.

Bislang keine Gefährdung der Tests auf Covid-19

Der Angriff ist besonders brisant wegen der Covid-19-Tests, die die Klinik in Brno durchführt. Der separat betriebene EDV-Bereich wurde offenbar nicht von der Malware infiziert — Testergebnisse liegen weiter vor, neue Tests können durchgeführt werden. Die Brisanz eines Hackerangriffs in der gegenwärtigen Gesundheitskrise bewog die tschechischen Behörden, dem Fall besondere Priorität einzuräumen. Das schätzt der deutsche Computerexperte Günter Born ein.

Moderne Lösegeldkriminalität mit Ransomware

Die Erpressung mit Trojanern ist eine moderne Form der Kriminalität, die immer weiter um sich greift und Milliardenschäden anrichtet. Die genauen Zahlen sind nicht bekannt, weil betroffene Unternehmen — die hauptsächlichen Opfer — häufig nicht die Behörden einschalten. Auf einen solchen Angriff gibt es mehrere Reaktionsmöglichkeiten:

  • Stillschweigend das Lösegeld bezahlen — was nicht hilfreich sein muss (siehe oben). Kriminalexperten vermuten, dass in der Praxis nach Verhandlungen mit den Erpressern Zug-um-Zug-Zahlungen stattfinden: Der Kriminelle erhält etwas Geld, muss ein blockiertes Datenpaket freigeben und erhält wiederum eine Zahlung. Das kann funktionieren, muss aber nicht. Wie erfolgreich die Vorgehensweise statistisch ist, weiss praktisch niemand — gerade diese Betroffenen informieren im Erfolgsfall die Behörden nie, auch um ihre Reputation in Sachen Datensicherheit nicht zu gefährden.
  • Viele Firmen lagern Daten in einer Cloud, die Back-ups im Sekundentakt durchführt. Sie sind damit kaum noch angreifbar, weil ihnen nach einem Malwareangriff nur die letzten Sekunden der Sicherung fehlen würden. Dieses Vorgehen setzt voraus, dass das Unternehmen einem Cloudanbieter mit hohen Kapazitäten vertraut — der seinen Sitz meistens ausserhalb Europas hat (Microsoft, Google, Amazon, Salesforce und kleinere Unternehmen). Gerade sehr innovative Unternehmen mit sensiblen technischen Entwicklungen oder Finanzinformationen schrecken davor zurück.
  • Es ist auch möglich, eine europäische Cloud auf EU-Gebiet zu nutzen oder eine hausinterne Cloud einzurichten — wenn die Ressourcen dafür genügen. Bei Firmen mit riesigen Datenmengen ist das oft nicht der Fall. Krankenhäuser könnten sich so durchaus schützen, und auch vielen KMU mit überschaubaren Datenmengen würde eine solche Lösung genügen.

Warum ist Ransomware so erfolgreich?

Angesichts der Möglichkeit, sich mit Cloudspeicherung relativ effizient vor Online-Erpressungen zu schützen, stellt sich die Frage, warum Erpressertrojaner offenkundig Erfolg haben. Das Problem liegt bei den Betroffenen selbst — und ist vielschichtig. Firmen mit sehr hohen Datenmengen und -durchsätzen brauchen eine leistungsfähige Cloud, die es in Europa offenbar nicht zu geben scheint. Das von der Politik angedachte europäische Cloudprojekt Gaia-X, ein Lieblingsvorhaben von Wirtschaftsminister Peter Altmaier, kommt nicht recht voran — was angesichts der Person des Ministers auch nicht weiter überrascht, mit Verlaub. Gaia-X soll eigentlich eine nach EU-Recht sichere und technisch leistungsfähige Alternative zu den US-Anbietern werden. Also bleibt Firmen mit höchstem Datenaufkommen nur die Option eines US-Anbieters, dem sie offenkundig nicht recht vertrauen. Erstens liegen die Daten ausserhalb des EU-Rechtsgebiets — US-Behörden hätten gegebenenfalls Zugriff. Zweitens wurden auch schon Passwörter grosser US-Firmen geknackt, bei Twitter etwa rund alle fünf Jahre. Das hinterlässt das Gefühl, dass nichts wirklich sicher ist. Daraus folgt die Überlegung: Die Firmen können die Daten auch gleich auf eigenen Rechnern lagern. Doch kein Unternehmen hat die Ressourcen — intellektuell wie finanziell —, eine interne Cloud aufzubauen, die an die Leistungsfähigkeit und Security einer US-Cloud heranreicht. Trotzdem vertrauen viele Unternehmen der eigenen Infrastruktur mehr als der fremden Cloud, nutzen diese — und werden angreifbar. Ein Vergleich aus der Offline-Welt: Wer sensible Dokumente, Schmuck oder Bargeld sicher lagern will, fährt mit einem Bankschliessfach besser. Viele bevorzugen trotzdem den heimischen Tresor, der an die Sicherheitsstufe eines Banktresors kaum heranreicht. Das gibt ein gutes Gefühl — die Dinge sind nah. So verhält es sich wohl auch mit dem modernen Schatz der Daten. Kriminelle haben es damit leichter.

Wer ist von Online-Erpressung betroffen?

Die Unternehmensberatung KPMG schätzt nach eigenen Umfragen, dass in den Jahren 2016 bis 2019 rund ein Drittel aller deutschen Unternehmen und Behörden Opfer eines — nicht immer erfolgreichen — Erpressungsversuchs wurde. Etwa 60 Prozent der Befragten waren selbst betroffen oder kennen jemanden, der betroffen war. In den letzten Jahren wurden in Deutschland ein Krankenhaus in NRW, eines der grossen Industrieunternehmen und ein prominenter Juwelier angegriffen. Immer öfter werden Behörden Opfer solcher Angriffe — mit noch geringerer IT-Expertise als bei den meisten Wirtschaftsunternehmen. Dazu kommen vermögende Privatleute und manchmal Zufallsopfer, bei denen eigentlich kaum etwas zu holen ist, die aber in den Spam-Schwarm massenhaft versendeter Schadsoftware geraten sind. Die Kriminellen fordern häufig Kryptowährungen, mit denen sie die Spur des Geldes verschleiern können.

Ob zahlen oder nicht — stell dir ein Krankenhaus vor, das für eine in wenigen Stunden anstehende Operation die Daten braucht. Einen Juwelier, der Rechnungen in Millionenhöhe abrufen muss. Ein Industrieunternehmen, das für die Tagesproduktion dringend technische Daten benötigt. Solche Opfer zahlen nicht selten — die Recovery würde schlicht zu lange dauern, wie das Beispiel aus Brünn zeigt: wochenlanger Stillstand. Darauf setzen die Erpresser. Unternehmen sollten deshalb ihre Cybersecurity fortlaufend hinterfragen und nachzujustieren. Dazu gehört auch die Schulung von Mitarbeitenden, die Phishing-Angriffe erkennen müssen: Sie sind ein häufiges Einfallstor für räuberische Malware.

Tags: CybercrimeMalware
Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2020-09-09 Ihr Weg zu uns – der Weg zur Private Cloud – der Weg zu mehr Sicherheit 2020-01-08 Basiswissen für ein sicheres Passwort 2020-11-06 Covid Cybercrime: auch Kriminelle ändern ihr Verhalten

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG