Die Uniklinik der tschechischen Stadt Brno (Brünn) wurde mit Ransomware angegriffen und musste daraufhin ihre EDV abschalten. Das berichten Journalisten des Radiosenders der Hauptstadt Prag. Besonders prekär ist der Umstand, dass ausgerechnet dieses Krankenhaus eines der größten tschechischen Testlabore für Covid-19 betreibt.
Erpressersoftware seit Mitte März auf den Unirechnern
Mitte März wurde die EDV der Klinik mit Malware angegriffen. Die Kriminellen platzierten einen Erpressungstrojaner im internen Netz des Krankenhauses und forderten Lösegeld, über die Höhe schweigen sich die Klinikleitung und die tschechische Polizei aus. Von so einer Zahlung raten Experten ohnehin ab, weil die Erpresser häufig keinesfalls nach der ersten Zahlung die Daten wieder freigeben, sondern ihre Forderungen immer weiter nach oben schrauben. Die Klinik reagierte, wie es unumgänglich erschien: Sie schaltete ihre Server ab. Damit wurde allerdings fast der gesamte Krankenhausbetrieb lahmgelegt. Operationen konnten nicht mehr planmäßig durchgeführt werden, die Ärzte suchen nun nach neuen Terminen. Die Webseite des Uniklinikums blieb zunächst tagelang offline. Sie ist zwar inzwischen wieder erreichbar, doch relevante Patientendaten konnten noch nicht vollständig rekonstruiert werden (Stand: 23.03.20). Inwieweit davon auch Testproben zu Covid-19 betroffen sind und welche Schadsoftware die Kriminellen verwendeten, kommuniziert das Klinikum nicht.
Datenwiederherstellung erst in einigen Wochen
Der Klinikchef Jaroslav Sterba verwies gegenüber den Journalisten von Radio Prag auf die Schwierigkeiten bei der Recovery. Diese werde wohl Wochen, so Sterba. Erst dann sei wieder mit einem normalen Betrieb zu rechnen. Man habe aus Sicherheitsgründen zunächst alle Server und Rechner der Klinik abschalten müssen. Die hauseigene IT-Abteilung arbeite unter Hochdruck gemeinsam mit Experten der Polizei und des nationalen Cyberabwehrzentrums sowohl an der Recovery als auch an der Identifizierung der Schadsoftware und der Angreifer selbst. Nach den bisherigen Erkenntnissen stehen indes die Chancen recht gut, die Kriminellen dingfest zu machen und auch den Schadsoftwaretypus genau einzugrenzen. Derzeit betreue man die Patienten ohne EDV. Das sei mühselig ohne den digitalen Zugriff auf Krankenakten, jedoch machbar. Lediglich akute Fälle mussten in umliegende Krankenhäuser verlegt worden.
Bislang keine Gefährdung der Tests auf Covid-19
Der Angriff ist besonders brisant wegen der Covid-19-Tests, welche die Klinik in Brno durchführt. Allerdings wurde dieser separat betriebene EDV-Bereich offenbar nicht von der Malware infiziert, sodass die Testergebnisse weiter vorliegen und auch neue Tests durchgeführt werden können. Doch die Brisanz eines Hackerangriffs in der gegenwärtigen Gesundheitskrise bewog die tschechischen Behörden, dem Fall eine besondere Priorität einzuräumen. Das schätzt der deutsche Computerexperte Günter Born ein.
Moderne Lösegeldkriminalität mit Ransomware
Die Erpressung mit Trojanern ist eine moderne Form der Kriminalität, die immer weiter um sich greift und Milliardenschäden anrichtet. Die genauen Zahlen sind nicht bekannt, weil betroffene Unternehmen – die hauptsächlichen Opfer – vielfach nicht die Behörden einschalten. Sie haben mehrere Optionen, auf so einen Angriff zu reagieren:
- Sie können stillschweigend das Lösegeld bezahlen, was nicht hilfreich sein muss (siehe oben). Kriminalexperten vermuten, dass in der Praxis nach Verhandlungen mit den Erpressern Zug-um-Zug-Zahlungen stattfinden. Der Kriminelle erhält etwas Geld, muss dann ein blockiertes Datenpaket freigeben und erhält wiederum eine Zahlung. Das kann, muss aber nicht funktionieren. Wie erfolgreich die Vorgehensweise statistisch gesehen ist, weiß praktisch niemand, weil gerade diese Betroffenen im Erfolgsfall die Behörden niemals informieren – auch, um die eigene Reputation in Hinsicht auf ihre Datensicherheit nicht zu gefährden.
- Viele Firmen lagern die Daten in einer Cloud, welche führen Back-ups im Sekundentakt durchführt. Sie sind damit nur noch schwer angreifbar, weil ihnen nach einem Malwareangriff nur die letzten Sekunden ihrer Sicherung fehlen würden. Dieses Vorgehen setzt voraus, dass das Unternehmen einem Cloudanbieter mit hohen Kapazitäten vertraut, der seinen Sitz meistens außerhalb von Europa hat (Microsoft, Google, Amazon, Salesforce und kleinere Unternehmen). Davor schrecken gerade sehr innovative Unternehmen mit bahnbrechenden technischen Entwicklungen oder sensiblen Finanzinformationen zurück.
- Es ist auch möglich, eine europäische Cloud auf EU-Gebiet zu nutzen oder gar eine hausinterne Cloud einzurichten – wenn die Ressourcen hierfür genügen. Das ist bei Firmen mit riesigen Datenmengen oft nicht der Fall. Krankenhäuser indes könnten sich durchaus so schützen, auch vielen KMU mit eher mäßigen Datenmengen würde so eine Lösung genügen.
Warum ist Ransomware so erfolgreich?
Angesichts der Möglichkeit, sich mit einer Cloudspeicherung relativ effizient vor Online-Erpressungen zu schützen, fragt es sich, warum solche Erpressertrojaner offenkundig Erfolg haben. Das Problem liegt im Prinzip bei den Betroffenen und ist vielschichtig. Firmen mit sehr hohen Datenmengen und -durchsätzen benötigen eine sehr leistungsfähige Cloud, die es in Europa nicht zu geben scheint. Das von der Politik angedachte europäische Cloudprojekt Gaia X, ein Lieblingsvorhaben unseres Wirtschaftsministers Peter Altmaier, scheint nicht recht voranzukommen – was uns angesichts der Person des Ministers (dem ein Fauxpas nach dem anderen unterläuft) auch nicht wundert – mit Verlaub gesprochen, sehr geehrter Herr Minister. Gaia X soll eigentlich eine nach EU-Recht sichere und technisch leistungsfähige Alternative zu den oben genannten US-Anbietern werden. Also bleibt Firmen mit höchstem Datenaufkommen nur die Option eines US-Anbieters, dem sie offenkundig nicht recht vertrauen. Das hat mehrere Gründe. Erstens lägen die Daten außerhalb des Rechtsgebiets der EU. US-Behörden hätten darauf gegebenenfalls Zugriff. Zweitens wurden auch schon Passwörter sehr großer US-Firmen geknackt, bei Twitter etwa kommt das rund alle fünf Jahre vor. Das hinterlässt das fade Gefühl, dass nichts, aber auch gar nichts auf dieser Welt sicher ist. Daraus resultiert dann die Überlegung, dass die Firmen die Daten auch gleich auf ihren eigenen Rechnern und Servern lagern können. Doch kein Unternehmen hat die Ressourcen (intellektuell und finanziell), eine interne Cloud mit einer Leistungsfähigkeit und Security aufzubauen, die der einer US-Cloud entspricht. Dennoch vertrauen die Unternehmen ihrer eigenen Infrastruktur im Haus mehr als der fremden Cloud, nutzen diese – und werden angreifbar. Ein Vergleich aus der Offline-Welt bietet sich an: Wer sensible Dokumente, Schmuck, Gold oder Bargeld sicher lagern will, sollte sich vielleicht am ehesten ein Bankschließfach nehmen. Doch viele Menschen bevorzugen den eigenen, heimischen Tresor, der aber an die Sicherheitsstufe eines Banktresors kaum jemals heranreicht. Doch es gibt den Menschen ein gutes Gefühl, die Dinge in ihrer Nähe zu wissen. So verhält es sich wohl auch mit dem modernen Schatz der Daten. Damit haben aber Kriminelle ein leichteres Spiel.
Wer ist von Online-Erpressung betroffen?
Die Unternehmensberatung KPMG schätzt nach eigenen Umfragen, dass in den Jahren 2016 bis 2019 rund ein Drittel aller deutschen Unternehmen und Behörden schon Opfer eines (nicht immer erfolgreichen) Erpressungsversuches wurden. Etwa 60 Prozent der Befragten waren selbst betroffen oder kennen jemanden sehr gut (oft Geschäftspartner), der betroffen war. So wurden in den letzten Jahren in Deutschland ein Krankenhaus in NRW, eines unserer großen Industrieunternehmen und ein sehr prominenter Juwelier angegriffen. Immer häufiger werden zudem Behörden Opfer solcher Angriffe, bei denen die IT-Expertise noch viel geringer ausgeprägt ist als bei den meisten Wirtschaftsunternehmen. Hinzu kommen vermögende Privatleute und manchmal auch Zufallsopfer, bei denen eigentlich gar nicht viel zu holen ist, die aber in den Spam-Schwarm massenhaft versendeter Schadsoftware geraten sind. Die Kriminellen fordern oft Kryptowährungen, mit denen sie die Spur des Geldes verschleiern können. Nun stellt sich für die Betroffenen die Frage, ob sie zahlen sollen oder nicht. Man stelle sich ein Krankenhaus vor, das für eine in wenigen Stunden anstehende Operation die Daten braucht, einen Juwelier, der Rechnungen in Millionenhöhe abrufen muss oder ein Industrieunternehmen, das für die Tagesproduktion dringend technische Daten benötigt. Solche Opfer zahlen nicht selten – die Recovery, so sie denn möglich wäre, würde viel zu lange dauern, wie das Beispiel aus Brünn (wochenlanger Stillstand) zeigt. Darauf setzen die Erpresser. Es ist den Unternehmen daher dringend zu raten, ihre Cybersecurity fortlaufend zu hinterfragen und nachzujustieren. Dazu gehört übrigens auch die Schulung von Mitarbeitern, die Phishing-Angriffe erkennen müssen: Sie sind ein häufiges Einfallstor für räuberische Malware.