Cyberangriffe auf Krankenhäuser – echt?
Einerseits wurde bekannt, dass ein Krankenhaus in den USA Lösegeld an Cyberkriminelle gezahlt hat, um verschlüsselte Systeme zu entschlüsseln. Andererseits gingen Meldungen durch die Presse, dass auch deutsche Krankenhäuser Opfer von Cyberangriffen geworden sind und ihren Betrieb einstellen mussten.
Hinzu kommt, dass seit einiger Zeit ein neuer Verschlüsselungstrojaner namens „Locky“ grassiert, der sehr erfolgreich Systeme infiziert. Mischt man alles zusammen, entstehen reißerische Überschriften à la „Cyberkriminelle greifen deutsche Krankenhäuser an“.
Und in der öffentlichen Wahrnehmung wurden die Krankenhäuser Opfer gezielter Angriffe – gegen die man sich bekanntlich nicht wehren kann. Hier von „Angriffen“ zu sprechen ist zumindest „fahrlässig ungenau“.
Die Betroffenen sind schlichtweg Opfer „normaler“ Verschlüsselungstrojaner geworden, wie es sie seit Jahren in rauen Mengen gibt. Sie wurden weder speziell in diese Krankenhäuser eingeschleust noch dafür entwickelt. Die Krankenhäuser hatten lediglich das Pech, dass einer dieser Trojaner auf ihren internen Systemen ausgeführt wurde.
Und anders als bei Privatpersonen wurden nicht private Bilder oder Ähnliches, sondern deutlich sensiblere Daten verschlüsselt. Aber: Es handelte sich weder um gezielte Angriffe noch um etwas grundlegend Neues!
Salopp gesagt zeigt die Wahrscheinlichkeit ihr böses Gesicht: Nachdem in der Vergangenheit primär Privatanwender darunter leiden mussten, hat es nun Krankenhäuser erwischt.
Streng genommen ist es verwunderlich, dass nicht schon früher deutlich mehr passiert ist. Auch von „Angriffen, wie man sie vorher auch auf andere Industriezweige“ gesehen hat, und von „unbekannten Cyberwaffen“ habe ich gelesen.
Hier gibt es eine Diskrepanz zwischen Wahrheit und Wahrnehmung: Verschlüsselungstrojaner belästigen die IT schon lange. Ein guter Indikator dafür, dass dieses Geschäftsmodell für die Kriminellen funktioniert – und es leider auch noch lange tun wird.
Natürlich gibt es keinen hundertprozentigen Schutz vor diesen Trojanern. Natürlich kann man mit Sicherheitslösungen am Gateway, im Netz und am Endpunkt die Wahrscheinlichkeit verringern.
Man muss sich aber darüber im Klaren sein, dass man dennoch mit einem Befall rechnen muss! Selbst die Nutzung von Breach-Detection-Systemen inkl. Sandboxing kann die Wahrscheinlichkeit nur beeinflussen und (im Nachhinein) auswertbare forensische Daten liefern.
Aber es ist nur eine Frage von „wann“, nicht „ob“ etwas durchkommt. Ein Cyberkrimineller kann mit wenig Aufwand Tausende von Varianten erstellen und diese so lange optimieren, bis aktuelle Sicherheitslösungen sie eben nicht finden.
Unter der Prämisse, dass es einen Befall geben kann, muss man also entsprechende Sicherheitsmaßnahmen planen. Dazu gehören simple Best Practices wie Netzwerksegmentierung und Sicherheitsfunktionen genauso wie ein profanes „Backup und Restore“.
D.h. selbst wenn etwas durchkommt, sind vielleicht nur einige Rechner im Segment betroffen und können via Restore wieder „bereinigt“ werden. Beim Betrieb kommerzieller IT-Umgebungen entspricht das alles langjährigen Empfehlungen und Erfahrungen beim Betrieb.
Umso erstaunlicher ist es, dass hier nicht nur einzelne Bereiche (z. B. Verwaltung) befallen waren, sondern ganze Häuser „offline“ waren, teilweise für Tage. Um es explizit zu sagen: Meiner Meinung nach handelte es sich hier nicht um „Angriffe“.
Hier von einem Angriff zu sprechen lenkt den Fokus auf den angeblichen Angreifer und weg von der Frage nach Betriebsfragen – vielleicht nicht ganz ungewollt…
Der Effekt für die Allgemeinheit ist aber leider eine Art Panikstimmung, die in dieser Form nicht angebracht ist. Es war schlichtweg ein normaler Trojaner, wie er täglich tausendfach in Umlauf gebracht wird.
Im Gegenteil: Wenn andere kritische Infrastrukturen einmal tatsächlich Opfer von echten gezielten Angriffen werden, wird das Ganze mit der Antwort „war ja beim letzten Mal auch nicht so schlimm“ als weitere Panikmache abgetan. Und das können wir uns nun wirklich nicht leisten.