Ransomware: 13 Krankenhäuser zeitweise komplett vom Internet abgeschnitten

Arved Graf von Stackelberg warnt vor weiterhin angespannter Gefahrenlage

[datensicherheit.de, 19.07.2019] Wie mehrere Medien am 17. Juli 2019 berichteten, ist die Trägerschaft Süd-West des Deutschen Roten Kreuzes (DRK) Opfer eines Angriffs mit einem Verschlüsselungstrojaner (Ransomware) geworden. Insgesamt sollen 13 Kliniken betroffen sein – ein Großteil zwischen Mannheim und Bonn, zwei weitere nahe der Grenzen zu Frankreich und Luxemburg. Arved Graf von Stackelberg, „Managing Director“ bei DRACOON, geht in seinem aktuellen Kommentar auf diesen neuen Ransomware-Fall in deutschen Krankenhäusern ein – die Gefahrenlage sei weiterhin angespannt.

Foto: DRACOON

Arved Graf von Stackelberg: Ransomware noch immer große Gefahr für deutsche Organisationen – nicht nur für KRITIS-Unternehmen… 

Server und Datenbanken verschlüsselt

Die Attacke ist demnach am Morgen des 14. Juli 2019 festgestellt worden: Die Malware habe sowohl Server als auch Datenbanken verschlüsselt. Als Reaktion seien die Server noch am Nachmittag vom Netz genommen geworden, um sie auf einen Befall zu überprüfen und eine weitere Ausbreitung der Schadsoftware zu verhindern.
Der Vorgang der Verschlüsselung konnte sodann laut der Klinik-Trägerschafft gestoppt werden. Das Landeskriminalamt (LKA) sei verständigt und eine Anzeige laut dem Sprecher der Trägerschaft erstattet worden. Auch wenn eine konkrete Forderung nach Lösegeld ausgeblieben sei, soll eine E-Mail inklusive einer Textdatei eingegangen sein – diese sei aber ungeöffnet an das BKA gegeben worden. „Es ist davon auszugehen, dass es sich hierbei um die Forderung gehandelt hat. In der Konsequenz der Attacke waren die betroffenen Kliniken zeitweise komplett vom Internet abgeschnitten und auch per Mail, Telefon oder Fax nicht erreichbar“, berichtet von Stackelberg.

Ransomware zwei Jahre nach WannaCry noch immer große Gefahr

Dieser Vorfall zeige, dass Ransomware rund zwei Jahre nach „WannaCry“ immer noch eine große Gefahr für deutsche Organisationen sei – nicht nur für KRITIS-Unternehmen. Dies bestätige auch die kürzlich erschienene Studie des Wirtschaftsprüfungs- und Beratungsnetzwerks KPMG „E-Crime in der deutschen Wirtschaft“. Für diese Erhebung seien 1.000 Firmen in Deutschland, unter anderem aus den Bereichen Gesundheitswesen, Handel und der Industrie zu ihren Erfahrungen mit Cyber-Kriminalität befragt worden.
Hierbei werde deutlich, dass jeder dritte Betrieb (31 Prozent) in den letzten zwei Jahren bereits Opfer eines Angriffs mit einem Verschlüsselungstrojaner geworden sei. „Das sind doppelt so viele wie in der vorherigen KPMG-Befragung. Weitere 28 Prozent berichteten über Versuche, Ransomware in die Systeme einzuschleusen“, so von Stackelberg.

BSI warnte vor gezielten Ransomware-Attacken auf Unternehmen

Besonders bei großen Unternehmen könne man laut der Veröffentlichung einen deutlichen Anstieg der Angriffe erkennen. Angesichts dieser Zahlen verwundere es nicht, dass das BSI (Bundesamt für Sicherheit in der Informationstechnik) im April 2019 in einer Pressemitteilung erneut vor gezielten Ransomware-Attacken auf Unternehmen gewarnt habe. Laut der Behörde sei eine beliebte und derzeit verbreitete Angriffstechnik der Versand von breit angelegten Spam-Kampagnen wie „Emotet“, „um zunächst Zugang zu einzelnen Unternehmensnetzwerken zu bekommen, um dann manuell das Netzwerk und die Systeme der Betroffenen zu erforschen“.
Hierbei versuchten die Kriminellen, Backups zu manipulieren oder zu löschen und verbreiteten dann selektiv bei besonders lukrativen Zielen koordiniert Ransomware auf den Computersystemen. Die Folge seien teilweise massive Betriebsunterbrechungen, außerdem könnten die Verursacher deutlich höhere Lösegeldforderungen stellen als bei ungezielten Ransomware-Kampagnen.

Verschärfung der Bedrohungslage: Unternehmen sollten gewappnet sein

„In Zeiten einer Verschärfung der Bedrohungslage im Bereich Ransomware müssen Unternehmen dringend gewappnet sein“, betont von Stackelberg. Im Falle einer Infektion rate das BSI davon ab, auf die Forderungen der Erpresser einzugehen. Auch sollten Unternehmen Geschäftspartner und Kunden zeitnah informieren und auf etwaige Angriffsversuche per E-Mail mithilfe gefälschter Absender ihres Betriebs hinweisen.
Am besten seien Firmen allerdings beraten, „wenn sie sicherstellen, dass eine Attacke von vornherein ins Leere läuft und geschäftliche Daten nicht in Gefahr sind“. Hierzu sollten Unternehmen insbesondere ihre firmeninterne Software unter die Lupe nehmen, etwa die verwendete Cloud-Speicher-Lösung. Idealerweise sei diese mit einem integrierten Storage-Ransomware-Schutz (wie z.B. einem Papierkorb und einer Versionierung) ausgestattet, „der dafür sorgt, dass die Daten bei einem Verschlüsselungsangriff nicht betroffen sind“. Sollte Ransomware trotz aller Vorsichtsmaßnahmen lokale Laufwerke oder Netzwerklaufwerke verschlüsseln, verlören Betriebe dank der Versionierung durch den Papierkorb trotzdem keine Datei. „Bei einem Ransomware-Angriff werden die Daten mit den verschlüsselten Daten überschrieben – die unverschlüsselten Versionen der Daten liegen automatisch im Papierkorb und können vollständig und unbeschadet wiederhergestellt werden.“ Somit könne ein Verlust von wichtigen Informationen von Vornherein verhindert werden.

Krankenhäuser müssen hinsichtlich IT-Infrastruktur neuestem Stand der Technik entsprechen

Auch die Ende Juni 2019 verbindlich für zahlreiche deutsche Kliniken in Kraft getretene BSI-KRITIS-Verordnung besage, dass betroffene Krankenhäuser bezüglich ihrer IT-Infrastruktur dem neuesten Stand der Technik entsprechen müssten. Dort müsse gewährleistet sein, „dass ein Angriff jeglicher Art auf ein einzelnes System nicht sofort Auswirkungen auf das gesamte Netzwerk hat“. Die Schutzmechanismen von Computer-Netzwerken müssten dies verhindern.
„Auch hier greift ein Feature, das eine Ransomware-Attacke eindämmt und mit der die geschädigten Daten zeitnah wiederhergestellt werden können.“ Insgesamt müssten Unternehmen sich auch zwei Jahre nach der historischen „WannaCry“-Welle „darauf einstellen, dass Angreifer noch professioneller und heimtückischer agieren, um maximalen Schaden anzurichten, und ihr Sicherheitsniveau anpassen“.

Weitere Informationen zum Thema:

datensicherheit.de, 18.07.2019
Ransomware befällt elf deutsche Krankenhäuser

datensicherheit.de, 28.06.2019
Security Awareness: Faktor Mensch von zentraler Bedeutung

datensicherheit.de, 14.06.2019
Empfehlungen für den Aufbau eines Sicherheitsbewusstseins in Unternehmen

datensicherheit.de, 06.06.2019
Tendenz steigend: Sicherheitsrisiken im Gesundheitswesen

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen