Praxismanagement

„All your important files are encrypted!“


Titel Im Februar wurden mehrere deutsche Kliniken Opfer von Hacker­an­grif­fen. Über infizierte E-Mail-Anhänge gelangten sogenannte Crypto-Trojaner in die IT-Systeme und begannen, Daten zu verschlüsseln. Vernetzung und Digitali­sierung sind ohne Zweifel ein Segen für die Medizin. Gleich­zeitig zeigen die Vor­fälle, wie sorgfältig mit diesen Errungenschaften umgegangen werden muss.


Text: Ulrike Scholderer

Normalerweise arbeitet das Lukaskrankenhaus papierfrei. Das Kranken­haus liegt in Neuss, nicht weit von Düsseldorf. Es ist ein akademisches Lehrkrankenhaus der dortigen Universität und wird regelmäßig unter den 100 besten Kliniken Deutschlands gelistet. Ein medizinisch leistungsstarkes und wirtschaftlich erfolgreiches Haus der Schwerpunktversorgung mit 538 Betten und 11 Fachabteilungen. Und vorbildlich in Sachen Digitalisierung. Erst Ende Januar wurde im Lukaskrankenhaus das Projekt „Visite 2.0“ vorgestellt. Es geht um den Einsatz von Tablets, der die Arbeitsprozesse erleichtert und die Qualität der medizinischen Versorgung verbessert. Bundesgesundheitsminister Gröhe war bei der Vorstellung des Projekts dabei und lobte: „Die Visite 2.0 im Lukaskrankenhaus in Neuss ist ein tolles Beispiel, wie durch den Einsatz von Informations­technik die Patienten­infor­mation verbessert und Über­tragungs­fehler vermieden werden können.“ Aschermittwoch ist damit plötzlich Schluss. Zunächst wird in der Ambulanz bemerkt, dass etwas nicht stimmt. Das Kranken­haus­infor­mations­system zeigt keine Patientenprofile mehr an. In der Radiologie laufen die Computer ungewöhnlich langsam. Und dann erscheint auch schon auf den ersten Monitoren auf Englisch die Meldung: Ihre Daten sind verschlüsselt. Die Zuständigen in der IT reagieren sofort: Server und Netzwerke werden herunter­gefahren. Für das Kranken­haus bedeutet das die Umstellung auf Papierbetrieb – wie vor 10, 15 Jahren. Nicht einmal mehr die Ver­sicherten­daten können automatisch eingelesen werden. Jede Neuaufnahme wird per Hand notiert. Akute Notfälle kann das Haus so nicht mehr entgegennehmen. Elektive Eingriffe werden verschoben, schwere Fälle an andere Krankenhäuser übergeben. In einem Krankenhaus, das Patientenakten im Normalbetrieb digital führt, und sich die Behandlung am Krankenbett auf das Tablet stützt, steht man plötzlich fast ohne analoge Dokumentationen da.

 

„Vertrauen Sie nicht allein auf Ihren Virenscanner. Oftmals erkennt er den Crypto-Trojaner gar nicht, oder viel zu spät.“

Linus Neumann, Chaos Computer Club

 

Was ist passiert?

Tatsächlich ist es wohl ein unbedacht geöffnetes E-Mail-Attachement, das die Probleme ausgelöst hat. Ein wirklich perfides Geschäftsmodell. Cyberkriminelle versenden meist schrotflintenartig breit gestreut E-Mails, die bösartige Anhänge oder Links auf infizierte Websites enthalten. Mittels derer wird dann ein Schadprogramm auf den Rechner des arglosen E-Mail-Nutzers geschleust – und damit ins System. Diese Schadprogramme verschlüsseln die gespeicherten Dateien. Auf dem Bildschirm erscheint früher oder später in mehr oder minder gutem Englisch der Hinweis, dass alle Dateien verschlüsselt worden sind. Um wieder an die Dateien zu gelangen, soll der Betroffene ein Lösegeld zahlen. Im Gegenzug versprechen die Täter dann, den Schlüssel zu übergeben. Das Ganze läuft ab wie eine Entführung im realen Leben. Nur eben im Internet. Wegen der Forderung eines Lösegeldes nennen Fachkreise diese Trojaner „Ransomware“. 

Welches dieser Schadprogramme genau hinter dem Angriff auf das Neusser Krankenhaus steht, ist nicht bekannt. Aber offensichtlich ist das Virus schwer in den Griff zu bekommen. Stündlich wechsele es seinen Code, heißt es aus dem Krankenhaus. Im Moment beobachtet man bei Symantec, einem der weltweit größten Anbieter von Cybersicherheitslösungen, einen enormen Anstieg der Verbreitung verschiedener Versionen von Verschlüsselungstrojanern aus der TeslaCrypt-Familie. „Von Januar auf Februar stieg die Anzahl der Fälle, in denen ein System mit dem TeslaCrypt-Trojaner 3.0 infiziert wurde, in Europa insgesamt um 561 %. Am stärksten betroffen war Italien, dann Deutschland“, erläutert Candid Wüest, Senior Software Engineer im Symantec Advanced Threat Research Team, die aktuelle Entwicklung. Symantec registriert, dass weltweit etwa 2.000 Systeme täglich mit Crypto-Trojanern infiziert werden. Doch das ist nur die Spitze des Eisbergs. Denn erfolgreich abgewehrte Attacken sind hierbei nicht erfasst. Unter den deutschen Krankenhäusern wurde nicht nur das Haus in Neuss Opfer der Cyberkriminellen. Weitere Fälle wurden aus Arnsberg, Emmerich, Kalkar, Kleve, Köln, Essen, Mönchengladbach und Winterberg gemeldet. Aber nicht nur Nordrhein-Westfalen ist betroffen. Auch die Kliniken an der Paar im bayerischen Aichach und Friedberg geben bekannt, angegriffen worden zu sein. Beunruhigende Fragen drängen sich auf: Sind diese Angriffe auf Krankenhäuser gezielt startet worden? Geht es konkret um Behandlungsdaten? Tim Griese, Pressereferent im Bundesamt für Sicherheit in der Informationstechnik (BSI), sieht das nicht so. „Die Berichte der letzten Wochen über betroffene Krankenhäuser sind aus unserer Sicht eher zufällige Häufungen, da bei Einrichtungen wie den Kliniken der Schaden offensichtlich, nicht verschweigbar und medienrelevant ist. Betroffene Unternehmen neigen hingegen dazu, Angriffe für sich zu behalten“, sagt Griese. Und auch der Symantec-Sicherheitsexperte Wüest geht nicht davon aus, dass die Krankenhäuser gezielt ins Visier genommen worden sind. „Wir beobachten aber, dass Angriffe mit Ransomware sich immer mehr auch auf Firmen richten. Früher waren es vor allem die persönlichen Daten von Privatanwendern, mit denen die Erpresser versuchten, Geld zu machen“, erläutert Wüest.

Auch Arztpraxen sind in Gefahr

Seit Juli letzten Jahres wurden auch verschiedene Angriffe auf Arztpraxen bekannt. In einer Praxis in Freiburg im Breisgau war es Hackern gelungen, über eine E-Mail, die einen Crypto-Trojaner enthielt, das Datensystem der Praxis zu entern. Die Patientendaten wurden verschlüsselt, der Arzt hatte keinen Zugriff mehr. Die Hacker forderten den Arzt auf, sich per E-Mail mit ihnen in Verbindung zu setzen, vermutlich um Geld zu erpressen. Das tat der Arzt nicht, sondern informierte die Polizei. Die Patientendaten konnten aus einem Backup rekonstruiert werden, passiert ist so letztlich nichts. Ähnlich war es in einer Praxis in Esslingen. Auch hier war ein Verschlüsselungstrojaner ins System geschleust worden. Zwar wurde auch dieses Mal kein Lösegeld gezahlt und die Daten konnten gerettet werden. Dennoch entstand ein Schaden in Höhe von rund 20.000 Euro. Denn am Netzwerk der Praxis hingen insgesamt rund 70 Computer, die allesamt infiziert worden waren. Ein Blick auf die gesamte Cyberkriminalitätsstatistik zeigt: Es ist schlicht unabhängig von der Größe eines Unternehmens, ob es angegriffen wird oder nicht. „Im Januar richteten sich 38,6 % aller Cyberangriffe auf Unternehmen mit weniger als 250 Mitarbeitern, weitere 9,5 % zielten auf Unternehmen mit 250 bis 500 Mitarbeitern“, sagt Wüest. „Kleine Unternehmen sind im Fokus der Cyberkriminellen, weil viele dieser Unternehmen keine IT-Abteilung im 24 / 7-Modus haben.“

Was kann man tun?

Die Tatsache, dass Sicherheitslücken in IT-Systemen grundsätzlich nicht vermeidbar sind, ist kein Grund, nicht weiter auf Digitalisierung und Vernetzung zu setzen. Man muss sich der Gefahren bewusst und auf kritische Situationen vorbereitet sein. Das BSI hat speziell für Krankenhäuser den Ratgeber „Risikoanalyse Krankenhaus IT“ entwickelt. „Hier wird gezeigt, wie die IT-Abhängigkeiten kritischer Prozesse in Krankenhäusern analysiert werden können, um sie dann präventiv absichern zu können“, erläutert Tim Griese. „Grundsätzlich sind die Maßnahmen, die man ergreifen muss, um sein System so gut wie möglich abzusichern, bekannt“, sagt Wüest. „Hält man sich daran, kann man Risiken minimieren“. Ganz wichtig ist, alle Sicherheitsupdates für Betriebssysteme und die installierten Programme einzuspielen. Auch ein Firewallsystem und Antivirenprogramme sind unverzichtbar. Linus Neumann, Sprecher des Chaos Computer Clubs, warnt allerdings: „Vertrauen Sie nicht allein auf Ihren Virenscanner. Oftmals erkennt er den Crypto-Trojaner gar nicht, oder viel zu spät.“ Das liegt in der Natur der Sache. Denn diejenigen, die die Schutzprogramme aktualisieren, reagieren auf die neuesten Kniffs und Tricks derjenigen, die die Angriffssoftware programmieren. Deshalb hilft eigentlich nur eines: Das regelmäßige Backup. Greift allerdings ein Trojaner an, während das Backup-Medium am System angeschlossen ist, können auch die Backupdateien verschlüsselt werden. Deswegen muss das Backup-Medium immer vom eigentlichen System getrennt werden. Genügend Speicherplatz ist wichtig, damit die Backup-Datensätze nicht überschrieben werden müssen. Im Lukaskrankenhaus Neuss war das Backup die Rettung. Das letzte war nur wenige Stunden vor dem Angriff des Crypto-Trojaners gemacht worden. Aber es gibt auch Crypto-Trojaner, die eingeschleust und erst nach einer bestimmten Zeit mit einer Zeitschaltuhr freigesetzt werden. So beispielsweise der Erpressungstrojaner Locky, der auch in Deutschland seit Anfang des Jahres Zehntausende Rechner infiziert. Dann ist es wichtig, auf ältere Backups zurückgreifen zu können.

 

„Wendet Euch an den Systemadministrator, wenn Ihr das Gefühl habt, etwas gemacht zu haben, das vielleicht nicht ganz richtig war!“

Candid Wüest, Senior Software Engineer, Symantec


Darüber hinaus wird geraten, immer mit möglichsten eingeschränkten Nutzerrechten zu arbeiten, nur sichere Passwörter zu verwenden und alle sensiblen Daten zu verschlüsseln. Das zentrale Einfallstor für die Crypto-Trojaner sind die E-Mail-User. Sie öffnen einen Mailanhang. TeslaCrypt versendet meist als Rechnung getarnte, infizierte Mail-Attachments „Es gibt Abteilungen, die es gewohnt sind, gerade Rechnungen zu öffnen. Da ist die Gefahr groß, einmal eine Mail zu viel aufzumachen“, sagt Wüest. Und zu bemerken ist auch, dass die E-Mails der Cyberkriminellen immer professioneller werden. Oft sind die Absender so gut kopiert, dass auch dem Aufmerksamsten nur noch schwer etwas auffällt. Gleichzeitig setzen Cyberkriminelle immer mehr auf aktuelle Themen, setzen mehr und mehr Psychologie ein. Symantec hat darauf hingewiesen, dass insbesondere in Brasilien der Ausbruch des Zika-Virus genutzt wurde, um in einer bösartigen Spam-Kampagne den Computervirus JS.Downloader zu verbreiten. Neben technischen Vorkehrungen geht es also auch um User-Awareness. Und die Bitte an alle Nutzer: „Wendet Euch an den Systemadministrator, wenn Ihr das Gefühl habt, etwas gemacht zu haben, das vielleicht nicht ganz richtig war!“ Fehler können allen unterlaufen.

Lösegeld zahlen?

Doch was tun, wenn die Verschlüsselungswarnung auf dem Bildschirm erscheint? Auf die Forderung der Erpresser eingehen? Das BSI sagt nein, vielmehr gelte es, die Infektion im Vorfeld zu vermeiden und im Schadensfall den Vorfall der Polizei zu melden. Und auch Sicherheitsexperte Wüest rat ab: „Man kann nicht sicher sein, dass man den Schlüssel auch bekommt, wenn man das Lösegeld bezahlt hat“, sagt Wüest. „Und vor allem ist der Trojaner dann immer noch im System.“ Die Erfahrung hat man auch im Lukaskrankenhaus in Neuss gemacht. Lösegeld wurde nicht gezahlt, mit dem Backup konnten die Daten wieder hergestellt werden. Doch jetzt müssen alle 800 Rechner und alle 100 Server der Klinik überprüft und gesäubert werden.

Anders entschieden hat sich das Hollywood Presbyterian Medical Center in Los Angeles. Es zahlte jüngst 17.000 Dollar Lösegeld in der Crypto-Währung Bitcoin. Dort war es Hackern gelungen, Schadsoftware einzuschleusen, die Computerzugänge sperrte und die Kommunikationswege innerhalb des Hauses zum Erliegen brachte. In einer Pressemitteilung begründete Allen Stefanek, President und CEO des Krankenhaushauses, die Entscheidung, das Lösegeld zu zahlen damit, dass es der schnellste und effizienteste Weg gewesen sei, das System wieder zum Laufen zu bringen. Tatsächlich nimmt die Tendenz zu, sich auf derartige Forderungen einzulassen. Symantec hat ermittelt, dass etwa die Hälfte der Erpressungsopfer zahlt. 2013 waren es nur etwa 3 % der Betroffenen, die auf die Geldforderungen eingingen. „Der Grund dafür liegt auch in der Art des Trojaners“, erläutert Wüest. „Damals war vor allem der sogenannte BKA-Trojaner im Umlauf, auf den reagierte kaum jemand.“ Auf den Bildschirmen von Privatusern erschien die vermeintlich vom Bundeskriminalamt verschickte Meldung, dass der Computer aufgrund von pornografischem Material, Urheberrechtsverletzungen oder Spam gesperrt und nur gegen ein Lösegeld wieder freigeschaltet würde. Das konnte nur selten überzeugen. Die Hacker sind raffinierter geworden. Jetzt geht es um die Daten selbst. Das Erpressungsopfer hat, sofern es nicht gelingt, die Daten wieder herzustellen, nur die Wahl zwischen dem Datenverlust und der – eventuell erfolglosen – Zahlung. Die Preise sind noch nicht besonders hoch. Meist wird irgendein Betrag zwischen 50 und 500 Euro verlangt. Für die Cyberkriminellen ist das Geschäft interessant aufgrund der Masse. Linus Neumann vom Chaos Computer Club stellt fest: „Wir sehen aber schon erste Tendenzen, dass die Angreifer Informationen über ihre Opfer und deren verschlüsselte Dateien sammeln. Es ist also durchaus möglich, dass sich die Lösegeldforderungen in Zukunft dem Wert der Daten anpassen.“

Sichere IT kostet Geld

Die Deutsche Krankenhausgesellschaft (DKG) bestätigt, dass das Thema IT- Sicherheit ganz oben auf ihrer Agenda steht. Den Krankenhäusern ist bewusst, dass sie zum Bereich der kritischen Infrastrukturen zählen. Kritische Infrastrukturen, das sind Einrichtungen, bei deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Gesundheit entstünden. Seit Jahren schon investieren die Krankenhäuser viel in den Schutz und die Sicherheit ihrer Daten. Und tatsächlich waren bei den letzten Angriffen auf die Krankenhäuser Patientendaten nicht in Gefahr. „Klar muss aber auch sein, dass IT-Sicherheit immer mehr finanzielle Mittel beansprucht. Um mit den wachsenden Bedrohungen technisch Schritt halten zu können, sind noch mehr Investitionen in die IT erforderlich“, sagt Georg Baum, Hauptgeschäftsführer der DKG. Er verbindet seine Ausführungen mit dem Appell an die Bundesländer, zu reagieren und mehr Investitionsmittel zur Verfügung zu stellen. 

Nachgehakt 

6 Fragen an Thomas Hemker

 

Mit welchen Arten von Viren werden Rechner angegriffen, um Lösegeld zu erpressen?

Hemker: Wir sprechen hier von sogenannter „Ransomware“, da diese Schadcodes unter anderem Funktionen haben, Daten zu verschlüsseln, und die Angreifer dann für den Zugriff auf die verschlüsselten Daten Lösegeld von den Opfern erpressen.

Wie lange dauert es, bis der Rechner infiziert ist? Bemerkt man das sofort oder breitet sich die Verschlüsselung langsam aus?

Hemker: Das ist nicht bei allen Varianten dieser Schadcodes gleich. Meistens bemerkt man es jedoch erst, wenn es zu spät ist. Aktuelle Schutzprogramme, die nicht nur die klassischen Antivirentechniken benutzen, schlagen aber früher Alarm und man kann noch eingreifen.

Können die Daten gerettet werden, ohne Lösegeld zu zahlen?

Hemker: Auch dies ist unterschiedlich, aber meistens leider nicht möglich, sofern der Anwender nicht eine Sicherungskopie der Daten hat. Wir raten allerdings davon ab, Lösegeld zu zahlen, da auch so nicht gewährleistet ist, dass man danach wieder auf seine Daten zugreifen kann.

Wer sind eigentlich die Angreifer?

Hemker: Das sind gut organisierte Cyberkriminelle, die relativ schnell viel Geld verdienen wollen. Meistens sind die in Gruppen organisiert, die sich aber an verschiedenen Stellen auf dieser Welt befinden.

Wie können Krankenhäuser und Arztpraxen sich vor solchen Angriffen schützen?

Hemker: Durch die Verwendung der gleichen Basistechnologie (z.B. Betriebssysteme) sowohl für den Betrieb im Krankenhaus als auch auf den Rechnern von Privatanwendern und durch die Vernetzung dieser Geräte bzw. den unkontrollierten Austausch über USB Sticks zwischen diesen beiden Welten konnte die Schadsoftware ins Krankenhaus gelangen und dort Schaden anrichten. Hier ist also die Frage: Muss ich alles vernetzen und welche Geräte lasse ich überhaupt zu? Des weiteren müssen natürlich aktuelle Schutztechnologien auf den Geräten installiert werden. Dies sind aber auf den medizinischen Gräten unter Umständen andere als auf „normalen“ PCs.

Wie kann man sich absichern, bevor der Angriff passiert? Helfen Backups gegen diese Art von Angriffen?

Hemker: Sicherungskopien der Daten sind sowieso ein Muss. In diesem Fall ist es aber auch wichtig, dass die Daten auf der Sicherungsfestplatte nicht auch durch den Schadcode verschlüsselt werden können. Die darf dann also nicht immer am System angeschlossen sein. Schutz vor der Infektion kann durch aktuelle Schutzsoftware mit sogenannten reputations- und verhaltensbasierter Erkennung als auch durch Systemhärtungswerkzeuge erreicht werden. Erster Schritt ist aber natürlich, dass man nicht auf jeden Link und jede Datei in einer Mail klickt, die man gar nicht erwartet hat.

Wir verwenden auf dieser Seite Cookies. Wenn Sie auf OK klicken oder weiter diese Seite nutzen, sind Sie mit der Nutzung von Cookies einverstanden. Mehr Informationen und Möglichkeit zur Deaktivierung.