Erneuter Ransomware-Fall in deutschen Krankenhäusern – Gefahrenlage weiterhin angespannt

Ein Statement von Arved Graf von Stackelberg, Managing Director DRACOON 

Regensburg, 19. Juli 2019 – Wie mehrere Medien am vergangenen Mittwoch berichteten, ist die Trägerschaft Süd-West des Deutschen Roten Kreuzes Opfer eines Angriffs mit einem Verschlüsselungstrojaner geworden. Insgesamt betrifft dies 13 Kliniken, hiervon liegt ein Großteil zwischen Mannheim und Bonn, zwei weitere nahe der Grenzen zu Frankreich und Luxemburg. Die Attacke war am Sonntagmorgen festgestellt worden, die Malware hatte sowohl Server als auch Datenbanken verschlüsselt. Als Reaktion wurden die Server am Sonntagnachmittag vom Netz genommen, um sie auf einen Befall zu überprüfen und eine weitere Ausbreitung der Schadsoftware zu verhindern. Der Vorgang der Verschlüsselung konnte somit laut der Klinik-Trägerschafft am Nachmittag gestoppt werden. Das Landeskriminalamt wurde verständigt und eine Anzeige sei laut dem Sprecher der Trägerschaft erstattet worden. Auch wenn eine konkrete Forderung nach Lösegeld ausblieb, sei eine E-Mail inklusive einer Textdatei eingegangen – diese wurde aber ungeöffnet an das BKA gegeben. Es ist davon auszugehen, dass es sich hierbei um die Forderung gehandelt hat. In der Konsequenz der Attacke waren die betroffenen Kliniken zeitweise komplett vom Internet abgeschnitten und auch per Mail, Telefon oder Fax nicht erreichbar.

Der Vorfall zeigt, dass Ransomware rund zwei Jahre nach WannaCry immer noch eine große Gefahr für deutsche Organisationen ist – nicht nur für KRITIS-Unternehmen. Dies bestätigt auch die kürzlich erschienene Studie des Wirtschaftsprüfungs- und Beratungsnetzwerks KPMG „E-Crime in der deutschen Wirtschaft.“ Für die Erhebung wurden 1.000 Firmen in Deutschland, unter anderem aus den Bereichen Gesundheitswesen, Handel und der Industrie zu ihren Erfahrungen mit Cyberkriminalität befragt. Hier wird deutlich, dass jeder dritte Betrieb (31 Prozent) in den letzten zwei Jahren bereits Opfer eines Angriffs mit einem Verschlüsselungstrojaner wurde. Das sind doppelt so viele wie in der vorherigen KPMG-Befragung. Weitere 28 Prozent berichteten über Versuche, Ransomware in die Systeme einzuschleusen. Besonders bei großen Unternehmen kann man laut der Veröffentlichung einen deutlichen Anstieg der Angriffe erkennen. Angesichts dieser Zahlen verwundert es nicht, dass das BSI (Bundesamt für Sicherheit in der Informationstechnik) im April dieses Jahres in einer Pressemitteilung erneut vor gezielten Ransomware-Attacken auf Unternehmen gewarnt hat. Laut der Behörde sei eine beliebte und derzeit verbreitete Angriffstechnik der Versand von breit angelegten Spam-Kampagnen wie Emotet, um zunächst Zugang zu einzelnen Unternehmensnetzwerken zu bekommen, um dann manuell das Netzwerk und die Systeme der Betroffenen zu erforschen. Hier versuchen die Kriminellen Backups zu manipulieren oder zu löschen und verbreiten dann selektiv bei besonders lukrativen Zielen koordiniert Ransomware auf den Computersystemen. Die Folge sind teilweise massive Betriebsunterbrechungen, außerdem können die Verursacher deutlich höhere Lösegeldforderungen stellen als bei ungezielten Ransomware-Kampagnen.

In Zeiten einer Verschärfung der Bedrohungslage im Bereich Ransomware müssen Unternehmen dringend gewappnet sein. Im Falle einer Infektion rät das BSI davon ab, auf die Forderungen der Erpresser einzugehen. Auch sollten Unternehmen Geschäftspartner und Kunden zeitnah informieren und auf etwaige Angriffsversuche per Mail mithilfe gefälschter Absender ihres Betriebs hinweisen. Am besten sind Firmen allerdings beraten, wenn sie sicherstellen, dass eine Attacke von vornherein ins Leere läuft und geschäftliche Daten nicht in Gefahr sind. Hier sollten Unternehmen insbesondere ihre firmeninterne Software unter die Lupe nehmen, etwa die verwendete Cloud-Speicher-Lösung. Idealerweise ist diese mit einem integrierten Storage-Ransomware-Schutz (wie z. B. einem Papierkorb und einer Versionierung) ausgestattet, der dafür sorgt, dass die Daten bei einem Verschlüsselungsangriff nicht betroffen sind. Sollte Ransomware trotz aller Vorsichtsmaßnahmen lokale Laufwerke oder Netzwerklaufwerke verschlüsseln, verlieren Betriebe dank der Versionierung durch den Papierkorb trotzdem keine Datei. Bei einem Ransomware-Angriff werden die Daten mit den verschlüsselten Daten überschrieben – die unverschlüsselten Versionen der Daten liegen automatisch im Papierkorb und können vollständig und unbeschadet wiederhergestellt werden. Somit kann ein Verlust von wichtigen Informationen von Vornherein verhindert werden. Auch die Ende Juni dieses Jahres verbindlich für zahlreiche deutsche Kliniken in Kraft getretene BSI-KRITIS-Verordnung besagt, dass betroffene Krankenhäuser bezüglich ihrer IT-Infrastruktur dem neuesten Stand der Technik entsprechen müssen. Hier muss gewährleistet sein, dass ein Angriff jeglicher Art auf ein einzelnes System nicht sofort Auswirkungen auf das gesamte Netzwerk hat. Die Schutzmechanismen von Computer-Netzwerken müssen dies verhindern. Auch hier greift ein Feature, das eine Ransomware-Attacke eindämmt und mit der die geschädigten Daten zeitnah wiederhergestellt werden können. Insgesamt müssen Unternehmen sich auch zwei Jahre nach der historischen WannaCry-Welle darauf einstellen, dass Angreifer noch professioneller und heimtückischer agieren, um maximalen Schaden anzurichten und ihr Sicherheitsniveau anpassen.