Attacken aufs Gesundheitssystem
Der IT-Sicherheitsvorfall im Universitätsklinikum Düsseldorf (UKD) im September beschäftigt Behörden und Öffentlichkeit
Der IT-Sicherheitsvorfall im Universitätsklinikum Düsseldorf (UKD) im September beschäftigt Behörden und Öffentlichkeit. Die Täter hatten ein Erpresserschreiben hinterlassen und es wird wegen eines Todesfalls als Folge des Angriffs ermittelt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützte das Klinikum vor Ort mit einem mobilem Einsatzteam. Auch nach Einschätzung des Softwareunternehmens Kaspersky zeigt der Vorfall, wie real die Gefahr für das Gesundheitssystem ist.
Nach dem Ausfall der IT-Systeme am 10. September war die Uniklinik Düsseldorf insgesamt dreizehn Tage von der Versorgung abgemeldet. Am 23.9. hat es sich wieder für die Notfallversorgung im Großraum Düsseldorf angemeldet. Damit konnte der Rettungsdienst die Zentrale Notaufnahme (ZNA) des UKD wieder anfahren.
Bekannte Schwachstelle
Der Cyber-Angriff wurde durch eine Schwachstelle in VPN-Produkten der Firma Citrix ermöglicht: Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) ist sie seit Dezember 2019 bekannt. Dem Amt würden zunehmend Vorfälle bekannt, bei denen Citrix-Systeme bereits vor der Installation der im Januar 2020 bereitgestellten Sicherheitsupdates kompromittiert wurden. Dadurch hätten Angreifer auch nach Schließung der Sicherheitslücke weiterhin Zugriff auf das System und dahinterliegende Netzwerke. Diese Möglichkeit werde aktuell vermehrt ausgenutzt, um Angriffe auf betroffene Organisationen durchzuführen.
„Angreifer verschaffen sich Zugang zu den internen Netzen und Systemen und können diese auch Monate später noch lahmlegen“, so BSI-Präsident Arne Schönbohm: „Ich kann nur mit Nachdruck appellieren, solche Warnungen nicht zu ignorieren oder aufzuschieben, sondern sofort entsprechende Maßnahmen zu ergreifen. Der Vorfall zeigt zum wiederholten Male, wie ernst man diese Gefahr nehmen muss. Auch deswegen hat die Bundesregierung im Entwurf des Krankenhaus-Zukunftsgesetzes vorgesehen, dass mindestens 15 Prozent der beantragten Fördermittel für Maßnahmen zur Verbesserung der Informationssicherheit eingesetzt werden müssen“.
Einfallstor in interne Netze
Die seit Januar 2020 bekannte Schwachstelle in den VPN-Produkten von Citrix stellt je nach lokaler Netzkonfiguration ein mögliches Einfallstor in interne Netze dar, so das BSI. Entsprechende Sicherheitsupdates stehen bereits seit Januar 2020 zur Verfügung und sollten, falls noch nicht geschehen, dringend eingespielt werden. Von der Ausnutzung betroffen können jedoch auch Systeme sein, die im Januar 2020 gepatcht wurden. Diese wurden unter Umständen bereits vor der Installation der Citrix-Sicherheitsupdates kompromittiert und können somit Angreifern auch jetzt noch den Zugriff auf interne Netze und weitergehende Aktivitäten erlauben, wie etwa die Ausleitung oder Verschlüsselung sensibler Daten oder die Manipulation bzw. Stilllegung von Systemen, Geschäftsprozessen und Betriebsabläufen.
Anwender der Produkte Citrix Gateway (ehemals Netscaler Gateway) und Citrix Application Delivery Controller sollten ihre Netzinfrastruktur und Systeme auf mögliche Anomalien hin überprüfen und ihre Schutzmaßnahmen zwingend anpassen, betont das BSI.
Gefahr für das Gesundheitssystem
Auch nach Einschätzung des Softwareunternehmens Kaspersky zeigt der Vorfall, wie real die Gefahr für das Gesundheitssystem sei. Ransomware, so das Unternehmen, gehörten „in jüngster Zeit zu den häufigsten Angriffsformen auf das Gesundheitswesen“. In Krankenhäusern seien kritische Daten gespeichert - somit sei für Hacker die Verschlüsselung dieser Daten mit anschließender Lösegeldforderung erfolgversprechend. Während der Covid-19-Pandemie habe aber auch die Zahl der Phishing-Betrügereien zugenommen, die die gesamte medizinische Lieferkette betrafen. So habe es Fake-Verkäufe von Schutzausrüstung und Angriffe auf Hersteller von Beatmungsgeräten und Prüflabors gegeben.
Die Sicherheitsexperten von Kaspersky verzeichneten in den ersten Wochen der Pandemie einen Anstieg von Phishing, bösartigen Websites und Malware um 30.000 Prozent. Laut Kaspersky-Daten gab es in der ersten Märzwoche dieses Jahres außerdem einen Anstieg auf eine Million Cyberangriffe pro Tag mit Covid-19-Bezug.
Eugene Kaspersky, Gründer und CEO von Kaspersky, bewertet Angriffe auf Gesundheitsorganisationen als terroristischen Akt: „Cyberkriminelle sind es gewohnt, von zu Hause aus zu arbeiten und von dort aus Unternehmen und Einzelpersonen anzugreifen; ihre Umstände haben sich nicht drastisch geändert. Unsere Aufgabe ist es, weiterhin intensiv daran zu arbeiten, unsere Kunden zu schützen. Jeder Angriff auf ein Krankenhaus zu diesem Zeitpunkt kann als gleichbedeutend mit einem Terroranschlag eingestuft werden.