Während IT-Pannen es bis vor einigen Jahren kaum in die Presse abseits der IT-Nachrichten geschafft haben, hat in den letzten Jahren vermutlich jeder schon einmal von Zwischenfällen gehört, bei denen komplette Betriebe zum Stillstand gebracht wurden, weil die IT-Landschaft mehr oder weniger komplett ausgefallen ist. Oft hört man in diesem Zusammenhang von sogenannten „Ransomware-Angriffen“. Ransomware setzt sich hierbei aus „Ransom“ (Lösegeld) und „ware“ zusammen, stellt also den Bezug zu „Software“ her. Diese Ransomware verschlüsselt Daten in möglichst allen Systemen, die sie beschreiben kann. Eine Entschlüsselung der Daten ist in aller Regel nur dann möglich, wenn man den Schlüssel für die Daten erhält. Diesen Schlüssel haben allerdings nur die Erpresser hinter der Ransomware zur Hand und sie geben ihn in aller Regel nur heraus, nachdem man hierfür eine erhebliche Summe Geld bezahlt hat. Oftmals stehen die Unternehmen bei einem Befall mit einer sogenannten Ransomware vor dem Problem, dass sie entweder keine Backups angelegt haben oder, dass die Backups derart schlecht vom Produktivsystem getrennt wurden, dass sie von der Ransomware gleich mitverschlüsselt wurden. Somit haben die Unternehmen oft die Wahl zwischen einem Start bei null, was kaum realistisch sein dürfte, oder der Zahlung des Lösegeldes.
Der jüngste schwerere Zwischenfall ereignete sich im Uni-Klinikum Düsseldorf. Hier führte ein Verschlüsselungstrojaner dazu, dass die IT-Infrastruktur derart weitgehend ausfiel, dass sich das Klinikum bei der Leitstelle abmeldete und die Patientenversorgung weitgehend eingeschränkt war.
Ein unvermeidbarer Angriff?
Leider liest man mit schöner Regelmäßigkeit in den Medien von „Hackerangriffen“ und fast ausnahmslos wird hier der Eindruck vermittelt, dass diese „Hackerangriffe“ vergleichbar mit göttlichen Plagen vom Himmel fallen, denen man völlig schutzlos ausgeliefert ist. Man muss aber immer etwas genauer hinschauen und die Frage stellen, wer die Verantwortung hierfür trägt und vor allem, ob dieser Angriff auf die Infrastruktur nicht vielleicht doch vermeidbar gewesen wäre. Um das beurteilen zu können, muss man sich natürlich fragen, was hier überhaupt passiert ist: In den weitaus meisten Fällen dieser Ransomware-Angriffe läuft eine Infektion in der Gestalt ab, dass Nutzer eine präparierte E-Mail erhalten, bei der sie angewiesen werden, Makros zu aktivieren und sich daraufhin mit der Schadsoftware infizieren, die alles verschlüsselt, was sie in die Finger kriegt. Diese E-Mails haben oft den E-Mail-Verlauf eines bekannten Gesprächspartners im Gepäck (der zuvor infiziert wurde) und sind deshalb besonders heimtückisch. Dem lässt sich in so ziemlich allen Fällen einfach damit begegnen, dass Markos deaktiviert werden, bestimmte Dateianhänge in E-Mails blockiert werden (z. B. das alte .doc-, xls- und ppt-Format aus 1997, ebenso wie .docm, .xlsm und .pptm), sie nur in besonderen Ausnahmen erlaubt werden und Mitarbeiter sensibilisiert werden.
Was ist passiert?
Den Meldungen zufolge geht der Angriff auf das Uni-Klinikum Düsseldorf in diesem Fall aber nicht auf den klassischen E-Mail-Weg zurück, sondern auf eine Lücke in einem weit verbreiteten VPN-Server von Citrix. Dieser Server wies eine kritische Lücke auf, die Angreifern ohne Anmeldung das Ausführen von Schadcode im Netzwerk des Betreibers ermöglichte. Hierbei handelt es sich um eine der schwersten Lücken, die man in einem System haben kann und folgerichtig sind Admins dazu angehalten, solche Lücken so schnell wie möglich zu schließen. Immer dann, wenn eine solche Lücke im System bekannt wird, muss man nach dem Schließen der Lücke einen genauen Blick auf das betroffene System und das Netz werfen um zu prüfen, ob die Lücke möglicherweise ausgenutzt wurde und sich bereits Angreifer im Netz befinden, die auch nach dem Schließen der Sicherheitslücke Zugriff auf das Netz nehmen könnten.
Offenbar ist aber zumindest einiges davon nicht passiert, da die Daten hier verschlüsselt wurden und die Systeme ausgefallen sind. Entweder wurde das System nicht schnell genug abgesichert oder es wurde im Anschluss nicht genau genug geprüft, ob die Lücke ausgenutzt wurde und sich bereits Angreifer im System befunden haben. Die Stellungnahme des Universitätsklinikums Düsseldorf (UKD) ist hier erwartungsgemäß nebulös, weil hieraus nicht klar hervorgeht, wann die Sicherheitslücke geschlossen wurde und natürlich werden auch die brisanten Details des Ausfalls verschwiegen. Ebenso hat man leider vergessen zu erwähnen, dass die Systeme nur deshalb wieder laufen, weil die Ransomware-Erpresser den Schlüssel freiwillig und kostenfrei herausgegeben haben, nachdem die Polizei ihnen mitteilte, dass hier ein Krankenhaus betroffen ist.
Wer ist verantwortlich?
Die oben verlinkte Stellungnahme liest sich so, als hätte das UKD nach eigener Einschätzung alles richtig gemacht. Weil das UKD hier so ziemlich überhaupt nichts richtig gemacht hat, muss dem einmal entschieden widersprochen werden, weil dieser Angriff hätte verhindert werden können:
- Die kritische Lücke hätte SOFORT geschlossen werden müssen – das ist ganz offenbar nicht der Fall gewesen.
- Es hätte gründlich untersucht werden müssen, ob die Lücke ausgenutzt wurde. Das sollte grundsätzlich immer getan werden: Auch, wenn die Lücke innerhalb von Minuten oder Stunden geschlossen wurde, besteht schließlich die Möglichkeit, dass sie (auch schon vor öffentlichem Bekanntwerden) ausgenutzt wurde.
- Das Netzwerk hätte segmentiert werden müssen: Netzwerke verschiedener Bereiche sind, so weit es geht, voneinander abzugrenzen, damit bei Kompromittierung eines Teils des Netzwerks kein Komplettausfall droht. Da hier die IT-Infrastruktur derart weitgehend ausgefallen ist, dass man sich bei der Leitstelle abmelden musste, wurde das hier offensichtlich versäumt.
- Ein Disaster-Recovery-Plan hätte erstellt werden müssen: Für den Fall des Komplettausfalls müssen Konzepte zur Hand sein, die für den Fall der Fälle dabei helfen, so schnell wie möglich zumindest einen Notbetrieb wiederherzustellen.
Ist daran nun die IT-Abteilung schuld? Sofern man der IT-Abteilung hier überhaupt eine Teilschuld geben möchte, so wird die aller Wahrscheinlichkeit doch eher gering ausfallen:
Die zuständige Landesregierung wurde hier wiederholt darauf hingewiesen, dass Handlungsbedarf bei der IT-Sicherheit in Krankenhäusern besteht. Die Krankenhausgesellschaft NRW e. V. äußerte sich schockiert über die fehlende Förderung der IT-Sicherheit in den Krankenhäusern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies im Oktober 2019 darauf hin, dass hinsichtlich der IT-Sicherheit Nachholbedarf besteht, nachdem das Lukaskrankenhaus Neuss sich die eigenen Daten mit Ransomware hatte verschlüsseln lassen. Das Gesprächsangebot wurde hier nicht wahrgenommen und an der Entscheidung, kein Geld für Investitionen in die IT-Sicherheit aus dem Krankenhausstrukturfonds abzurufen, wurde offenbar auch nichts geändert.
Fazit – Kein Geld für IT-Sicherheit und keiner will schuld sein
Wir stellen also fest, dass hier (wie so oft) kein Geld für die IT-Sicherheit in die Hand genommen wurde und dass im Nachhinein die Entscheidungsträger kein ausreichendes Rückgrat besitzen, um die Konsequenzen aus den eigenen Verfehlungen zu tragen. Es entbehrt nicht einer gewissen Ironie, dass die für diese Panne Verantwortlichen jegliche Schuld von sich weisen während die Erpresser offenbar genügend Anstand besitzen, den Schlüssel an das Krankenhaus herauszugeben, sobald sie Kenntnis davon erhielten, dass ein Krankenhaus betroffen war.
Besondere Brisanz erhielt der Vorfall dadurch, dass eine Frau starb, die mit dem Rettungswagen in das Uni-Klinikum eingeliefert werden sollte, dann aber in ein anderes Klinikum gefahren werden musste, da das Uni-Klinikum abgemeldet war. Hier wird bereits wegen fahrlässiger Tötung ermittelt. Es würde mich positiv überraschen, wenn sich diese Ermittlungen (auch) gegen die Entscheidungsträger richten würden und nicht nur gegen die Erpresser, denen man aller Wahrscheinlichkeit und Erfahrung nach nicht habhaft werden wird.
Vielmehr trifft hier ein weiteres Mal das Sprichwort „Gelegenheit macht Diebe“ zu: Nehmen wir zum Vergleich einmal den Fall einer Bank, die sich entschließt, den Tresor mit den Goldreserven direkt von der Straße aus erreichbar zu machen und die Tür zum Tresor nicht abzuschließen, sodass man nur die Klinke herunterdrücken muss, um hinein zu gelangen. Zwar hat man Videokameras, aber die zu überwachen kostet schließlich Geld, weshalb man darauf verzichtet hat. Nun räumen einem Kriminelle den Tresor aus. Wen träfe in diesem Fall wohl die Verantwortung?
6. Mai 2022 @ 9:57
Der Artikel hat mich unterhalten ich fande ihn echt lustig
23. September 2020 @ 12:29
Je nach Risikoappetit von verantwortlichen Systembetreibern müssen unschuldig Betroffene künftig leider einen mehr oder weniger hohen Preis bezahlen – mitunter auch mit Leib und Leben. Ransomware-Angriffe auf Krankenhäuser gibt es mittlerweile schon weltweit seit 5 Jahren – jährliche Steigerungsrate inbegriffen. Mit zunehmender Vernetzung der Dinge ist absehbar, dass Angriffe vermehrt auch gesundheitliche Auswirkungen haben werden. Diskussionen über Verschuldens- und Haftungsfragen rücken damit in den Vordergrund. Gesetzliche Regelungen alleine (DSGVO, KRITIS usw.) werden die Schattenseiten von Digitalisierung nicht verhindern können. Vielleicht wäre es klug, Boniausschüttungen an Verantwortliche zusätzlich an die Resilienz der von ihnen betriebenen IKT-Systeme zu koppeln.
23. September 2020 @ 10:34
Nicht der Schimmel ist schuld!
Thu Sep 17 2020
[l] Ich krieg hier schon wieder nen dicken Hals ey. Die Uniklinik Düsseldorf hat nach einem Ransomware-Befall eine Patientin sterben lassen.
Laut Bericht des NRW-Justizministers starb eine Patientin, die wegen des Angriffs auf die Server der Klinik in ein weiter entferntes Krankenhaus nach Wuppertal gebracht werden musste.
Das ist zu 100% Verantwortung der Uniklinik. Ransomware müsst ihr euch wie Schimmel an der Wand vorstellen. Wenn im Operationssaal Schimmel an der Wand ist, dann ist nicht der Schimmel der Täter, sondern der Zuständige, der das soweit runterkommen ließ, dass sich da Schimmel bilden konnte.
http://blog.fefe.de/?ts=a19dfb18
22. September 2020 @ 11:26
Wenn Gesundheitssysteme standortübergreifend vernetzt sind, ist es nicht die Frage, ob so ein Angriff erfolgreich wird, sondern nur wann!
Dies Lücke ist keine Einzelfall, sondern hat SYSTEM.
http://www.rdlenkewitz.eu/html/pdf/citrix19920.pdf