„Cyberkriminelle kennen keine moralischen Bedenken!“
Auch Gesundheitseinrichtungen können jederzeit ins Visier von Hackern geraten: Das hat Mitte November die Cyber-Attacke auf eine deutsche Klinik erneut deutlich gemacht. Dahinter stecken zumeist keine Einzeltäter, sondern gut organisierte „Arbeitsgemeinschaften“, warnt Peter Anderla, IT-Sicherheitsverantwortlicher der Vinzenz Gruppe.
Ein massiver Hackerangriff hat Mitte November das Klinikum Lippe (Nordrhein-Westfalen) getroffen und zu einem weitreichenden IT-Ausfall geführt. Nach intensiven Verhandlungen mit den Erpressern konnten die Daten wieder entschlüsselt werden, Patient*innen waren offenbar nicht in Gefahr. Weil aber während der Attacke vorsorglich die gesamte IT-Infrastruktur heruntergefahren und von externen Netzen getrennt wurde, müssen die Systeme nun neu aufgesetzt werden, was einige Zeit in Anspruch nimmt. Lösegeld – wie ursprünglich gefordert – ist offenbar nicht bezahlt worden.
Kommen Hackerangriffe auf Krankenhäuser, wie zuletzt im Klinikum Lippe, auch in Österreich verstärkt vor?
Peter Anderla: Meiner Einschätzung nach trifft das für österreichische Gesundheitseinrichtungen nicht zu, im Gegensatz zu anderen Branchen ist es hier relativ ruhig. Laut den publizierten Fällen sind Gesundheitseinrichtungen in den USA, Frankreich und Deutschland stärker betroffen. Aber nicht alle betroffenen Einrichtungen gehen an die Öffentlichkeit, die Dunkelziffer ist schwer einzuschätzen.
Wie ist die Situation bei der Vinzenz Gruppe?
Phishing-Mails haben sich heuer deutlich verstärkt, auch kompromittierte Zugangsdaten tauchten häufiger auf. Mit Ransomware und DDoS waren wir nicht konfrontiert. Insgesamt ist die Zahl der Angriffe, die wir beobachten, in etwa konstant. (Anm.: Ransomware ist Schad-Software, die wichtige Daten verschlüsselt und dadurch unbrauchbar macht. DDoS ist der Versuch, einen Internet-Zugang von verschiedenen Orten aus mit sehr vielen, sinnlosen und über längere Zeit gesendeten Datenpaketen lahmzulegen).
Mit welchen Angriffsmethoden haben IT-User am häufigsten zu tun?
Die für User beziehungsweise IT-Laien sichtbarste Methode sind Phishing-Mails mit erfundenen Geschichten, die dazu verleiten sollen, zum Beispiel einen Link anzuklicken. Mithilfe solcher Links versuchen kriminelle Hacker, Schad-Software zu installieren oder vertrauliche Informationen wie Zugangsdaten zu stehlen. Typische Märchen sind „Das Passwort ist abgelaufen und muss erneuert werden“ oder „Das Postfach ist voll und muss erweitert werden“. Relativ neu ist „Sie haben Anspruch auf eine Steuer-Rückerstattung“ mit FinanzOnline als vermeintlichem Absender. Relativ neu sind auch Callback-Phishing-Angriffe in Form von Mails, die vorgeben, Abonnementverlängerungen zu sein. Sie enthalten Telefonnummern, die man kontaktieren soll, um das angebliche Abonnement zu kündigen. Ruft man diese Nummer an, versuchen die Angreifer mit gewieften Methoden, das potenzielle Opfer davon zu überzeugen, eine Fernzugriffssoftware zu installieren, um an Zugangsdaten zu gelangen. Erstmals bei uns aufgetreten ist heuer der sogenannte Tech-Support-Scam. Dabei gibt sich ein Anrufer fälschlicherweise als Microsoft-Mitarbeiter aus und versucht, den Angerufenen zur Installation von Schad-Software zu verleiten. Auf der technischen Ebene gibt es laufend neue Methoden, welche jedoch für den „normalen“ User nicht sichtbar sind.
"Typische Märchen sind "Das Passwort ist abgelaufen und muss erneuert werden" oder "Das Postfach ist voll und muss erweitert werden.""
Gibt es ganz neue Arten von Cyberattacken, haben sie sich verändert?
Neue Varianten und Kombinationen gibt es laufend, wirklich Neues habe ich nicht registriert. Es gibt allerdings Hinweise, dass sich das organisierte Verbrechen verstärkt auf Cyberkriminalität konzentriert. Denen geht es um Angriffsobjekte mit hoher Erfolgswahrscheinlichkeit und möglichst große Beute. Moralische Bedenken – Stichwort Patientengefährdung – spielen dabei keine Rolle. Neben klassischem Hacking schreckt man da auch nicht vor Erpressung von IT-Administratoren oder Einschleusen von Kriminellen in die IT-Abteilung zurück. Als neuer Angriffsvektor gelten auch „Deepfakes“, das sind realistisch wirkende Fotos, Audios oder Videos, die mithilfe Künstlicher Intelligenz (KI) manipuliert worden sind. Am häufigsten sind dabei „face swapping“ (Gesichtstausch) und „voice swapping“ (Stimmentausch). Die Tools dafür werden immer besser, billiger und zugänglicher.
Geht es bei Cyber-Attacken auf Gesundheitseinrichtungen primär um Datenklau oder um „Lösegeld“?
Den für uns relevanten Tätergruppen geht es letztlich nur ums Geld. Die Hackerlandschaft hat sich verändert, vom Einzelkämpfer hin zu gut organisierten, firmenähnlichen Arbeitsgemeinschaften mit strikter Arbeitsteilung. Statt selbst entwickelter Tools kommen zunehmend professionelle Services zum Einsatz, die man im Darknet – jenem Teil des Internets, der für Standard-Suchmaschinen und Standard-Browser unzugänglich ist – mieten kann. Eine Skurrilität am Rande: Es gibt eine Tätergruppe namens GoodWill, die mit Ransomware-Attacken ihre Opfer dazu bewegen will, gute Taten zu vollbringen. Für die Entschlüsselung ihrer Daten müssen die Betroffenen ihre guten Taten per Video, Foto oder Audio beweisen.
"Den für uns relevanten Tätergruppen geht es letztlich nur ums Geld."
Wie hoch ist das Risiko, dass durch Hackerangriffe die Patient*innenversorgung direkt betroffen ist?
Wenn ein Angriff mit Ransomware erfolgreich ist, führt er unter Umständen zu einem Betriebsstillstand, der deutlich länger als eine Woche dauern kann. Das überfordert in der Regel die Notfallmaßnahmen eines Krankenhauses, sodass dann die Versorgung der Patient*innen direkt betroffen wäre. Das Risiko dafür hängt von mehreren Faktoren ab, zum Beispiel: Wie hoch ist die Erfolgswahrscheinlichkeit des Angriffs, welche IT-Systeme sind betroffen? Wie brauchbar sind die Backup-Daten, wie rasch ist Ersatz-Hardware verfügbar und wie lange dauert es, die betroffenen IT-Systeme wieder herzustellen?
Gibt es auch bei der Abwehr von Attacken neue Ansätze?
Gänzlich neue Ansätze sehe ich zurzeit nicht. Wichtig sind und bleiben proaktive Maßnahmen, wie Rund-um-die-Uhr-Überwachung des ein- und ausgehenden Datenstroms auf Auffälligkeiten, weitgehende Automatisierung und Einsatz von KI zur Erkennung und Abwehr von Angriffen – möglichst in Echtzeit, ständige Erweiterung des Sicherheitsbewusstseins der Mitarbeitenden. Nicht zuletzt geht es bei der Abwehr auch darum, das Darknet zu nutzen, um zu sehen, ob dort eigene Daten zum Verkauf stehen und um sich Informationen über geplante oder erfolgte Angriffe zu verschaffen.
Wie steht es um das Sicherheitsbewusstsein der Mitarbeitenden, wächst es oder stumpft es eher ab?
Wir versuchen, das Sicherheitsbewusstsein durch verschiedene Maßnahmen zu steigern, zum Beispiel animierte Videos, laufende IT-Sicherheitshinweise oder verpflichtendes eLearning zur IT-Sicherheit. Wir versuchen auch, den Status durch regelmäßige Awareness-Tests und Befragungen einzuschätzen. Die Ergebnisse deuten darauf hin, dass die Awareness wächst.
Zeigen sich als Folge der zunehmenden Digitalisierung im Gesundheitsbereich bereits neue potenzielle Gefahren?
Die meisten Gefahren der Digitalisierung sind bekannt, zum Beispiel Manipulation und / oder Missbrauch von Daten und Identitäten. Eine durchaus erhebliche Risikoquelle bilden Medizintechnik-Geräte wie Infusionspumpen, vor allem dann, wenn dort veraltete Betriebssysteme in Verwendung sind. Noch kritischer wird es, wenn so ein Gerät direkt aus dem Internet angesteuert werden kann. Ein relativ neues Risiko birgt die Künstliche Intelligenz, die zunehmend in der Diagnostik Einzug hält: Sie liefert keine Begründungen mit, dadurch fehlt die Nachvollziehbarkeit. Klar ist, dass wir auch beim Thema „Digitalisierung und Cybersicherheit“ alles tun müssen, um einem Vertrauensverlust vorzubeugen. Denn der wäre gerade im Gesundheitsbereich fatal.
Interview: Josef Haslinger; Foto: www.depositphotos.com
Peter Anderla, Dipl.-Ing.
IT-Sicherheitsverantwortlicher der Vinzenz Gruppe
Anderla (63) ist studierter Informatiker und hat sich bereits in seiner Diplomarbeit mit dem Thema IT-Sicherheit befasst. Er ist seit 2008 bei der Vinzenz Gruppe, war bis 2020 IT-Leiter und ist nun für den gesamten Bereich der IT-Sicherheit zuständig.