Gesundheitsdaten gehören mit zu den sensibelsten Daten überhaupt und sind deshalb von Kriminellen besonders begehrt. Die Corona-Pandemie verschärft die Situation zusätzlich. In den deutschen Sicherheitsbehörden herrscht aktuell Sorge vor Hackerattacken auf Krankenhäuser und andere wichtige Einrichtungen. Die Auswirkungen wären derzeit "noch gravierender" als sonst, warnen Kriminalisten von Bund und Ländern.
In der Vergangenheit haben Hacker bereits mehrfach die IT von Kliniken lahmgelegt, um Lösegeld zu erpressen. So passiert im Krankenhaus Weilheim-Schongau – das nichts vertuschen musste, sondern offensiv mit seinen Erfahrungen umgeht und damit anderen Kliniken ein hilfreiches Handlungsszenario für den Ernstfall liefert.
Erpressungstrojaner verschlüsselt sensible Daten
Vor jenem Anruf im Oktober 2018 hatte Florian Diebel noch nie etwas von der Windows Defender Advanced Threat Protection (WDATP) gehört. Und auch nicht von der gefährlichen Ransomware GandCrab 5.3, die, wie er am Telefon erfuhr, gerade die IT seiner Klinik angriff. Das musste er auch nicht. Denn der Geschäftsführer der Krankenhaus GmbH Weilheim-Schongau hatte erfahrene Experten zur Seite, sowohl in der hauseigenen IT-Abteilung als auch bei sepago. Gemeinsam bekamen sie die Situation innerhalb von nur 72 Stunden in den Griff – drei aufregende Tage mit wenig Schlaf für alle Beteiligten.
Die Herausforderung: Ein unbekannter Angreifer und der Shutdown
„Im Gesundheitswesen und erst recht im Krankenhaus findet vieles digital statt“, sagt Florian Diebel. „Aus der Karteikarte von früher ist die digitale Akte geworden. Hat der Patient in der Aufnahme mit seiner Gesundheitskarte eingecheckt, läuft über unser Krankenhausinformationssystem KIS alles zusammen. Röntgenbilder, Laborergebnisse, Medikation, OP-Daten. Im Klinikalltag sind wir darauf angewiesen, dass alles reibungslos funktioniert.“
Mit insgesamt 340 Betten gehören die beiden Kliniken in den oberbayerischen Orten Weilheim und Schongau zu den eher kleinen Häusern. Neben der Notversorgung haben sich die Mediziner über Jahre einen guten Namen in der Endoprothetik, der Gefäßchirurgie und der Akutgeriatrie gemacht. „Unsere geringe Größe ermöglicht uns eine gewisse Exklusivität. Die Menschen in der Region vertrauen uns, wir sind gut ausgelastet.“
So auch an dem Tag, an dem Florian Diebels Smartphone klingelte. „Die Systeme im Krankenhaus laufen nicht stabil“, hieß es. Ein Mitarbeiter hatte leichtfertig den Anhang einer privaten E-Mail geöffnet. Er dachte, es wäre eine Rechnung. Tatsächlich war es aber ein Krypto-Trojaner, der sofort Zugang zu den internen Laufwerken erlangte und damit begann, Files zu verschlüsseln.
Rasend schnell mit dem Ziel, maximalen Schaden anzurichten. Immer versehen mit einer Zahlungsaufforderung in Bitcoins. Florian Diebel traf gemeinsam mit seinen IT-Administratoren die Entscheidung, umgehend alle Systeme herunterzufahren. Und das im laufenden Krankenhausbetrieb. „Das lief sehr geordnet. Wir sind vertraut mit kritischen Situationen, schalten uns zusammen, beurteilen die Lage und ergreifen Maßnahmen. Hier kamen wir aber alleine nicht weiter.“ Die Cyber Security Spezialisten von sepago wurden alarmiert.
Weil die steigende Anzahl vernetzter Geräte immer neue Angriffspunkte auf Unternehmensnetzwerke schafft, bietet die IT-Beratung neben präventivem Security Consulting auch ein sogenanntes Security Operation Center, das im Krisenfall Angreifer aufspürt und eliminiert. Das wichtigste Werkzeug der Cyber Hunter: die Windows Defender Advanced Threat Protection (WDATP) – eine Lösung aus dem Enterprise Mobility + Security Portfolio von Microsoft 365.
Die Lösung: Big Data Echtzeitanalyse, künstliche Intelligenz und eine Verhaftung
„Wir haben unser Incident Response Team zusammengestellt und die Jungs innerhalb von einer Stunde von Köln und München auf die Autobahn Richtung Süden gebracht", sagt Alexander Benoit, Lead Security Analyst bei der sepago GmbH. Beim Kickoff Meeting im Krankenhaus waren neben sepago, der Klinikleitung und der IT auch Beamte von Interpol dabei – ein Standardprozedere bei zur Anzeige gebrachten Cyberangriffen. Die Suche nach „Patient 0“ begann – so wird der Rechner genannt, der zuerst befallen wurde. Als der gefunden und der Schadcode extrahiert war, übernahm das Security Operation Center von sepago in Köln mit der IT-Forensik.
„Unsere Cyber Security Experten haben die Nacht durchgearbeitet. Sie nutzten die verhaltensbasierte Erkennung von Windows Defender mit Advanced Hunting. Immer wieder standen wir auch im direkten Kontakt mit den Microsoft Entwicklerteams in Israel - ein Service, den nur Microsoft Elite Partner bieten können: Wir haben einen sehr engen Kontakt zu Microsoft und intensiv Feedback bei der Weiterentwicklung der Lösung eingebracht. Über die Machine Learning Module in der Azure Cloud konnten wir den Schädlingstyp GandCrab 5.3 identifizieren und schnell Maßnahmen ergreifen.“
Schon am Abend des zweiten Tages fing sepago nach Bereinigung und Recovery an, die Umgebung sukzessive wieder hochzufahren. „Die Patienten haben von alldem nichts bemerkt“, sagt Florian Diebel. „Wir haben auf Handbetrieb umgestellt: Die Gesundheitskarten kamen nicht ins Lesegerät, sondern wurden abgeschrieben. Jede Information wurde handschriftlich festgehalten und anschließend im System nachgetragen – das hat uns einiges an Zeit gekostet. Aber ansonsten ist nichts passiert. Wir haben keinerlei Daten verloren.“
Nicht nur während der kritischen 72 Stunden hielt Florian Diebel seine Belegschaft über den aktuellen Stand auf dem Laufenden. Auch im Nachgang machte er den Vorfall transparent – in Betriebsversammlungen, im Mitarbeiter-Magazin, in Führungskräfte-Meetings. „Wir haben die IT-Sicherheit ganz oben angestellt. Der Vorfall hat uns gezeigt, was es bedeutet, angreifbar zu sein“, sagt Diebel.
Seitdem sind kritische Systeme konsequent mit WDATP ausgestattet – der nächste Schritt ist der Rollout von Office 365 Advanced Threat Protection und Azure Advanced Threat Protection, um die Krankenhäuser in Weilheim und Schongau vor ähnlichen oder gar schlimmeren Angriffen zu schützen.
Und noch zwei Personalien zum Happy End: Der Mitarbeiter, der die Malware freigesetzt hat, arbeitet immer noch im Haus und ist nun sehr sensibel was das Öffnen von Dateianhängen angeht. Und: Nur kurze Zeit nach dem Angriff klickten irgendwo in Osteuropa die Handschellen: Interpol konnte den verantwortlichen Hacker ausfindig machen. Dank sepago und Windows Defender Advanced Threat Protection von Microsoft.