So wurde in einem Spiel am Lübecker Campus des Universitätsklinikums Schleswig-Holstein vor kurzem folgender Angriff entwickelt. Kriminelle Hacker gingen davon aus, dass im Gesundheitswesen die Gesundheit wichtiger ist als geltende IT-Sicherheitsrichtlinien. Unter dieser Annahme täuschten die Angreifer einen medizinischen Notfall eines Besuchers auf einer Station vor, um die Mitarbeiterin an der Anmeldung von ihrem Stations-PC wegzulocken. Ein weiterer „Besucher“ nutzte die Gelegenheit, um einen sogenannten Hardware Keystroke-Injector am Tastaturkabel des Stations-PCs anzubringen, um im Anschluss Tastatureingaben zu simulieren und Schadcode in das System einzuschleusen.

Dieses Vorgehen erschwert die Erkennung der Schadsoftware durch gängige Anti-Viren-Software. Lernen, wie ein Hacker zu denken Nach dem erfolgreichen Einschleusen überwachte die Schadsoftware die Tastatureingaben und wartete darauf, dass die Stationsmitarbeiterin Datensätze in die ePA-Datenbank einpflegte. Ausgewählte, vereinzelte Eingaben wie bspw. Blutgruppe wurden beim Transfer in die ePA-Datenbank durch die Schadsoftware manipuliert, in der Hoffnung, dass diese Änderungen im Laufe der Zeit ebenfalls mit in die Backups des Krankenhauses übernommen werden.

Frustrierte Krankenschwester auf Rachekurs

Nach ca. zwei Monaten planten die Angreifer, das Krankenhaus über die Manipulation in Kenntnis zu setzen und führten als Beweis einige der geänderten Datensätze mit an. Da die Angreifer lediglich vereinzelte Datensätze manipulierten und diese bereits in die Backups mit aufgenommen wurden, war „Team Blau“ nicht in der Lage, die Integrität der Daten in der ePA-Datenbank zu gewährleisten, weshalb sie im Spiel der Erpressung mit der damit verbundenen Geldforderung nachgeben mussten. Ebenfalls positiv ging der Angriff der Innentäter in einem anderen Spiel aus.

Bei diesem wollte sich eine frustrierte Krankenschwester aus Rache die Passwörter ihrer Kollegen beschaffen. Dazu wollte sie einen sogenannten Keylogger einsetzen, mit dem Angreifer unerkannt Tastatureingaben mitlesen können. Unter Nutzung von gestohlenen Mitarbeiteridentitäten und deren Zugriffsrechte plante die Krankenschwester Daten aus der ePA-Datenbank zu kopieren und zu veröffentlichen, um das Krankenhaus bloßstellen zu können.

IT-Sicherheitskonzept mit zwei-Faktor-Authentifizierung

Das IT-Sicherheitskonzept von „Team Blau“ sah jedoch eine Zwei-Faktor-Authentifizierung, USB-Schnittstellenüberwachung sowie Anomalieerkennung vor, weshalb dieser Plan scheiterte. Die Alternativplanung der Angreiferin konnte jedoch durch die Verteidiger nicht unterbunden werden. Denn diese nutzte einen sogenannten Hardware-Sniffer, welchen sie an das Druckerkabel klemmte. Mit Hilfe des Sniffers zeichnete sie fortan sämtliche Druckaufträge anderer Mitarbeiter (z.B. Arztbriefe) auf. Mittels Veröffentlichung dieser Daten konnte die Krankenschwester erfolgreich Rache am aktuellen Arbeitgeber üben und Lücken im IT-Sicherheitskonzept aufzeigen.