Ausgerechnet am Heiligabend war es wieder einmal so weit. Pünktlich zum Weihnachtsfest im vergangenen Jahr erhielt Christian Gäbel einen Anruf von einem Chief Security Information Officer (CISO) eines Klinikbetreibers. Kurz zuvor hatten Cyberkriminelle einen Angriff mit Verschlüsselungssoftware (Ransomware) gestartet. Für die Verantwortlichen war das ein böse Bescherung, sprichwörtlich.
Gleich sechs Kliniken auf einen Schlag waren betroffen – und für Christian Gäbels Krisenteam waren die Feiertage damit vorzeitig beendet. Gäbel ist beim IT-Dienstleister Pco verantwortlicher Geschäftsführer für die Bereiche Cybersecurity und Consulting Services. Kliniken holen ihn und seine schnelle Eingreiftruppe, das Pco Incident Response Team, als externe Security-Experten ins Haus, um die Auswirkungen einer Cyberattacke schnell in den Griff zu bekommen.
Zahl der Angriffe nimmt zu
Das Geschäft für solche IT-Krisenteams brummt, denn die Zahl von Angriffe auch auf Krankenhäuser nimmt beständig zu. Wie das IT-Sicherheitsunternehmen G Data Cyberdefense berichtet, hat die Zahl der von einer Ransomware-Attacke betroffenen Organisationen zwischen 2018 und 2024 weltweit um 16,3 Prozent zugenommen. Die am stärksten betroffene Branche ist das Gesundheitswesen, auch in Deutschland.
Laut Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom November 2023 meldete der Kritis-Sektor Gesundheit im Berichtszeitraum die meisten Cyberangriffe (132), gefolgt vom Sektor Transport und Verkehr (111). Der Digitalverband Bitkom beziffert den Schaden für deutsche Unternehmen in den letzten zwölf Monaten auf 266,6 Milliarden Euro.
Bleiben wir beim Geld: Die meisten Betreiber von Incident Response Teams bieten Klinikbetreibern Verträge an. Mit einem sogenannten Incident-Response-Retainer-Vertrag sichert sich der Kunde die Verfügbarkeit des schnellen Reaktionsteams bei einem Cyberangriff – zu einem vereinbarten Preis. Da der an Weihnachten gehackte Klinikbetreiber noch keinen solchen Vertrag abgeschlossen hatte, wurde es für ihn teuer: Zu den höheren Kosten für den Adhoc-Einsatz kamen noch Feiertagszuschläge hinzu. Die Leiter eines Incident Response Teams verhandeln in solchen Fällen zuerst die Finanzierung ihres Einsatzes, bevor sie überhaupt loslegen.
Attacke in der Nacht
„Die meisten Ransomware-Angriffe passieren in der Nacht, wenn die IT-Abteilungen nicht besetzt sind“, erklärt Kira Groß-Bölting, Incident Response Managerin und stellvertretende Leiterin des G Data Notfalleinsatzteams CSIRT (Computer Security Incident Response Team). Am Morgen nach dem Angriff bemerken die IT-Mitarbeitenden, dass verschiedene Services nicht mehr funktionieren oder der passwortgeschützte Zugriff auf bestimmte Dienste nicht mehr möglich ist.
Die meisten Ransomware-Angriffe passieren in der Nacht, wenn die IT-Abteilungen nicht besetzt sind.
In dieser frühen Phase lässt sich oft noch nicht abschätzen, ob es sich um einen schwerwiegenden IT-Sicherheitsvorfall handelt. „Moderne Antivirensoftware hat eine verhaltensbasierte Erkennung. Das ist gut, aber die Detektionsmöglichkeiten sind trotzdem eingeschränkt“, erklärt Groß-Bölting. Die Antivirensoftware schlägt zwar bei einem offensichtlichen Cyberangriff an, aber sie räumt auch auf und löscht schadhafte Dateien.
Deutsches Incident Response Team
Acht Unternehmen aus verschiedenen Regionen haben das Deutsche Incident Response Team gegründet – mit dem Ziel, eine bundesweit agierende Eingreiftruppe in der Nähe der großen Städte bereitzustellen. Das Deutsche Incident Response Team ist Teil des Cybersicherheitsnetzwerks des BSI. Die 60-köpfige Gruppe wurde vom BSI einheitlich ausgebildet, weshalb alle Teams mit denselben Methoden und Werkzeugen arbeiten. Im Umkreis von 150 Kilometern können die Teamleiter bei einem Cyberangriff innerhalb von vier Stunden vor Ort sein.
Diese Ereignisse muss die IT-Abteilung dann manuell in der Management-Umgebung der Antivirensoftware zwischen vielen Fehlmeldungen aufspüren. Dadurch ist es für die Abteilung schwer, in einer großen IT-Infrastruktur frühzeitig einen tiefer gehenden Cyberangriff zu identifizieren. „Erst wenn die IT-Mitarbeiterinnen und Mitarbeiter nach einem oder zwei Tagen merken, dass sie die Angelegenheit nicht selbst lösen können, weil immer wieder und mehr Probleme auftreten, melden sie sich bei uns“, so Groß-Bölting.
Dem BSI zufolge steht den Unternehmen eine „arbeitsteilige und effizient aufgestellte Angreiferindustrie“ gegenüber. Es gibt zum Beispiel Gruppen, die über das Darknet Zugänge zu Netzwerken anbieten. Mit Softwarewerkzeugen suchen sie automatisiert die Unternehmensnetze nach Sicherheitslücken ab oder versuchen mit Phishing-Attacken, die Netze zu kompromittieren.
Die Ransomware-Angreifer kaufen die Zugänge von einem Access Broker. Vor dem eigentlichen Angriff kundschaften sie ihre potenziellen Opfer aus. Aus dem Bundesanzeiger erfahren sie zum Beispiel die Eigenkapitalquote und die Bilanzsumme eines Krankenhauses. So können sie abschätzen, ob die Eigenkapitaldecke des Unternehmens auch einen Angriff aushält, der etwas länger dauert als geplant. „Man will ja sein Opfer nicht gleich in den Ruin treiben“, erläutert Gäbel.
Jeder Ransomware-Angriff hat sechs Phasen
Das BSI unterteilt eine Ransomware-Attacke in sechs Phasen. In der ersten Phase (Erstinfektion) dringen die Angreifer über die Sicherheitslücke in die Netze ein. Dieser Vorgang läuft automatisiert ab und dauert zwischen zwei und acht Stunden. Sobald sie im Netz sind, schließen sie die Sicherheitslücke wieder, um Konkurrenten fernzuhalten. „Aktuell herrscht ein riesiger Wettbewerb“, stellt Gäbel fest.
Anschließend erkunden die Angreifer, wie tief sie in das Netz eindringen können. Da die benutzte Sicherheitslücke nur einen begrenzten Zugang bietet, laden sie in der zweiten Phase (Rechteerweiterung) weitere Software nach. Mit einem „Passwortsammler“, der ebenfalls weitgehend automatisiert arbeitet, versuchen sie an möglichst viele Passwörter zu gelangen. Ihr Hauptziel ist das Masterpasswort des Administrators.
Gesundheitsdaten als besonderes Druckmittel
Mit diesem „Goldenen Ticket“ stehen den Angreifern alle Systeme offen. Sie können zum Beispiel das Monitoring System des Virenschutzes oder die Firewall ausschalten sowie Backups löschen oder verschlüsseln. „Wenn die IT-Abteilung dies frühzeitig entdeckt oder besondere Abwehrmethoden zu den Datenlaufwerken aufgebaut hat, dann kommt der Angreifer nicht weit“, erläutert Gäbel.
In Phase drei erfolgt der automatisierte Rollout eines Malware-Cocktails mit verschiedensten Softwareprodukten wie Datensammler und Verschlüsselungssoftware, in der vierten Phase dann der Datenabfluss. „Die Angreifer entwenden die mit dem Datensammler erbeuteten Mitarbeiterdaten, die sie nach E-Mail-Adressen, Abteilungen oder Funktionen strukturieren“, erklärt Gäbel. Mit diesen Informationen gehen die Cyberkriminellen in die Drittvermarktung, stellen Preislisten in das Darknet ein.
Ein besonderes Druckmittel zur Zahlung von Löse- oder Schweigegeld sind personenbezogene Gesundheitsdaten, deren Veröffentlichung das Krankenhaus kompromittieren würde. Die Verschlüsselung der Systeme erfolgt in der fünften Phase. Hierzu verteilen die Kriminellen ihre Schadsoftware aktiv im System. Eine eigenständige Ausbreitung wie bei Computerwürmern ist bei Ransomware bislang noch nicht vorgekommen.
Die Gegenmaßnahmen der schnellen Eingreiftruppe
In Phase sechs erfolgen die Gegenmaßnahmen – die Incident Response. Das Unternehmen muss die Systeme und Daten wiederherstellen, einen Übergangsbetrieb organisieren und den Vorfall kommunizieren. Hier kommt das Incident Response Team ins Spiel. Allein aus der Ferne lässt sich ein Angriff auf kritische Infrastrukturen nicht managen. Deshalb fährt der Einsatzleiter zum Kunden. Vor Ort ist er für die strategische Beratung zuständig. Er sondierte die Lage, informiert sich bei der IT-Abteilung über den aktuellen Stand und unterrichtet die Unternehmensleitung über den technischen Sachverhalt.
Darüber hinaus berät er das Unternehmen bei der Krisenkommunikation. Ein Ransomware-Angriff lässt sich nicht unter der Decke halten. Um Gerüchten und einer Verunsicherung vorzubeugen, müssen Mitarbeiter, Patienten und die Öffentlichkeit informiert werden. Der Leiter des Incident Response Teams kennt oftmals auch die Ansprechpartner der zuständigen Behörden und des Cyberversicherers, die informiert werden müssen. „Besonders wichtig in dieser Phase ist es, die Mitarbeiterinnen und Mitarbeiter der IT-Abteilung abzuschirmen, damit sie sich auf ihre Arbeit konzentrieren können“, erläutert Groß-Bölting.
Bereinigung und Wiederherstellung
Vor der Wiederherstellung der Systeme muss zunächst eine forensische Analyse erfolgen, die viele Fragen beantworten kann: Wie sind die Angreifer eingedrungen, welche Malware verwenden sie, welche Systeme sind betroffen? Und wie lässt sich der Angriff stoppen? Das nachgelagerte Team besteht in der Regel aus fünf Personen. Der IT-Forensiker untersucht und analysiert das Angreiferverhalten und versucht, den Angriff nachzuvollziehen.
Eine Dokumentation sämtlicher Vorgänge und Maßnahmen ist unverzichtbar. „Diese Dokumentation ist auch wichtig für den forensischen Bericht, den die Cyberversicherung anfordert“, erklärt Gäbel. Hinzu kommen Experten, die die gefundene Malware analysieren und damit helfen den Schaden einzudämmen. Falls der Krankenhausbetreiber für bestimmte Systeme und Anwendungen keine Spezialisten hat, müssen notfalls weitere Consultants hinzugezogen werden
Das Incident Response Team (Reaktionsteam) rollt zuerst eine Software mit einer speziellen Sensortechnik aus und baut eine Verbindung zum Security Operations Center (SOC) auf, dem Lagezentrum des Dienstleisters. Die Mitarbeiter im SOC erhalten über die Sensortechnik eine Übersicht über die aktuelle Situation und erkennen, wo Handlungsbedarf besteht. Die Sensoren ermöglichen ein permanentes Monitoring. Mit der manuellen Auswertung wären die Mitarbeiter überfordert. Deshalb kommt im zweiten Schritt eine Software zur automatisierten Angriffserkennung zum Einsatz, die mit künstlicher Intelligenz arbeitet und selbst Gegenmaßnahmen vorschlägt.
Es kann manchmal mehrere Tage dauern, ein KIS wiederherzustellen.
Die Angreifer verfügen über ein ähnliches Repertoire an Werkzeugen wie das Reaktionsteam. Sie verwenden meist auch ein Monitoringsystem, mit dem sie überprüfen können, ob die automatisierte Verschlüsselung und Datensammlung erfolgreich ist. Notfalls schreiten sie manuell ein. Falls das Incident Response Team entdeckt, dass diese Aktivitäten noch in vollem Gange sind, versucht es, diese sofort zu stoppen. „Notfalls ziehen wir den Stecker“, so Gäbel.
„Durch die forensische Analyse können wir den Angriff aufklären und mit dem Kunden das weitere Vorgehen zielgerichtet entscheiden“, sagt Groß-Bölting. Bei vielen Systemen reicht es aus, ein funktionierendes Backup wiederherzustellen. „In der Regel müssen nur Kerninfrastruktursysteme wie Domaincontroller oder Proxyserver neu aufgesetzt werden“, sagt Groß-Bölting – „sowie Systeme mit starken Aktivitäten der Angreifer, die dort einen dauerhaften Zugang zur Infrastruktur behalten möchten.“
Bei den anderen Systemen genügt es, sie zu bereinigen. „Wir verschieben die Systeme in ein Quarantänenetz, wo wir die Bereinigung mit einem selbst programmierten Softwarewerkzeug durchführen“, erklärt Gäbel. Bereinigt werden sowohl alle flüchtigen Speicher wie Caches als auch die nichtflüchtigen wie Festplatten. Jedes bereinigte System erhält einen roten Aufkleber. „Es bleiben immer Systeme übrig, die wir erst viel später wiederherstellen können“, so Gäbel. Nach der Bereinigung erfolgt die Wiederherstellung durch Aufspielen eines Backups. „Es kann manchmal mehrere Tage dauern, ein Krankenhausinformationssystem wiederherzustellen“, so Gäbel.
Zum Schutz gegen Ransomware-Attacken empfehlen wir grundsätzlich auch Offline-Backups.
Nicht immer steht ein funktionierendes Backup zur Verfügung. „In fast jeden Einsatz finden wir unvollständige Backups, die man nicht für die Wiederherstellung verwenden kann“, sagt Groß-Bölting. Sie berichtet von fehlerhaften Backups, die über einen Zeitraum von zwei bis drei oder mehr Monaten nicht regelmäßig überprüft wurden. „Den Angreifern ist die Bedeutung der Sicherungskopien bewusst“, so Groß-Bölting, weshalb sie Backups „gewissenhaft“ verschlüsseln – auch Backups in der Cloud. „Zum Schutz gegen Ransomware-Attacken empfehlen wir grundsätzlich auch Offline-Backups“, so Groß-Bölting.
Gestohlene Daten sind nie verhandelbar.
Der Leiter des Incident Response Teams nimmt Kontakt mit den Cyberkriminellen auf. Hierzu hinterlassen die Gangster auf dem System einen digitalen Spickzettel, die sogenannte Ransomnote. Die Kommunikation erfolgt im Darknet mit einem speziellen Browser. „Meistens reagieren sie auf unsere Anfrage mit dem Hinweis, dass wir uns ein oder zwei Tage auf eine Antwort gedulden sollen“, sagt Gäbel. Entweder befindet sich Krankenhaus in einer Warteschlange, weil die Erpresser zu erfolgreich waren. Oder der „Money Maker“ kann noch keine Forderungssumme nennen, weil er erst noch den angerichteten Schaden sondieren muss. „Dann machen wir Euch einen Preis“. Wenn Menschenleben betroffen sind, lassen sie oft mit sich reden und geben die betroffenen Systeme vorzeitig frei. In praktisch allen Fällen fließen aber auch Daten ab. „Gestohlene Daten sind nie verhandelbar“, weiß Gäbel.
Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!
Jetzt einloggen