Information und Bildungsarbeit von und für die SAP-Community

Cyberangriffe auf Krankenhäuser – echt?

Sie haben in den vergangenen Wochen die Schlagzeilen bestimmt: Angriffe mit Schadsoftware zwangen tatsächlich Krankenhäuser in Deutschland, ihren Betrieb in einigen Abteilungen teilweise einzustellen. So weit, so schlecht. Aber was ist wirklich passiert?
Raimund Genes, Trend Micro
31. März 2016
Security
avatar

Einerseits wurde bekannt, dass ein Krankenhaus in den USA Lösegeld an Cyberkriminelle gezahlt hat, um verschlüsselte Systeme zu entschlüsseln. Andererseits gingen Meldungen durch die Presse, dass auch deutsche Krankenhäuser Opfer von Cyberangriffen geworden sind und ihren Betrieb einstellen mussten.

Hinzu kommt, dass seit einiger Zeit ein neuer Verschlüsselungstrojaner namens „Locky“ grassiert, der sehr erfolgreich Systeme infiziert. Mischt man alles zusammen, entstehen reißerische Überschriften à la „Cyberkriminelle greifen deutsche Krankenhäuser an“.

Und in der öffentlichen Wahrnehmung wurden die Krankenhäuser Opfer gezielter Angriffe – gegen die man sich bekanntlich nicht wehren kann. Hier von  „Angriffen“ zu sprechen ist zumindest „fahrlässig ungenau“.

Die Betroffenen sind schlichtweg Opfer „normaler“ Verschlüsselungstrojaner geworden, wie es sie seit Jahren in rauen Mengen gibt. Sie wurden weder speziell in diese Krankenhäuser eingeschleust noch dafür entwickelt. Die Krankenhäuser hatten lediglich das Pech, dass einer dieser Trojaner auf ihren internen Systemen ausgeführt wurde.

Und anders als bei Privatpersonen wurden nicht private Bilder oder Ähnliches, sondern deutlich sensiblere Daten verschlüsselt. Aber: Es handelte sich weder um gezielte Angriffe noch um etwas grundlegend Neues!

Salopp gesagt zeigt die Wahrscheinlichkeit ihr böses Gesicht: Nachdem in der Vergangenheit primär Privatanwender darunter leiden mussten, hat es nun Krankenhäuser erwischt.

Streng genommen ist es verwunderlich, dass nicht schon früher deutlich mehr passiert ist. Auch von „Angriffen, wie man sie vorher auch auf andere Industriezweige“ gesehen hat, und von „unbekannten Cyberwaffen“ habe ich gelesen.

Hier gibt es eine Diskrepanz zwischen Wahrheit und Wahrnehmung: Verschlüsselungstrojaner belästigen die IT schon lange. Ein guter Indikator dafür, dass dieses Geschäftsmodell für die Kriminellen funktioniert – und es leider auch noch lange tun wird.

Natürlich gibt es keinen hundertprozentigen Schutz vor diesen Trojanern. Natürlich kann man mit Sicherheitslösungen am Gateway, im Netz und am Endpunkt die Wahrscheinlichkeit verringern.

Man muss sich aber darüber im Klaren sein, dass man dennoch mit einem Befall rechnen muss! Selbst die Nutzung von Breach-Detection-Systemen inkl. Sandboxing kann die Wahrscheinlichkeit nur beeinflussen und (im Nachhinein) auswertbare forensische Daten liefern.

Aber es ist nur eine Frage von „wann“, nicht „ob“ etwas durchkommt. Ein Cyberkrimineller kann mit wenig Aufwand Tausende von Varianten erstellen und diese so lange optimieren, bis aktuelle Sicherheitslösungen sie eben nicht finden.

Unter der Prämisse, dass es einen Befall geben kann, muss man also entsprechende Sicherheitsmaßnahmen planen. Dazu gehören simple Best Practices wie Netzwerksegmentierung und Sicherheitsfunktionen genauso wie ein profanes „Backup und Restore“.

D.h. selbst wenn etwas durchkommt, sind vielleicht nur einige Rechner im Segment betroffen und können via Restore wieder „bereinigt“ werden. Beim Betrieb kommerzieller IT-Umgebungen entspricht das alles langjährigen Empfehlungen und Erfahrungen beim Betrieb.

Umso erstaunlicher ist es, dass hier nicht nur einzelne Bereiche (z. B. Verwaltung) befallen waren, sondern ganze Häuser „offline“ waren, teilweise für Tage. Um es explizit zu sagen: Meiner Meinung nach handelte es sich hier nicht um „Angriffe“.

Hier von einem Angriff zu sprechen lenkt den Fokus auf den angeblichen Angreifer und weg von der Frage nach Betriebsfragen – vielleicht nicht ganz ungewollt…

Der Effekt für die Allgemeinheit ist aber leider eine Art Panikstimmung, die in dieser Form nicht angebracht ist. Es war schlichtweg ein normaler Trojaner, wie er täglich tausendfach in Umlauf gebracht wird.

Im Gegenteil: Wenn andere kritische Infrastrukturen einmal tatsächlich Opfer von echten gezielten Angriffen werden, wird das Ganze mit der Antwort „war ja beim letzten Mal auch nicht so schlimm“ als weitere Panikmache abgetan. Und das können wir uns nun wirklich nicht leisten.

avatar
Raimund Genes, Trend Micro

Raimund Genes war CTO bei Trend Micro.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.