Im September 2020 mitten in der Pandemie wurde das   sehr genau über die Abläufe in Unternehmen Bescheid. Die Zeit,
               IT-System des Universitätsklinikums Düsseldorf (UKD) weit-  die sie zwischen der Kompromittierung eines Netzwerks und der
               reichend gestört (3). Das UKD war weiterhin von der Notfall-  Lösegeldforderung verstreichen lassen, hat sich im Rahmen der
               versorgung abgemeldet und Patienten mit Terminen sollten zur   COVID-19-Krise immer weiter verkürzt. In manchen Fällen
               Abstimmung Kontakt mit der behandelnden Abteilung aufneh-  vergingen gerade einmal 45 Minuten. Betroffen waren und sind
               men. Nach Informationen der Staatsanwaltschaft und des Justiz-  davon auch deutsche Organisationen, unter anderem aus dem
               ministeriums hat die Polizei in Zusammenarbeit mit externen   besonders gefährdeten Gesundheitssektor.
               Spezialisten und den IT-Fachleuten der Klinik inzwischen kon-  Oftmals übersteigt der Ressourcenaufwand für das Zurück-
               krete Anhaltspunkte für die Ursache ermittelt.  Hintergrund   setzen bzw. Neuaufsetzen des kompromittierten Systems die
               des Ausfalls war laut Informationen der Staatsanwaltschaft und   ursprüngliche Lösegelderpressung um ein Vielfaches. Doch
               des  Justizministeriums  hat die Polizei  nach  diesen  Analysen   Unternehmen sollten beachten, dass die Angreifer durch die
               ein Hackerangriff, der eine Schwachstelle in einer Anwendung   Attacke oftmals geheime oder vertrauliche Informationen und
               ausnutzte. Die Sicherheitslücke befand sich in einer marktübli-  Dokumente erbeutet haben und sich möglicherweise auch nach
               chen und weltweit verbreiteten kommerziellen Zusatzsoftware.   Zahlung des Lösegelds eine Hintertür für weitere Angriffe offen
               Bis zur endgültigen Schließung dieser Lücke durch die Soft-  lassen. Auch Ransomware-Angreifer nutzen Reconnaissance,
               warefirma war ein ausreichendes Zeitfenster gegeben, um in die   also Footprinting als ersten Schritt, um so viele Informationen
               Systeme einzudringen. Als Folge des damit ermöglichten Sabo-  wie möglich zu sammeln – etwa den bestmöglichen Zeitpunkt
               tageakts fielen nach und nach Systeme aus, Zugriffe auf gespei-  für den Angriff zu finden. Dazu zählen staatliche Feiertagen
               cherte Daten waren nicht mehr möglich. Für das Abfischen von   oder  die  Ferienzeit,  wenn  Abteilungen  geringer  besetzt  sind
               konkreten Daten gab es nach keine Belege ebenso wenig wie eine   und weniger schnell (z.B. durch Patches) agieren können, um ihr
               konkrete Lösegeldforderung.                      Netzwerk zu stärken.
                  Konzentrierten sich Cyberkriminelle früher eher auf Mal-
               ware-Angriffe, haben sie ihren Schwerpunkt nun spürbar auf
               Ransomware und Phishing verlagert. Organisierte und von   (1) Microsoft Digital Defense Report, September 2020,
               Menschen geführte Ransomware-Gangs durchforsten das Inter-  www.microsoft.com
               net nach verwundbaren Einstiegspunkten. Die Gruppierungen,   (2)  www.meinkrankenhaus2030.de
               die hinter den Erpressungen mit Ransomware stehen, wissen   (3)  www.uniklinik-duesseldorf.de




               IT-Sicherheit im Krankenhaus 1 /2021
                                                                                                               101