• Startseite
  • Digital
  • Cyberkriminalität in der Corona-Krise: IT-Sicherheitsexperte im Interview

IT-Sicherheitsexperte: “Krankenhäuser sind immer lohnenswerte Ziele für Hacker”

  • Spam-Mails, Betrugsversuche, ein gehacktes Krankenhaus: Cyberkriminelle haben die Corona-Krise zu ihren Gunsten genutzt.
  • Rüdiger Trost ist IT-Sicherheitsexperte bei F-Secure. Im RND-Interview erklärt er, warum Krankenhäuser für Hacker so attraktive Ziele sind.
  • Außerdem erläutert er, warum viele Cyberkriminielle auf die Mail zurückgreifen.
|
Anzeige
Anzeige

Herr Trost, zu Beginn der Corona-Krise gab es Hackergruppen, die angekündigt hatten, Krankenhäuser vorerst nicht mehr angreifen zu wollen. Was ist aus diesem Versprechen geworden?

Das war ein reiner PR-Gag. Die Gruppen haben sich nicht wirklich an die Ankündigung gehalten. Die Zahl der angegriffenen Krankenhäuser und medizinischen Einrichtungen ist eher gestiegen als gesunken.

Aktuell steht die Uniklinik Düsseldorf im Fokus: Hackern ist es gelungen, die Klinik lahmzulegen. Eine Frau starb, weil sie in ein anderes Krankenhaus gebracht werden musste. Wie kann so etwas passieren?

Weiterlesen nach der Anzeige
Anzeige

Vermutet wird, dass es vor einigen Monaten eine Lücke in einer Software gab, bei der der Hersteller ein wenig gebraucht hat, um sie zu schließen. In der Zwischenzeit haben aber schon sehr viele Angreifer verschiedene Hintertüren in die Netzwerke gebaut. Man muss sich das so vorstellen: Die Eingangstür ist kaputt und der Handwerker kommt erst in einem Monat. Aber jeder, der in der Zwischenzeit vorbeifährt, sieht, dass die Tür kaputt ist, kann ins Haus gehen und sich für später ein Fenster aufmachen. Dann hat der Angreifer diese Hintertür genutzt, den Server der Klinik verschlüsselt und so eine Erpressung gestartet. Solche Erpressungsversuche gibt es jeden Tag Dutzende Male in verschiedenen Unternehmen. Denn die sogenannte Ransomware hat sich als sehr lukratives Geschäft herausgestellt.

Wie genau funktioniert Ransomware?

Anzeige

Das ist ein Trojaner, der alle Daten, die er findet, verschlüsselt. Dann sagt er dem Nutzer: Wenn du einen gewissen Beitrag in Bitcoins bezahlst, kriegst du ein Passwort und kannst deine Daten wieder herstellen. Der Betrag richtet sich dann nach dem Opfer: Als Privatperson soll man vielleicht etwa 300 Euro bezahlen, bei einem Unternehmen kostet es auch schon mal 100.000 Euro oder sogar mehr. Denn die Angreifer wissen genau, wen sie an der Angel haben.

Und Krankenhäuser sind gerade lohnenswerte Ziele?

Anzeige

Krankenhäuser sind immer lohnenswerte Ziele, aber gerade in der Corona-Zeit, in der sie sowieso schon unter Strom stehen. Wenn in so einer Situation das ganze IT-System verschlüsselt wird, dann wird das Krankenhaus um 100 Jahre zurückgeworfen. Da sitzen die Angreifer am längeren Hebel und können ein noch viel größeres Lösegeld fordern.

Rüdiger Trost ist “Head of Cyber Security Solutions” für Deutschland, Österreich und die Schweiz beim Informationssicherheitsunternehmen F-Secure. Als solcher berät er Unternehmen bei der Erstellung von Sicherheitskonzepten und hilft bei deren Implementierung. © Quelle: F-Secure

War der IT-Ausfall an der Uniklinik Düsseldorf ein schlimmer Einzelfall oder sind die Kliniken allgemein schlecht aufgestellt, um sich gegen solche Angriffe zu wehren?

Was man so hört, sind sie leider nicht gut dagegen aufgestellt. Aber da gibt es meiner Meinung nach keine Ausreden: Krankenhäuser sind kritische Infrastruktur, medizinische Daten müssen geschützt sein. Genauso wie ein OP-Saal desinfiziert werden muss, muss auch die IT gepflegt werden. Ich kann auch nur jedem empfehlen: Wenn man zum Hausarzt geht und da steht ein Rechner, auf dem ein veraltetes Windows XP läuft, dreht man am besten um und geht wieder.

Wie haben Cyberkriminelle die Corona-Krise sonst noch für sich genutzt?

Generell kann man sagen: Jedes aktuelle Ereignis wird von Angreifern aktiv ausgenutzt – ob das die Fußball-WM ist oder eben Covid-19. Denn die Menschen interessieren sich dann für diese Themen und öffnen etwa entsprechende Spam-Mails. Aktuell ist die Corona-Krise noch ein spannendes Thema, aber auch die US-Wahl wird gerade interessant.

Anzeige

Das Haupteinfallstor für Cyberkriminelle, das zeigt der aktuelle Sicherheitsreport von F-Secure, ist derzeit wieder die Mail. Was macht sie für Angreifer so interessant?

Jeder Mensch nutzt E-Mails, man kann jedem Menschen eine E-Mail schicken und man bekommt auch sehr, sehr viele E-Mails. Das heißt, man entwickelt eine gewisse Routine, wie man auf eine E-Mail reagiert: Man schaut sie sich an, öffnet die Anhänge, klickt auf Links.

Dabei wird man doch seit Jahren immer wieder etwa gewarnt, nicht leichtfertig auf Links zu klicken oder Anhänge zu öffnen …

Überlegen Sie sich folgendes Szenario: Sie arbeiten in der Personalabteilung eines Unternehmens, das Stellen ausgeschrieben hat, und erhalten jeden Tag fünf E-Mails mit Bewerbungen. Was machen Sie? Sie müssen diese Mails öffnen, Sie haben gar keine Wahl. Die Angreifer suchen sich schon die Personen heraus, die aktiv auf E-Mails warten und in der Situation sind, dass sie diese auch beantworten und bearbeiten müssen.

Was verrät dieses spezifische Vorgehen, das Ausnutzen von aktuellen Situationen, über die Angreifer?

Man muss ganz klar sagen: Das ist organisiertes Verbrechen. Das sind professionelle Hackergruppen mit einem organisierten Netzwerk, die es darauf abgesehen haben, Geld zu verdienen. Die Vorstellung, dass ein Jugendlicher nach der Schule mal eben eine Firma angreift, ist ein Mythos. Das gibt es auf diesem Level nicht. Wo diese Angreifer sitzen, weiß man in der Regel nicht. Man kann aber davon ausgehen, dass sie nicht in Deutschland oder in Europa sind, sondern eher in Südamerika oder Russland. Aber genau weiß man es eigentlich nie, weil das Internet so aufgebaut ist, dass man seine Herkunft verschlüsseln kann.

Das klingt so, als bliebe nur die Möglichkeit, sich möglichst gut zu schützen. Aber hinkt man den Angreifern dabei nicht immer einen Schritt hinterher?

Selbst wenn ich die besten Sicherheitswerkzeuge habe, muss ich immer davon ausgehen: Ich werde irgendwann Opfer sein. Irgendeine Schadsoftware schafft es irgendwann mal durch, weil man irgendwas vernachlässigt hat. Aber auch für diesen Fall muss man dann einen Maßnahmenplan haben – und ihn auch testen. Dazu gehört, ganz einfaches Beispiel, dass die Back-up-Festplatte, also der Ort, an dem ich meine Daten abgesichert habe, nicht permanent an den Rechner angeschlossen ist, weil sie sonst einfach mit verschlüsselt wird. In Unternehmen muss es dagegen einen Sicherheitsverantwortlichen geben, der immer mitdenkt, was Angreifer als Nächstes planen, um am Ball zu bleiben. Man muss mit dem Schlimmsten rechnen – und dann ist man gut aufgestellt.

“Staat, Sex, Amen”
Der neue Gesellschaftspodcast mit Imre Grimm und Kristian Teetz
  • Laden Sie jetzt die RND-App herunter, aktivieren Sie Updates und wir benachrichtigen Sie laufend bei neuen Entwicklungen.

    Hier herunterladen