Die Basellandschaftliche Psychiatrie (PBL) in Liestal ist einer Cyberattacke zum Opfer gefallen. Die Angreifer haben dabei sämtliche IT-Systeme verschlüsselt. Bereits in der Vergangenheit sind einzelne DDoS-Attacken auf die Einrichtung verübt worden, die eine beschränkte Beeinträchtigung der Verfügbarkeit mit sich trug. Der gestrige Vorfall lässt jedoch darauf schliessen, dass es sich um einen Ransomware-Angriff handelt. Marc Ruef ordnet die Situation ein und hat sich für ein Interview mit der BaZ Online zur Verfügung gestellt.

Was für ein Motiv könnte eine Hackergruppe dazu treiben die IT-Infrastruktur einer Psychiatrie lahmzulegen/verschlüsseln?

Cybercrime ist in den letzten Jahren zu einem Geschäftsmodell geworden: Angreifer wollen mit wenig Aufwand möglichst viel Geld verdienen. Organisationen, die ihre zentralen Prozesse digitalisiert haben, sind entsprechend lohnende Ziele.

Was passiert bei einer Verschlüsselung einer IT-Infrastruktur genau?

Eine sogenannte Ransomware wird in die Zielumgebung eingeschleust. Diese wird sich versuchen möglichst breitflächig im Netzwerk zu etablieren, um dann in einem ersten Schritt die Nutzdaten zu exfiltrieren. In einem zweiten Schritt werden die lokalen Daten verschlüsselt, um das Opfer dazu zu zwingen, den Zugriff auf seine Daten freizukaufen. Falls der Zugriff auf diese Daten notwendig ist, kein Backup vorhanden oder eine Rekonstruierung der Daten nicht möglich ist, bleibt dem Opfer nur die Zahlung übrig.

Handelt es sich bei einer Verschlüsselung immer um einen Erpressungsfall?

Ja, in den allermeisten Fällen. Nur selten wird ein derart verhältnismässig komplexer Angriff alleinig zu destruktiven Zwecken angestrebt. Da gibt es einfachere, zuverlässigere und durchschlagskräftigere Methoden.

Wenn Hackergruppen ein Lösegeld verlangen: Wie hoch sind solche Beträge?

WannaCry war jene Ransomware, die im Jahr 2017 das breitflächige Interesse der Bevölkerung auf sich lenken konnte. Diese hat damals pauschal USD 300 pro Infektion verlangt. Mittlerweile arbeiten die Ransomware-Gangs kontextsensitiv und versuchen herauszufinden, wo die Schmerzgrenze der Opfer liegt. Es ist nicht unüblich, dass Forderungen für grössere Firmen in sechs oder gar siebenstelliger Höhe gestellt werden.

Wie muss/soll ein Unternehmen in solch einem Fall reagieren?

Als erstes sollte nicht reagiert werden, um den Kriminellen nicht das Gefühl zu geben, als könnten sie die Kontrolle an sich reissen. Stattdessen sollte sich auf die technische Identifikation der eingesetzten Malware und den Infektionspfad fokussiert werden. Verhandlungen oder gar Zahlungen sollten nur angestrebt werden, wenn durch diese Zeit gewonnen werden kann oder sie unumgänglich werden. Die meisten Unternehmen können eine solche Situation nicht allein bewältigen. Stress und Hektik verleiten zu emotionalen Handlungen, die zu fatalen Entscheidungen führen können.

Wie kann sich ein Unternehmen gegen solch einen Angriff schützen?

Das Thema Cybersecurity, wie wir es heute kennen, ist über 20 Jahre alt. Klassische Mechanismen wie Patching, Härten von Systemen, Zugriffsberechtigungen, strenge Authentisierung, Netzwerksegmentierung, Firewalling und Antiviren-Lösungen sind altbekannt und erprobt. Wenn eine Kompromittierung dieses Ausmasses beobachtet werden kann, dann wurde ein Grossteil dieser Massnahmen nicht umgesetzt oder vernachlässigt. Ein Zustand, der im Gesundheitsbereich bedauerlicherweise immer wieder beobachtet werden kann.

Wie wahrscheinlich ist es, dass die Psychiatrie ihre Systeme selbst wiederherstellen bzw. entschlüsseln kann ohne ein Lösegeld zu zahlen?

Dies ist von der genutzten Ransomware abhängig. Je nachdem existiert ein sogenannter Decryptor. Mit der Hilfe eines solchen Software-Tools können die Daten selbst wiederhergestellt werden können. Es ist aber nicht anzunehmen, dass eine professionelle Ransomware-Gang mit veralteten Werkzeugen arbeitet, für die Decryptors bekannt sind. Falls kein Backup vorhanden ist, sind die Chancen gering, dass man den Ursprungszustand vollumfänglich wiederherstellen kann. Da zudem heutzutage vor der Verschlüsselung oftmals eine Exfiltration stattfindet, werden die Angreifer mit einer Veröffentlichung der Daten drohen, falls keine Zahlung ausgelöst wurde.

Für den Laien scheint es, als ob Hackerangriffe auf grössere Firmen in der Schweiz zunehmen. Stimmt das oder trügt der Schein?

Ransomware-Angriffe haben in den letzten 5 Jahren weltweit massiv zugenommen. Dieses Geschäftsmodell der Kriminellen hat sich als sehr erfolgreich herausgestellt. Dieser Erfolg ist massgeblich Unternehmen geschuldet, die das Thema Cybersecurity nicht ernst nehmen. Ich bedaure das umso mehr, da die Leidtragenden am Schluss die Mitarbeiter und Kunden sind, die keine Chance hatten, eigenmächtig den Angriff abzuwehren. In diesem Fall könnten höchstsensible und besonders schützenswerte Daten zu Patienten betroffen sein.

Links

• https://www.bazonline.ch/it-systeme-heruntergefahren-cyberangriff-auf-psychiatrie-baselland-705576061615

Tags