Cyberkriminelle attackieren Krankenhäuser und Impfstoffhersteller
Krankenhäuser, Ärzte, Pharmafirmen und öffentliche Einrichtungen, die die Verteilung der Corona-Impfung koordinieren: All diese Betriebe sind seit Beginn der Corona-Krise verstärkt ins Visier von Betrügern, Erpressern und Cyberkriminellen geraten. Das zeigt der am Mittwoch vorgelegte X-Force Sicherheitsbericht „Threat Intelligence Index“ von IBM.
Den Cyberkriminellen geht es bei ihren Angriffen vor allem ums Geld, aber auch darum, heikle Daten zu stehlen und für ihre eigenen Zwecke, etwa zur Desinformation der Bevölkerung, zu nutzen.
Notfall-Patienten verlegt
Erst vergangene Woche mussten in Frankreich Notfall-Patienten verlegt und ein Covid-19-Impfzentrum geschlossen werden, weil mehrere Spitäler Opfer eines Angriffs mit Ransomware geworden sind. So heißen die Erpressungstrojaner, bei denen Schadprogramme den Zugriff zu Daten und Computersystemen einschränken, um im Anschluss daran Lösegeld zu erpressen.
Meist erfolgreich: Laut dem IBM X-Force-Team hat eine einzige Erpressungstrojaner-Truppe, die 2020 besonders aktiv war, weltweit 123 Millionen US-Dollar verdient. Und von diesen Truppen gibt es mehrere. In Europa machten derartige Angriffe auf Spitäler rund 28 Prozent der Angriffe im Gesundheitsbereich aus. Die Folgen, die diese haben können, sind den Erpressern schlichtweg egal. „Das Motiv ist rein monetär“, sagt Otmar Lendl, Projektleiter beim Computer Emergency Response Team (CERT.at) zur futurezone.
Schwere Folgen
Doch die Auswirkungen von Erpressungstrojanern können dramatisch sein: In den Spitälern in Frankreich, in denen am 15. Februar zu dem Vorfall kam, musste die Verbindung zum Internet komplett unterbrochen werden. Die Arbeitsstationen und Telefonanlagen wurden mit Ausnahme der Notfallzentrale vom Netz abgetrennt. Das hat natürlich auch Auswirkungen auf die Patientenversorgung und die Aufnahme neuer Patienten. So müssen in der Regel etwa auch wichtige Operationen verschoben werden. Bis so ein System wieder hochgefahren werden kann, vergehen meist mehrere Tage. Als das tschechische Corona-Testlabor im März 2020 Opfer einer Ransomware-Attracke wurde, dauerte die Datenwiederherstellung sogar Wochen.
In Deutschland gab es im vergangenen Herbst einen besonders brisanten Vorfall: Dort verstarb eine Patientin der Düsseldorfer Uniklinik, nachdem das IT-Netz der Klinik mit Ransomware infiziert worden und ausgefallen war. Die Frau musste in ein anderes Krankenhaus transportiert werden, in dem sie dann auch gestorben ist. Der Vorfall wurde behördlich untersucht. Laut bisherigem Ermittlungsstand wäre die Frau auch ohne den Transport an ihrer schweren Erkrankung verstorben. Der Fall gilt dennoch als erster Ransomware-Angriff, durch den ein Mensch ums Leben kam.
„Die uns vorliegenden Daten zeigen für Österreich keinen Anstieg von Cyberangriffen im Gesundheitsbereich."
Keine Fälle in Österreich
„Dass hier Krankenhäuser speziell angegangen werden, wird international unterschiedlich gesehen“, sagt Lendl. „Aus den USA gibt es Berichte, wonach die Spitäler bevorzugtes Ziel sind, weil der Druck zum Bezahlen dort groß ist“, so der Experte. "Es gibt aber auch Meldungen aus Deutschland, wonach Täter Krankenhäusern eine kostenlose Software zur Entschlüsselung zur Verfügung gestellt haben, als sie bemerkten, dass sie versehentlich ein Spital erwischt hatten", sagt Lendl.
Doch wie sieht es eigentlich in Österreich aus? „Die uns vorliegenden Daten zeigen für Österreich keinen Anstieg von Cyberangriffen im Gesundheitsbereich“, sagt Lendl. Warum das so sei, könne mehrere Gründe haben, so der Cybersecurity-Experte beim CERT. „Die kann man nicht festnageln. Gute Absicherung, Glück, oder Zielpräferenzen der Täter…“ Das heißt aber nicht, dass es in Österreich keine Cyberangriffe gegeben hat, nur eben in anderen Bereichen. Ungepatchte Software rund um Exchange oder Citrix hatten auch in Österreich für „jede Menge Schwachstellen“ gesorgt, so Lendl.
"Der Einbruch bei der Europäischen Arzneimittelbehörde (EMA) hat zur Publikation von manipulierten Daten geführt, die das Vertrauen der Bevölkerung in die Impfungen schädigen sollen."
Spionage und Phishing
Dass Ransomware Spitäler trifft, ist schlimm genug. Doch es war laut dem X-Force-Team von IBM nicht die einzige Form von Cyberangriffen im Gesundheitsbereich: Im Oktober 2020 hatte das X-Force-Team eine Welle von Phishing-E-Mails an Organisationen und internationale Institutionen entdeckt, die in die geplante Verteilung der COVID-19-Impfstoffe eingebunden waren. Die Betrüger gaben vor, selbst von einer anerkannten Organisation zu stammen, und spähten auf diese Art internationale Institutionen mit Sitz in Deutschland, Italien und Tschechien aus. Die Angriffe auf die Impfstoff-Lieferkette haben zudem in allen Bereichen zugenommen, von der Logistik bis zur Infrastruktur.
Doch auch Pharma-Konzerne und Behörden blieben nicht verschont: Sowohl Pfizer und Biontech als auch die Europäische Arzneimittelbehörde (EMA) haben im Dezember 2020 bekannt gegeben, dass bei ihnen Daten abgegriffen worden seien. Dabei ging es um Dokumente, die die Impfstoffzulassung betreffen. „Es gibt schon lange Erkenntnisse, dass Forschungsergebnisse, die bei der Corona-Bekämpfung relevant sein könnten, Ziel von Spionage sind. Da geht es primär um die Impfstoffforschung und -herstellung“, sagt Lendl. Der Einbruch bei der EMA habe etwa zur Publikation von manipulierten Daten geführt, die das Vertrauen der Bevölkerung in die Impfungen schädigen sollen.
Insgesamt war Europa laut dem X-Force-Team mit 31 Prozent aller aufgezeichneten Angriffe im vergangenen Jahr besonders stark von Cyberattacken betroffen und lag noch vor den USA, die mit 27 Prozent folgten. „Die Pandemie hat das, was wir unter kritischer Infrastruktur verstehen, massiv verändert und Angreifer haben darauf reagiert“, sagt Nick Rossmann, vom IBM-X-Force-Security-Team.