Angriffe mit ErpressungssoftwareWas der US-Pipeline-Hack mit den Schweizer Spitälern zu tun hat
Der Hackerangriff auf den US-Pipeline-Betreiber Colonial zeigt, wie verwundbar kritische Infrastruktur ist. Ein Bundesbericht zum Schweizer Gesundheitswesen zeigt die Schwächen hierzulande auf.
Seit Freitag geht gar nichts mehr. Die IT-Systeme des grössten US-Pipeline-Betreibers Colonial Pipeline stehen still. Bereits wird der Sprit in einigen Regionen knapp, weil die Tankstellen kein Benzin mehr haben. Colonial hofft, dass sich die Lage bis Ende der Woche wieder beruhigt.
Die Ursache für das Debakel ist eine Hackerattacke. Laut der US-Bundespolizei FBI wurde eine Erpressungssoftware der Hackergruppe Darkside für den Angriff auf die Netzwerke von Colonial Pipeline verwendet.
Mit der sogenannten Ransomware werden IT-Systeme lahmgelegt und wichtige Informationen gestohlen. Die Angreifer versprechen meist, dass sie gegen die Zahlung eines Lösegelds die Systeme wieder freigeben und die gestohlenen Daten vernichten.
«Unser Ziel ist es, Geld zu verdienen, und nicht, Probleme für die Gesellschaft zu schaffen.»
Für Beobachter ist es überraschend, dass für den Angriff auf die Pipelines eine Schadsoftware von Darkside verwendet wurde. Die Hackergruppe hat nämlich einst gelobt, keine sensiblen Ziele wie Krankenhäuser, Schulen oder den Regierungssektor anzugreifen. «Wir sind unpolitisch, wir beteiligen uns nicht an der Geopolitik», postete Darkside am Montag. «Unser Ziel ist es, Geld zu verdienen, und nicht, Probleme für die Gesellschaft zu schaffen.»
Die Gruppe behauptete zudem, dass sie einen Teil des Lösegelds für wohltätige Zwecke spenden wolle – und dafür sogar Belege veröffentlichen zu wollen. Auch gibt es keine Hinweise dafür, dass Darkside im Auftrag einer Regierung, etwa Russlands, arbeitet.
Pipeline-Betreiber waren gewarnt
Mag der Hintergrund der Attacke überraschend sein, so kommt der Angriff eigentlich nicht unerwartet. Laut der «Financial Times» haben US-Sicherheitsbehörden bereits seit zwei Jahren Betreiber von kritischen Pipelines gewarnt, dass sie verstärkt ein Ziel von Cyberangriffen sind. Offensichtlich wurden die Warnungen nicht genügend ernst genommen.
Auch in der Schweiz ist schon lange bekannt, dass heikle Bereiche schlecht geschützt sind. So hat die Stromaufsicht Elcom vor zwei Jahren die IT-Sicherheit der 92 grössten Schweizer Netzbetreiber untersucht und dabei grosse Lücken gefunden.
David Gugelmann, Gründer des Zürcher Cybersecurity-Unternehmens Exeon Analytics, sagt: «Wie die Elcom-Untersuchung zeigte, bestehen häufig gravierende Mängel in der Infrastruktur, daher muss diese besser geschützt werden.»
«Oft können sich Angreifer leider sehr einfach in unzureichend geschützten IT-Netzwerken ausbreiten und dann von dort die kritischen Systeme manipulieren.»
Das Problem sei laut Gugelmann gravierend: «Oft können sich Angreifer leider sehr einfach in unzureichend geschützten IT-Netzwerken ausbreiten und dann von dort die kritischen Systeme manipulieren.» Inwieweit der Elcom-Befund für einen grösseren Schutz bei den Stromwerken gesorgt hat, ist nicht bekannt. Eine kurzfristige Anfrage bei der Aufsicht blieb unbeantwortet.
Gefahr für Schweizer Spitäler und Patienten
Laut dem nationalen Zentrum für Cybersicherheit (NCSC) steht derzeit ein anderer heikler Bereich im Fokus: die Gesundheitsversorgung. Im Vorwort des neusten Cybersicherheits-Berichts heisst es: «Für die Bevölkerung lebensnotwendige Dienste können durch kriminelle Banden ausser Gefecht gesetzt werden. Dieses Risiko ist bekannt, und es ist inakzeptabel, dass in einer Demokratie wie der unseren zu wenig getan wird, um es abzuwehren.»
«Die Schweiz ist führend in Cybersecurity, und die Gesundheitsbranche sollte auf diese Stärke setzen.»
Sandra Tobler, Gründerin des Zürcher IT-Sicherheitsunternehmens Futurae, sagt: «Die Gesundheitsbranche befindet sich in einer Aufholjagd, was IT und Infrastruktur anbelangt – Sicherheit wird dabei oftmals als lästige Nebensache betrachtet.» Neben der globalen Pandemiekrise bestehe eine gleichzeitige Digitalisierungskrise von Diensten. Davon betroffen seien Krankenhäuser, Kliniken, Apotheken, Ärzten sowie die Sicherung von Patientendaten. Im Gegensatz etwa zur Finanzbranche hätte die IT-Sicherheit im Gesundheitswesen noch zu wenig Gewicht. «Die Schweiz ist führend in Cybersecurity, und die Gesundheitsbranche sollte auf diese Stärke setzen», so Tobler.
Hirslanden hat auf Angriff reagiert
Das Gesundheitswesen ist während der Corona-Pandemie ohnehin schon an der Belastungsgrenze. Wenn dann noch ein übermüdeter Mitarbeiter einen gefährlichen E-Mail-Anhang öffnet, kann das eine Gefahr für die Patienten sein. «Wenn sich dann noch Cybervorfälle ereignen, die zu Funktionseinschränkungen bei Gesundheitsdienstleistern führen, hat dies unter Umständen lebensbedrohliche Konsequenzen», so der Bundesbericht.
Eine Warnung war der Angriff auf die Privatklinikgruppe Hirslanden im letzten Sommer. Sie wurde wie die US-Pipeline Opfer einer Ransomware. Doch konnten die verschlüsselten Daten mithilfe von Back-ups wiederhergestellt werden. Auch soll die Versorgung der Patienten zu keiner Zeit gefährdet gewesen sein. Laut einem Sprecher habe die Hirslanden-Gruppe seither die Schulung der Mitarbeiter verbessert und beim Mail-Verkehr die IT-Sicherheit deutlich erhöht.
Laut dem Bundesbericht konnten bei zwei weiteren Schweizer Spitälern Infektionen mit dem Schadprogramm Emotet frühzeitig erkannt und behoben werden. Die Schadsoftware Emotet wurde früher oft für Angriffe auf Banken und deren vermögende Kundschaft verwendet, sie wird aber fortlaufend weiterentwickelt und kommt in anderen Bereichen zum Einsatz.
Fehler gefunden?Jetzt melden.
