„GEZIELT, VIEL KRIMINELLE ENERGIE“: NEUE DETAILS ZUM HACKERANGRIFF AUFS KRANKENHAUS
Erste Erkenntnisse aus forensischer Untersuchung
„Gezielt, viel kriminelle Energie“: Neue Details zum Hackerangriff aufs Krankenhaus
Die Arbeit der Forensiker zahlt sich aus. Mehr als zwei Wochen nach dem Hackerangriff gibt es mehr Details zum Vorgehen der Kriminellen. Die Antworten auf die wichtigsten Fragen.
Agatharied – Erst der Schock, dann die Sicherung des medizinischen Betriebs mit Analogisierung vorher digitalisierter Prozesse, gefolgt von der Wiederherstellung der IT-Systeme mit parallel laufender forensischer Untersuchung. Wollte man den Hackerangriff aufs Krankenhaus Agatharied Mitte Juni in einzelne Abschnitte unterteilen, so würde sich das Kreisklinikum mittlerweile in Phase drei befinden. Mit der Folge, dass sich nun auch Fragen zumindest teilweise beantworten lassen, die zunächst mangels faktischer Erkenntnisse schlicht nicht zu klären waren. Im Folgenden haben wir die Aussagen des Krankenhauses auf Basis unserer jüngsten Presseanfrage zusammengefasst.
Wie läuft die Wiederherstellung der IT-Systeme?
Dank unserer vorhandenen Back-up-Strategie planmäßig. Am Montag waren 150 von 200 virtuellen Servern wiederhergestellt. Die ersten sind bereits in Betrieb, beispielsweise die Arbeitszeiterfassung der 1200 Mitarbeiter. Höchste Priorität haben die Stationsarbeitsplätze, die voraussichtlich Mitte bis Ende dieser Woche wieder funktionieren sollten. Die Wiederherstellung folgt einer komplexen Prozedur. Jedes System – darunter auch alle PCs und Notebooks – wird einzeln geprüft und gegebenenfalls bereinigt.
Weiß man mittlerweile, wie der Hackerangriff genau abgelaufen ist?
Ja. Der Angriff war nicht willkürlich, sondern gezielt. Die Cyberkriminellen haben sich mit viel Know-how und aufwendiger maschineller Unterstützung sowie viel krimineller Energie sehr aktiv Zutritt zu den IT-Systemen des Krankenhauses verschafft. Ein unglücklicher menschlicher Fehler aufseiten des Klinikums, beispielsweise ein versehentliches Öffnen einer schädlichen E-Mail, scheidet damit als Ursache aus. Vielmehr haben die Täter die Daten nach erfolgtem Eindringen verschlüsselt. Schadsoftware wurde aber nicht eingeschleust. Auch haben die externen Forensiker und die ermittelnden Behörden bis dato keine Hinweise, dass Daten extrahiert und damit gestohlen wurden. Die Auswertung der sogenannten Log-Dateien untermauern das. Sollte sich entgegen derzeitiger Vermutungen doch ein Verdacht auf Diebstahl ergeben, wird das Krankenhaus umgehend nach Rücksprache mit dem Landesdatenschutzbeauftragten darüber informieren.
Gibt es erste Erkenntnisse zu den Tätern und was diese erreichen wollten?
Die Ermittlungen haben tatsächlich einen Tatverdacht ergeben, allerdings darf das Krankenhaus hierzu keine weitere Auskunft geben. Grundsätzlich verfolgen Hackergruppen unterschiedliche „Geschäftsmodelle“: Erpressung, Verkauf beziehungsweise Vermietung der eigenen Hackersoftware sowie Verkauf erbeuteter Daten. Derzeit liegt dem Klinikum keine konkrete Lösegeldforderung vor. Das schließt aber nicht aus, dass die Täter ursprünglich eine Erpressung geplant hatten.
War die IT-Sicherheit des Krankenhauses angesichts des nun erfolgten Angriffs wirklich ausreichend dimensioniert?
Das Krankenhaus hat alle geltenden Gesetze, Normen und Richtlinien im Bereich IT-Sicherheit eingehalten. Dazu gehören beispielsweise die ärztliche Schweigepflicht, der Datenschutz, der aktuelle Stand der IT-Technik sowie der Aufbau eines Informationssicherheitsmanagementsystems. Das Klinikum verfügt über sieben physische Server, die wiederum mit 200 virtuellen Servern bestückt sind. Diese sind auf zwei Rechenzentren in unterschiedlichen Brandabschnitten verteilt. Sämtliche sensiblen Daten liegen entsprechend der Vorgaben des bayerischen Datenschutzes vor Ort in diesen Rechenzentren und nicht extern wie beispielsweise in einer Cloud. Seit 2022 hat das Krankenhaus mehr als 3,4 Millionen Euro in den IT-Bereich investiert (Wartungskosten ausgenommen), davon allein rund 750 000 Euro in die vollständige Erneuerung der beiden besagten Rechenzentren im vergangenen Jahr. Gleiches geschieht mit der Netzwerk-Infrastruktur, wofür rund 1,6 Millionen Euro aufgewendet werden. Alle Großprojekte werden vom Freistaat Bayern mit großzügigen Fördergeldern unterstützt.
Klinikverband fordert mehr Fördermittel
Auch die Bayerische Krankenhausgesellschaft (BKG) war von Anfang an über den Hackerangriff in Agatharied informiert, bestätigt Pressesprecher Eduard Fuchshuber. Zwar habe die BKG als Verband weder hoheitliche Aufgaben, noch Aufsichtspflichten gegenüber ihren Mitgliedern, stehe ihnen aber beratend zur Seite. Auch die IT-Sicherheit sei hier stets ein großes Thema, dessen Bedeutung in den vergangenen Jahren noch zugenommen habe. Alle Kliniken seien sich bewusst, dass sie jederzeit von Cyberangriffen betroffen sein können. Ob gezielte Attacken oder zufällige Schrotschüsse: „Die Bedrohungen sind allgegenwärtig“, sagt Fuchshuber. Letztlich sei es ein ständiger Wettlauf mit den Kriminellen, absolute Sicherheit gebe es nicht. Wichtig ist der BKG, dass die Kliniken mehr finanzielle Ressourcen in Form von Fördermitteln für ihre IT-Sicherheit bekommen. Stand jetzt müssten sie viele Investitionen in diesem Bereich aus dem laufenden Betrieb bestreiten. Der sei bekanntermaßen ohnehin defizitär, der Spardruck hoch.