Aktuelle Themen:
Krankenhäuser geraten zunehmend ins Visier von Cyberkriminellen.
Fachleute bezeichnen Emotet als derzeit gefährlichste Schadsoftware der Welt. Kürzlich hat es ein Spital im Kanton Zürich erwischt. Hier sind die wichtigsten Fragen und Antworten rund um den Cyberangriff.
Szene aus einer SRF-Sendung: Nun hat es ausgerechnet dieses Spital erwischt. screenshot: srf.ch
Unsere Spitäler sind zunehmend von kriminellen Attacken betroffen. Hacker versuchen, Schadsoftware (Malware) in die geschützten Systeme einzuschleusen. Meist mit dem Ziel, wertvolle Daten zu stehlen oder zu verschlüsseln, um ein Lösegeld zu erpressen.
Über die Kosten, die solche Ransomware-Attacken verursachen, dringt kaum etwas an die Öffentlichkeit. Im Gesundheitsbereich wolle niemand Klartext reden, man schweige das Problem tot, sagte ein IT-Sicherheitsexperte vor zwei Jahren gegenüber der «NZZ am Sonntag».
Im März 2019 berichtete dann das Schweizer Fernsehen SRF in der Sendung «ECO» über Cyberangriffe auf Spitäler. In der TV-Sendung erhielt ein Regionalspital im Kanton Zürich einen prominenten Auftritt: das GZO Spital Wetzikon.
Die Zuschauer erfuhren im informativen SRF-Beitrag (siehe Quellen), wie die Spitalleitung einen Sicherheitstest durchführen liess, um Schwachstellen aufzudecken. Anschliessend zog der Direktor Bilanz und räumte ein, man gehe zu leichtsinnig mit Computern und sensiblen Daten um.
Um die IT-Sicherheit des Spitals entscheidend zu verbessern, erarbeiteten die Zürcher Oberländer gemeinsam mit der Firma Logicare AG, einem Gemeinschafts-Unternehmen von vier Zürcher Spitälern, ein neues Sicherheitskonzept.
Offenbar gerade noch rechtzeitig: Denn nun ist genau diese regionale Gesundheitseinrichtung, die jährlich über 55'000 Patienten aufnimmt, ins Visier raffinierter Cyberkrimineller geraten. Der Kommunikations-Verantwortliche des Spitals Wetzikon, Stephan Gervers, bestätigt auf Anfrage einen entsprechenden Hinweis eines watson-Users.
Was Ransomware-Attacken im schlimmsten Fall auslösen können, zeigte sich 2017 bei «WannaCry». Die Windows-Schadsoftware verbreitete sich wurmartig in Netzwerken und befiel weltweit Hunderttausende Computer und Server. Auch in Krankenhäusern wurde der Betrieb lahmgelegt:
So weit kam es Mitte Oktober 2019 im Spital in Wetzikon nicht. Wobei der relativ glimpfliche Verlauf der Emotet-Attacke nicht mit Glück zu tun hat, sondern mit der professionellen Vorbereitung auf solche Bedrohungen und die schnelle Reaktion im Notfall. Dies zeigen die Antworten des IT-Sicherheitsexperten und Logicare-Geschäftsführers Stefan Steiner.
Um einen Angriff mit dem Windows-Trojaner Emotet.
Dazu Stefan Steiner:
Dazu Stefan Steiner:
Sprich: Es musste ein PC-User dazu verleitet werden, ein Word-Dokument zu öffnen, direkt als Mail-Attachment, oder über einen Link. Die eigentliche Infektion erfolgt aber noch nicht beim Öffnen des präparierten Dokuments. Sie erfordert das Ausführen von Makros. Die Emotet-Autoren nutzen die an sich praktischen Steuerbefehle dafür, Schadsoftware aus dem Internet nachzuladen und zu installieren.
Standardmässig sind Makros zwar in Microsoft Office deaktiviert; sie lassen sich jedoch mit einem Mausklick einfach aktivieren, wie heise.de schreibt. Und die Malware-Autoren täten ihr Möglichstes, die User zu diesem Klick zu verleiten.
Dazu Stefan Steiner:
Man fängt sich also ein Multipaket an Schadsoftware ein. Nachdem der Emotet-Trojaner das System ausgekundschaftet hat, wird in der Regel der Banking-Trojaner TrickBot als «Türöffner» nachgeladen. Dieser sammelt und kopiert Zugangsdaten und übermittelt die wertvollen Information an einen von den Kriminellen kontrollierten Computer, einen sogenannten C&C-Server. Schliesslich wird der Verschlüsselungstrojaner Ryuk nachgeladen, der alle von TrickBot und Emotet als wichtig eingestuften Dateien zu verschlüsseln versucht.
Dazu Stefan Steiner:
Wenn Emotet erst einmal einen PC befallen hat, liest er Inhalte aus Outlook-Postfächern des befallenen Systems aus – das wird als «Outlook-Harvesting» bezeichnet. Die gesammelten Informationen nutzen die Täter zur weiteren Verbreitung von Malware. Sie senden Opfern täuschend echt wirkende E-Mails eines bekannten Kontakts, was dazu führt, dass ein Dokument mit grosser Wahrscheinlichkeit geöffnet wird.
Der Geschäftsführer der Logicare AG empfiehlt allen Spitälern «dringend ein kontinuierliches Sensibilisieren der Mitarbeitenden mit entsprechenden Massnahmen». Seine Firma biete dazu eine spezielle, professionelle und kontinuierliche Online-Trainings-Lösung zur Phishing-Simulation und Steigerung des Sicherheitsbewusstseins für die Mitarbeitenden an.
Dazu Stefan Steiner:
Dazu Stefan Steiner:
Mit rund 950 Mitarbeitenden stellt das GZO Spital Wetzikon gemäss eigenen Angaben die erweiterte medizinische Grundversorgung von jährlich über 55'000 Patientinnen und Patienten aus dem Zürcher Oberland sicher. In Vorbereitung ist eine Fusion mit dem Spital in Uster. Bild: GZO
Spitäler erbringen wichtige medizinische Leistungen und gehören zu den kritischen Infrastrukturen des Landes. Die IT-Sicherheitsexperten des Bundes von der Melde- und Analysestelle Informationssicherung MELANI verfolgen rund um die Uhr, wie sich die Bedrohungslage entwickelt.
Attacken könnten potenziell tödliche Folgen haben, sagt der stellvertretende MELANI-Leiter, Max Klaus:
Dazu Stefan Steiner:
Emotet sei eine schon länger bekannte Bedrohung, doch hätten einige Unternehmen die Warnungen von MELANI nicht ernst genommen, verrät uns Max Klaus:
Im August 2019 veröffentlichte die Fachstelle auf melani.admin.ch eine eindringliche Warnung, wonach Emotet aktiv dazu verwendet werde, um gezielt Computer und Server in Unternehmensnetzwerken mit einem Verschlüsselungstrojaner (Ransomware) namens «Ryuk» zu infizieren.
Emotet sei seit langer Zeit aktiv und greife immer wieder Unternehmen aus unterschiedlichsten Branchen an, betont Max Klaus. «Dazu gehören selbstverständlich auch Spitäler. Nach unserem Kenntnisstand sind in der Schweiz bisher jedoch keine Patienten zu Schaden gekommen.»
Seine Behörde pflege im Sinne einer Public-Private-Partnership seit Jahren eine sehr enge Zusammenarbeit mit zahlreichen Schweizer Spitälern und versorge diese mit Informationen aus öffentlich nicht zugänglichen Quellen.
Bisher habe MELANI 4500 sogenannte Command & Control Server (C&C Server) identifiziert, die in Zusammenhang mit den Trojanern Emotet und Trickbot stehen. «156 C&C Server sind nach unseren Erkenntnissen zurzeit aktiv.» Das sind mit dem Internet verbundene Computer, die irgendwem gehören und sich irgendwo auf der Welt befinden können, die aber von den Kriminellen missbräuchlich verwendet werden, um Malware-Attacken zu starten und zu administrieren.
Der Prävention komme nach wie vor sehr grosse Bedeutung zu, sagt der stellvertretende MELANI-Leiter. In den Unternehmen müssten die Mitarbeitenden laufend für die drohenden Gefahren sensibilisiert werden. Selbstverständlich brauche es überall auch technische Schutzmassnahmen. Mancherorts fehlten jedoch die organisatorischen Massnahmen, um die technischen Vorkehrungen zu ergänzen, wie zum Beispiel eine eingespielte Krisenkommunikation oder die rechtzeitige Beschaffung neuer (sicherer) Software.
Durch verschiedene Massnahmen lassen sich Angriffe mit Emotet und Verschlüsselungstrojanern vermeiden. Es gilt:
Dazu Max Klaus:
Falls ein Angriff erfolgt ist, gilt es, kühlen Kopf zu bewahren. Betroffene Mitarbeitende sollten:
Polizei und Sicherheitsexperten raten, auf keinen Fall ein gefordertes Lösegeld zu bezahlen. Wobei dies natürlich einfacher gesagt als getan ist, wenn unverzichtbare Daten verschlüsselt sind und kein Backup vorhanden ist.
Schliesslich sollte man auch noch Geschäftskontakte warnen. Wenn das auf dem PC gespeicherte Adressbuch durch Outlook-Harvesting in die Hände von Kriminellen gefallen ist, drohen weitere massgeschneiderte Phishing-Attacken.
Eine Strafanzeige bei der Polizei ist zu empfehlen. Am besten fotografiert man dazu die auf dem Bildschirm angezeigte Erpressermeldung mit dem Smartphone.
Cyberattacken müssten der Aufsichtsbehörde Swissmedic gemeldet werden, sofern ein «schwerwiegendes Vorkommnis» entstehe, schrieb die «NZZ am Sonntag». Die Swissmedic-Kommunikationschefin präzisiert auf Anfrage:
Danièle Bersier, Swissmedic
Gemäss Heilmittelrecht müssten schwerwiegende Vorkommnisse mit einzelnen Medizinprodukten (inklusive Software) der Aufsichtsbehörde gemeldet werden. Swissmedic treffe sich bei Bedarf in unregelmässigen Abständen mit anderen behördlichen Experten, etwa von MELANI.
Dies wird vom stellvertretenden Leiter Max Klaus bestätigt. Auch andere eidgenössische Regulatoren wie die Finanzaufsicht (FINMA) oder das Bakom hätten für ihren Zuständigkeitsbereich gewisse Meldepflichten eingeführt.
Max Klaus, Melde- und Analysestelle
Informationssicherung MELANI
Wegen diverser parlamentarischer Vorstösse und im Zuge der Umsetzung der «Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken» (NCS 2.0) werde die Frage aktuell geprüft, sagt der IT-Sicherheitsexperte. Der Bundesrat werde bis Ende Jahr über die weiteren Schritte entscheiden.
Eine kriminelle Gruppierung, die vermutlich aus Russland stammt. Im Programmcode der Malware fanden Sicherheitsexperten jedenfalls entsprechende Hinweise.
Emotet kann jeden treffen: So lautet die beunruhigende Erkenntnis der Heise-Gruppe. Im Mai versetzte der Verschlüsselungstrojaner den deutschen IT-Verlag in den Ausnahmezustand. Dies, nachdem die eigenen Sicherheitsexperten zu früh davon ausgegangen waren, die Verbreitung gestoppt und den Schädling aus dem Netzwerk entfernt zu haben.
Der Schock sass tief, doch das Unternehmen ging in die Informations-Offensive. In Vorträgen schildern Heise-Mitarbeiter die technischen und datenschutzrechtlichen Konsequenzen, die ein verheerender Malware-Angriff haben kann.
Ihre Kernbotschaft: Emotet sei «eine der zerstörerischsten Gefahren für Unternehmens-IT». Mit der Kombination aus Dynamit-Phishing und Ransomware könne sie für viele Firmen und Organisationen existenzbedrohend sein.
Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.
Würdest du gerne watson und Journalismus unterstützen?
(Du wirst zu stripe.com umgeleitet um die Zahlung abzuschliessen)
Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.
Nicht mehr anzeigen
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis! 
Highlight
Vielleicht noch zur Entwarnung und Beruhigung der aufgeschreckten Windows-User: Highlight
Aus eigener Erfahrung: Highlight
Bei den vielen Fake Mails erwischt es jedes millionste Mal in einem schwachen Moment jeden. Einmal unaufmerksam und faul genügt, zumal die Mails immer perfider werden. Highlight
Auf die Gefahr hin, dass ich geblitzt werde oder meine Frage als dumm angesehen wird 🙈 Aber was genau ist der Grund, dass man in so einem Fall den PC nicht ausschalten darf? Highlight
Für die Diagnose und Forensik ist ein Speicherabbild wichtig, weil dort die Verschlüsselungs-Algorithmen und die Schlüssel meist noch vorhanden sind. Manche Ransomware beenden ihre Arbeit erst beim Rebooten. Highlight
"Absender können gefälscht sein" - jein. Die Mailadresse selbst nicht. Das wird seit vielen Jahren schon verifiziert. Aber der Name, der daneben angezeigt wird – oder leider von manchen idiotischen Programmen wie Outlook ausschliesslich angezeigt wird – hingegen schon. Highlight
Die meisten heutigen Firewalls kriegen die C&C Server gemeldet, was viele Nachladungen eindämmt und somit auch die infizierten PCs (schneller) identifiziert werden können, aber auch Sandboxing hilft. Highlight
Im Frühling 2020 (also in wenigen Monaten) müssen per Gesetz alle Spitäler und psychiatrischen Kliniken auf das elektronische Patientendossier migriert sein. Highlight
Wer kommt bitte auf die Idee, lebenserhaltende Geräte ans reguläre Internet anzuschliessen? Highlight
Zuerst alles digitalisiert, dann brutal abhängig davon. Und entsprechend verletzlich. Highlight
Na ja das nennt sich heutzutage modern. Und man macht es, inkl. 5G, egal, ob es sinnvoll ist oder gar überwiegend schadet. Highlight
Das Gefährliche an Emotet: Er klinkt sich in bestehende Mailverläufe ein. Somit meint das Opfer, ein legitimes Mail vor sich zu haben. Und Emotet kommt selten allein sondern zusammen mit Trickbot und Ruyk. Wie so ein Angriff im Detail abläuft habe ich in diesem Blogartikel mal zusammengefasst: https://www.infoguard.ch/de/blog/emotet-trickbot-ryuk-das-schlimmste-trio-seit-es-computerviren-gibt Highlight
Man muss ja schon von "allen Geistern verlassen sein" um in einem per e-mail zugesandten Word Document eine Macro Funktion zu aktivieren. Man sollte generell nur *.pdf Dokumente per e-mail versenden. In MS-Word ist eine Standardfunktion vorhanden um pdf-files abzuspeichern. Das Personal dieser Spitäler muss unbedingt bezüglich Datensicherheit besser ausgebildet werden. Highlight
Neruda, du bist ein typischer arroganter IT-Typ. Highlight
Ganz klar, das waren keine Lausbuben, sondern staatliche Hacker! Die sind "am Testen"... 😕 Highlight
Sehr guter Artikel von euch/dir!! 👍 Wollte das mal sagen. Ich habe diesen auch an unseren IT Verantwortlichen weitergeleitet. Wir sind ein kleiner Gesundheitsbetrieb, der nicht über die Ressourcen der grossen verfügt. Vor allem Heime und kleinere Bezirksspitäler sind hier stark betroffen. Das Personal wechselt häufiger und ist noch in geringerem Umfang IT Affin. Sag einmal unseren Leuten sie dürfen keine Word-Dokumente verschicken! Die wissen zum Teil nicht mal wie sie ein PDF machen können. 🙈🙈 Aber leisten hervorragende Arbeit am Patienten. Highlight
Heutzutage lautet die Devise: So wenig wie möglich online zu haben und dies konsequent von den Verbindungen nach außen abzuschirmen. Highlight
Spitäler schützen sich heute natürlich auch mittels diversen Ansätzen. Highlight
Im Artikel fällt mehrfach das Schlagwort "Social Engineering" als Methode, um an interne Informationen zu gelangen. Es wäre echt spannend und täte dringend Not, hier mal in einem separaten Artikel zu beleuchten, wie ein solches Social Engineering aufgegleist wird. Social Engineering kann jede/n treffen, wenn man nicht aufgeklärt und auf der Hut ist! Highlight
Dazu empfehle ich das Standard-Werk: Highlight
Bei Emotet funktioniert das mittels Dynamit-Phishing. Emotet stiehlt die ersten 64k Zeichen aller Emails der letzten 180 Tagen und benutzt diese danach um sich weiter zu verbreiten. Ich habe Fälle gesehen, wo ein Spital vermeintliche Laborberichte erhielt und sich dahinter emotet verbarg. Es ist sehr schwierig sich gegen diese Angriffe zu schützen. Highlight
Haben die denn keine ISO 27001 Zertifizierung? Oder ist dies immer noch ein "Goodie" oder wird es als solches verstanden? Highlight
ISO27001 ist gut gemeint, wird aber oft von hinterwäldlerischen und ignoranten Flitzpiepen in der Teppichetage hergenommen damit man "halt etwas macht". Ob dadurch sicherer wird oder nicht ist oft sch*iss egal. Es geht nur darum, die eigene Verantwortung im Falle eines Schadenfalles auf abstrakte Konstrukte (in diesem Fall Prozesse) abzuwälzen. Cover my Ass vom Feinsten. Highlight
Mit Linux wär das nicht passiert. Highlight
IT Angriffe generell sind ja bereits nicht sehr nett, aber einen Spital angreifen...? Highlight
Wieso müssen medizinische Geräte überhaupt dauerhaft mit dem Internet verbunden und im selben Netz wie Clients sein, die Emails empfangen? Sollten solch kritische Netze nicht getrennt sein? Highlight
Guter Punkt 👍 Highlight
Hast du noch eine Frage zur Malware-Attacke auf das Spital? Ich versuche sie direkt zu beantworten, oder leite sie an die IT-Sicherheitsexperten weiter ;-) Highlight
Alles kann umgangen werden, die Frage ist nur wie Aufwändig ist es.
