Herr Trost, warum hat beim Angriff auf die Uniklinik Düsseldorf eigentlich kein Virenscanner angeschlagen?

Rüdiger Trost: Weil hier zunächst gar kein Trojaner im Einsatz war. Die Hacker haben eine kritische Sicherheitslücke im Programm Citrix NetScaler Gateway genutzt – ein häufig genutztes Programm, auch in Krankenhäusern – und sich in den Wochen zwischen Bekanntwerden der Lücke und ihrem Schließen Zugriff auf das System verschafft. Das geht mit ganz einfachen Mitteln. Über diesen Zugang haben sie sich dann z.B. einen normalen Benutzer angelegt und sich damit im Netzwerk bewegt.

Als die Klinik die Patches eingespielt hat, hätte sie kontrollieren müssen, ob zwischenzeitlich jemand eingedrungen ist. Die Angreifer blieben aber unentdeckt und konnten immer mehr Rechte erlangen. Und sie konnten das Netzwerk immer besser kennenlernen. Beim eigentlichen Angriff kommen dann alle Informationen zum Einsatz, die zuvor abgegriffen werden konnten. Also zum Beispiel auch, ob der Adminis­trator übers Wochenende wegfährt.

Es gibt ja sogar Fälle, in denen die Lösegeldforderung exakt dem aktuellen Kontostand des angegriffenen Unternehmens entspricht.

Trost: Genau. Oder die Geldforderung liegt kalkuliert unterhalb des von der Datenschutzgrundverordnung verlangten Bußgeldes, das dem Unternehmen drohen würden, wenn es den Angriff bei der Behörde meldet.

Wie funktioniert die Erpressung eigentlich? Und wer sind die Erpresser?

Trost: Wenn man das wüsste. Es sind keine Einzelpersonen, dazu sind sie zu gut organisiert. Oft mit 24/7-Betrieb und Support-Center. Und sie sitzen in Ländern, die wenig kooperativ sind, was die Strafverfolgung betrifft. Die letzten bekannten Angriffe würde ich in Russland einsortieren.

Das Geschäftsmodell der Ransomware-Angriffe besteht darin, die Daten des Angegriffenen zu verschlüsseln und die Klinik bzw. das Unternehmen somit stillzulegen. Für eine Entschlüsselung muss Lösegeld überwiesen werden. Viele Ransomware-Programme können die Daten aber auch absaugen. Dann drohen die Hacker noch, die Kopien zu verkaufen – man zahlt also noch einmal, um die Datenpreisgabe zu verhindern. Das Geschäftsmodell ist fantastisch.

Für ein Unternehmen, das über kein Back-up verfügt, ist das Zahlen des Lösegeldes die einzige Lösung. Die Daten gibt es dann zurück – würde bekannt, dass das nicht funktioniert, wäre das Vorgehen der Banden bald wirkungslos. Trotzdem sollte man aber wenn möglich nicht auf die Forderungen eingehen. Diese Strukturen müssen ausgetrocknet werden.

Das Programm Doppelpaymer kann nicht nur verschlüsseln, sondern auch absaugen. Wer sagt, dass die Daten der Uniklinik nicht längst im Darknet zum Verkauf stehen?

Trost: Klar, das kann gut sein. In der langen Zeit, in der die Angreifer im Netzwerk waren, kann die ein oder andere Datenbank durchaus abgeflossen sein. Auch das muss man dann dem Unternehmen negativ auslegen. Dass sich jemand unbefugt im Netzwerk umschaut und weitere Hintertürchen öffnet, das hätte man verhindern können und müssen.

Sollte dieser Angriff gezielt die Uniklinik Düsseldorf treffen?

Trost: Ich denke, ja. Auch wenn das Erpresserschreiben an die Universität gegangen ist. Krankenhäuser sind lohnende Ziele, weil sie zur kritischen Infrastruktur gehören und schnell wieder laufen müssen. Da ist Profit zu holen. Warum die Angreifer den Rückzieher gemacht haben, als man ihnen sagte, dass es sich um ein Krankenhaus handelt, kann ich mir auch nicht erklären. Es gab zu Anfang der Coronakrise auch Hacker-Gruppen, die gesagt haben, dass sie aktuell keine Krankenhäuser angreifen wollen – aber das klang für mich eher nach einer Art PR-Gag.

Welche Risiken bestehen für das deutsche Gesundheitswesen durch Hackerangriffe?

Trost: Mal abgesehen vom Reputationsverlust ist der Ausfall einer Klinik kein Kinderspiel, das muss ich den Ärzten nicht erklären. Das Klinikum Neuss hat seinen Ausfall gut aufbereitet und beschreibt ihn wie einen Zeitsprung zurück in das 19. Jahrhundert.

Sind Arztpraxen gleichermaßen von Malware bedroht?

Trost: Eigentlich ja. Nur dass die Lösegeldsätze nicht so hoch sind wie bei einem Krankenhaus. Aber wenn die Daten verschlüsselt oder gestohlen werden, kostet das auch eine Praxis viel. Und zwar einmal das Lösegeld, aber vor allem auch den Ausfall und die Wiederherstellung. IT-Sicherheit ist eine Investition, die keinen Umsatz generiert, richtig. Aber ohne IT-Sicherheit riskiert man Geld.

Und wenn sich ein Arzt fragt, ob er sich ein Röntgengerät kaufen oder einen IT-Sicherheitsexperten bezahlen soll, stellt er sich die falsche Frage. Wenn ich in eine Praxis komme und sehe am Tresen, dass da noch Windows XP läuft – drehe ich mich um und gehe. Meiner Meinung nach ist IT-Hygiene so wichtig, wie die Desinfektion der Instrumente nach einer OP. Ich möchte nicht, dass bei mir das Skalpell ausfällt oder fremdgesteuert wird, um es etwas polemisch zu formulieren.

Sie sind kein Politiker – aber wo sehen Sie als Sicherheitsexperte die Stellschrauben, um Gesundheitsdaten besser zu schützen?

Trost: Ich bin unentschieden, ob es sinnvoll ist, ein bestimmtes Budget für IT-Sicherheit vorzuschreiben. Aber mit Sicherheit ist die DSGVO, die Datenschutzgrundverordnung, ein guter Ansatz und Orientierungspunkt.

Gerade hat der Bundesdatenschutzbeauftragte festgestellt, dass das neu verabschiedete Patientendaten-Schutzgesetz gegen die DSGVO verstößt.

Trost: Man sollte die DSGVO nicht aufweichen, das würde ich kritisch sehen. Die Verordnung setzt die richtigen Anker. Von der Uniklinik Düsseldorf wurde z.B. gerade Anzeige erstattet, weil dort ein Patient infolge des Angriffes gestorben ist. In meinen Augen ist das eine Nebelkerze. Natürlich ist die Leitung der Klinik verantwortlich, sie ist für die IT-Sicherheit verantwortlich. Die Aussage, es habe die Budgets nicht gegeben, ist irrelevant. IT-Security ist Chefsache. Das schreibt die DSGVO zum Beispiel fest.

Und in der Arztpraxis? Für die meisten Praxischefs ist ihre IT eine große Unbekannte.

Trost: In manchen Praxen holt man sich erst einen ITler, wenn etwas nicht funktioniert. Das ist der falsche Ansatz. Eine Praxis braucht ein Managementsystem, das kontinuierlich die Systeme auf dem aktuellen Stand hält. IT-Sicherheit ist kein Zustand, sondern ein Prozess. Wenn der Arzt merkt, dass er ein Problem hat, ist es in der Regel zu spät.

Cyberkriminelle hätten sich die Verwirrung der Leute in der beginnenden Corona-Krise zunutze gemacht, sagen Sie. Es habe sehr viele Spam- und Phishing-E-Mails mit Bezug auf COVID-19 gegeben. Ist der Mensch weiterhin der anfälligste Faktor im System?

Trost: Ja, das kann man sagen. Und die Kampagnen sind mittlerweile wirklich gut. Man muss die Leute also noch viel mehr sensibilisieren. Die ganz IT-Sicherheit bringt nichts, wenn es keine Awarness, kein Bewusstsein bei den Nutzern gibt. Eine Stunde Schulung bei der Einstellung reicht nicht. Zumal vieles nach einem Jahr überholt ist.

Was kann der Arzt, die Ärztin tun, um die Praxis – soweit möglich – zu schützen?

Trost: Programme und Virenscanner aktuell halten, die Mitarbeitenden und sich selbst schulen und einen Managementservice anheuern, der das System überwacht und bei Anomalien direkt reagiert. Und den worst case durchexerzieren: Weiß jeder, der es wissen muss, wie das Back-up eingespielt wird? Was tun, wenn die zwei Rechner an der Zentrale nicht mehr funktionieren? Jedes Netzwerk wird dauernd angegriffen – und irgendwann kommt auch jemand durch.