Experte erklärt: Das steckt hinter Cyber-Attacke auf Klinikum

FÜRTH - Aufnahmestopp, eine gekappte Internetverbindung und jede Menge Verunsicherung: Der Trojaner "Emotet" hat im Fürther Klinikum für immensen Schaden gesorgt. Noch immer tagt ein Krisenstab täglich, denn: Die Angreifer verstecken sich womöglich im System. Ein Experte des "Chaos Computer Club" erklärt die Hintergründe solcher Attacken.

"Emotet" ist auf dem Vormarsch. In Franken hat es neben dem Fürther Klinikum, wo wegen der Cyber-Attacke die Aufnahme neuer Patienten zwischenzeitlich gestoppt werden musste, auch die Nürnberger Schulverwaltung erwischt. "Die Thematik wird uns noch für Wochen beschäftigen", sagt der Sprecher des Krankenhauses, René Icgen. Der Krisenstab bespricht die Lage täglich. Mit externen Experten arbeiten die Verantwortlichen daran, die IT-Infrastruktur zu stabilisieren und zu schützen. Der Schaden lässt sich schwer abschätzen, er dürfte jedoch immens sein. 

---

Cyber-Attacken in Franken: Warum "Emotet" so gefährlich ist

---

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte Emotet schon 2018 als "weltweit gefährlichste Schadsoftware" bezeichnet. Vor 14 Tagen hatte das Fürther Klinikum die Attacke publik gemacht. Es sei wahrscheinlich, sagt Joachim Selzer, dass sich die Angreifer bereits seit einiger Zeit im System des Krankenhauses befinden. Er ist Experte beim "Chaos Computer Club", der größten deutschen Hackervereinigung, die sich für IT-Sicherheit einsetzt. "Um die Wahrscheinlichkeit einer Hintertür zu minimieren, nehme ich an, dass im Moment im Klinikum alles neu aufgesetzt wird", sagt er. 

Könnten Sie kurz erklären, was da am Fürther Klinikum in den vergangenen Wochen passiert ist? Haben die Verantwortlichen – auf den ersten Blick und nach dem, was bekannt ist - mit der Kappung des Internets richtig reagiert?

Joachim Selzer: Bei "Emotet" handelt es sich um eine relativ raffinierte Erpressungssoftware, deren Geschäftsmodell darin besteht, die Daten der befallenen Rechner zu ver- und gegen Zahlung einer Lösegeldsumme wieder zu entschlüsseln. Im Gegensatz zu früheren Verschlüsselungstrojanern liegt jedoch vor der eigentlichen Verschlüsselungs- eine Auskundschaftungsphase, in der die Software versucht, möglichst viele Informationen über das befallene lokale Netz zu sammeln. Zum Zeitpunkt, an dem der Befall offenkundig wird, müssen die Angegriffenen also davon ausgehen, dass die Angreifer schon weit in das Netz vorgedrungen sind, möglicherweise Administrationspasswörter kennen und schon Konten mit entsprechenden Privilegien angelegt haben. Der sicherste Weg, die Eindringlinge wieder loszuwerden, besteht deswegen darin, alles von Grund auf neu aufzusetzen, alle Passwörter neu zu vergeben, Konten neu anzulegen sowie sicherzustellen, dass deren Inhaber existieren und die entsprechenden Rechte überhaupt benötigen. Die Trennung vom Netz ist zwar eine radikale Maßnahme, stellt aber wenigstens sicher, dass keine weiteren internen Informationen ausfließen und auch von außen für die Zeit der Abschaltung keine weiteren Angriffe erfolgen können.

Es heißt bislang, Patientendaten seien nicht gestohlen worden, weil sie "speziell gesichert" sind. Was heißt das?

Selzer: Ohne weitere Informationen muss ich spekulieren. Eventuell deutet dies auf eine weitere, vielleicht physikalisch vom befallenen Netz getrennte Infrastruktur hin.

Lösegeld wurde nach Angaben des Klinikumssprechers bisher nicht gefordert. Welche Prozesse sind dort jetzt wohl im Gange? Wie ermitteln die Behörden, was machen die IT-Experten, um "aufzuräumen"?

Selzer: Ich gehe davon aus, dass alles komplett neu aufgesetzt wird, da den Konfigurationsbackups auch nicht mehr unbedingt vertraut werden kann. Die Behörden werden vorher wahrscheinlich gerichtsfeste Abzüge aller Systeme anfertigen und versuchen, den zeitlichen Verlauf der Infektion zu reproduzieren. Ganz banal kommt es natürlich darauf an, überhaupt erst einmal zu erfahren, welcher Angriffscode im Einsatz war, ob es sich um eine bereits bekannte oder neu angepasste Version handelt. Anhand der verschiedenen Überarbeitungsstufen und Programmierstile lassen sich in Grenzen Vermutungen über die Urheberschaft anstellen. Die Schadcode-Autoren könnten aber auch versuchen, die Ermittlungsbehörden auf eine falsche Fährte zu locken. Eine weitere wichtige Information besteht darin, festzustellen, wann und auf welchem Weg der Schadcode ins Netz gelangen konnte.

Wie wahrscheinlich ist es, dass die Täter ausfindig gemacht werden? Sollten sie im Ausland sitzen: Gibt es Präzedenzfälle, in denen Hacker ausgeliefert werden?

Selzer: Es ist schon zu Auslieferungen gekommen. Wie wahrscheinlich es ist, dass die Angreifer gefasst werden, lässt sich schwer einschätzen. Aus naheliegenden Gründen erzählen die Ermittlungsbehörden auch nicht alles, was sie bereits wissen. Manchmal unterlaufen den Tätern Flüchtigkeitsfehler, wenn sie beispielsweise zum Einloggen auf einem von ihnen als Command-and-Control-Server (einem zentalen Computer, Anmerkung der Redaktion) genutzten System keine Anonymisierungstechniken verwenden oder mit ihrer Tat angeben. Als Schwachstelle kann sich auch der Tausch von erpressten Bitcoin-Beträgen in staatliche Währungen erweisen.

Warum macht man das? Was erhoffen sich Angreifer von solchen Attacken auf ein Klinikum?

Selzer: "Emotet" ist ein speziell auf Firmennetzwerke optimiertes Schadprogramm. Ob das Klinikum gezielt angegriffen wurde oder einfach nur zufällig eine Schrotladung abbekommen hat, lässt sich im Moment nicht sagen. Die hinter "Emotet" stehenden Personen scheinen mit der Art ihres Angriffs ganz schlicht Gewinnmaximierung als Ziel zu haben. Firmen haben in der Regel einen höheren Leidensdruck und auch mehr finanzielle Mittel als Privatpersonen. Für eine Klinik kann es aus finanzieller Sicht eine Überlegung wert sein, ob sie einen fünfstelligen Betrag für die schnelle Entschlüsselung ihrer Daten investieren statt mehrere Tage Arbeit in den Wiederaufbau ihrer Infrastruktur.

Aus Sicht der IT-Sicherheit stellt sich diese Überlegung jedoch nicht. Erstens ist es eine gefährliche Idee, ein solches erpresserisches Geschäftsmodell durch Zahlungen auch noch zu fördern und damit Nachahmerinnen die Botschaft zu senden, dass diese Art von Angriff sich lohnt. Zweitens können sich die Angegriffenen auch nach Zahlung des Lösegelds nicht sicher sein, den Schadcode wirklich aus den Systemen entfernt zu haben. Möglicherweise haben die Erpresser sich ein Schlupfloch offengehalten, durch das sie später noch einmal eindringen.