Berner IT-Security-Tagung der ISSS
22.11.2018, 11:29 Uhr
Nach dem Cyberangriff
Die diesjährige Berner IT-Security-Tagung der ISSS stand unter dem Motto «After the Breach». Unter anderem berichtete ein Opfer und die Polizei, was nach einem Cybervorfall zu geschehen hat.
Nicolas Krämer berichtet an der ISSS-Tagung in Bern über den Cyberangriff auf das Lukaskrankenhaus in Neuss und die Lehren, die man daraus gezogen hat
(Quelle: Jens Stark / NMGZ)
Was tun, wenn Hacker erfolgreich sind? Wenn sie nicht nur in die IT der eigenen Firma eingedrungen sind, sondern diese tagelang lahmlegen? Antworten auf diese Fragen versuchten Referenten an der 21. Berner Tagung für Informationssicherheit, die von der Information Security Society Switzerland (ISSS) veranstaltet wurde, aus verschiedenen Blickwinkeln zu liefern.
Die «Opferrolle» übernahm Nicolas Krämer, kaufmännischer Geschäftsführer der Städtischen Kliniken Neuss – Lukaskrankenhaus. Das Spital im deutschen Rheinland wurde am Aschermittwoch 2016 gehackt, also sinnigerweise zu einem Zeitpunkt, da in der Karnevalshochburg die meisten Mitarbeiter anderes im Sinn hatten, als an einen Cyberangriff zu denken. «Am Aschermittwoch ist alles vorbei, sagt man bei uns im Rheinland, und der 10. Februar 2016 war ein Aschermittwoch und leitete eine wochenlange digitale Fastenzeit ein», berichtet Krämer.
Und dies alles geschah wohl gemerkt in einem Spital, das in Sachen Digitalisierung vergleichsweise weit fortgeschritten ist. So hatte das Neusser Lukaskrankenhaus die «Visite 2.0» eingeführt, bei der Ärzte und Krankenschwestern mit iPads mini ausgerüstet Daten am Patientenbett abrufen und eingeben. Die Rettungswagen im zugehörigen Kreis sind überdies mit telemedizinischen Einheiten ausgestattet. Dadurch können beispielsweise Herzpatienten noch im Krankenauto ein EKG erhalten, dessen Resultate gleich an den Notfall gefunkt werden, «wodurch die Mortalität um 23 Prozent gesunken ist», wie Krämer ausführt.
Was war also geschehen? Über zuvor verschickte Phishing-Mails wurde die IT des Spitals mit Viren verseucht. Rechner funktionierten nicht mehr richtig oder wurden langsam. Die Leitung setzte einen Krisenstab ein, der sich dazu entschloss, die Computersysteme herunterzufahren, um einerseits die weitere Ausbreitung der Malware und andererseits den möglichen Abzug der hochsensiblen Daten zu unterbinden. Die Folge: Hauptsächlich der administrative Teil des Spitals musste wieder wie vor dem Computerzeitalter funktionieren. Immerhin waren Operationen noch möglich und die Intensivstation konnte weiter betrieben werden.
«Schalten Sie die Behörden ein»
Als das Lukaskrankenhaus zu allem Übel auch noch von den Cyberkriminellen erpresst wurde, entschloss man sich, die Polizei und das Bundesamt für Sicherheit in der Informationstechnik (BSI) einzuschalten, die zusammen mit der IT-Abteilung und mit Hilfe von IT-Security-Spezialisten der Privatwirtschaft im Schichtbetrieb die Beseitigung des Schädlings an die Hand nahmen und Ermittlungen einleiteten. «Ich kann Ihnen das auch nur empfehlen, im Falle eines Falles die Behörden einzuschalten», lautet daher eine der Folgerungen Krämers.
Daneben sei er froh, dass man damals transparent mit der Situation umgegangen sei. «Transparenz schafft Vertrauen», meint er daher und berichtet, dass der Umgang mit der Krise durch alle Beteiligten von der deutschen Bundesdatenschutzbeauftragten als «Best practice» bezeichnet wurde.
Aus dem Schaden wurden auch die Betreiber des Lukaskrankenhauses klug. So sei einerseits die IT-Infrastruktur nun besser geschützt. «Wir haben ein Sandbox-System implementiert, einen virtuellen Sandkasten, in dem verdächtige E-Mail-Anhänge überprüft und gegebenenfalls entschärft werden», berichtet Krämer. Andererseits habe man viel in den «Faktor Mensch» investiert. Regelmässig führe man nun Awareness-Kampagnen durch und lasse die getroffenen Schutzmassnahmen immer wieder durch Penetration-Tests überprüfen.
Aus dem Schaden wurden auch die Betreiber des Lukaskrankenhauses klug. So sei einerseits die IT-Infrastruktur nun besser geschützt. «Wir haben ein Sandbox-System implementiert, einen virtuellen Sandkasten, in dem verdächtige E-Mail-Anhänge überprüft und gegebenenfalls entschärft werden», berichtet Krämer. Andererseits habe man viel in den «Faktor Mensch» investiert. Regelmässig führe man nun Awareness-Kampagnen durch und lasse die getroffenen Schutzmassnahmen immer wieder durch Penetration-Tests überprüfen.