Berner IT-Security-Tagung der ISSS 22.11.2018, 11:29 Uhr

Nach dem Cyberangriff

Die diesjährige Berner IT-Security-Tagung der ISSS stand unter dem Motto «After the Breach». Unter anderem berichtete ein Opfer und die Polizei, was nach einem Cybervorfall zu geschehen hat.
Nicolas Krämer berichtet an der ISSS-Tagung in Bern über den Cyberangriff auf das Lukaskrankenhaus in Neuss und die Lehren, die man daraus gezogen hat
(Quelle: Jens Stark / NMGZ)
Was tun, wenn Hacker erfolgreich sind? Wenn sie nicht nur in die IT der eigenen Firma eingedrungen sind, sondern diese tagelang lahmlegen? Antworten auf diese Fragen versuchten Referenten an der 21. Berner Tagung für Informationssicherheit, die von der Information Security Society Switzerland (ISSS) veranstaltet wurde, aus verschiedenen Blickwinkeln zu liefern.
Die «Opferrolle» übernahm Nicolas Krämer, kaufmännischer Geschäftsführer der Städtischen Kliniken Neuss – Lukaskrankenhaus. Das Spital im deutschen Rheinland wurde am Aschermittwoch 2016 gehackt, also sinnigerweise zu einem Zeitpunkt, da in der Karnevalshochburg die meisten Mitarbeiter anderes im Sinn hatten, als an einen Cyberangriff zu denken. «Am Aschermittwoch ist alles vorbei, sagt man bei uns im Rheinland, und der 10. Februar 2016 war ein Aschermittwoch und leitete eine wochenlange digitale Fastenzeit ein», berichtet Krämer.
Und dies alles geschah wohl gemerkt in einem Spital, das in Sachen Digitalisierung vergleichsweise weit fortgeschritten ist. So hatte das Neusser Lukaskrankenhaus die «Visite 2.0» eingeführt, bei der Ärzte und Krankenschwestern mit iPads mini ausgerüstet Daten am Patientenbett abrufen und eingeben. Die Rettungswagen im zugehörigen Kreis sind überdies mit telemedizinischen Einheiten ausgestattet. Dadurch können beispielsweise Herzpatienten noch im Krankenauto ein EKG erhalten, dessen Resultate gleich an den Notfall gefunkt werden, «wodurch die Mortalität um 23 Prozent gesunken ist», wie Krämer ausführt.
Was war also geschehen? Über zuvor verschickte Phishing-Mails wurde die IT des Spitals mit Viren verseucht. Rechner funktionierten nicht mehr richtig oder wurden langsam. Die Leitung setzte einen Krisenstab ein, der sich dazu entschloss, die Computersysteme herunterzufahren, um einerseits die weitere Ausbreitung der Malware und andererseits den möglichen Abzug der hochsensiblen Daten zu unterbinden. Die Folge: Hauptsächlich der administrative Teil des Spitals musste wieder wie vor dem Computerzeitalter funktionieren. Immerhin waren Operationen noch möglich und die Intensivstation konnte weiter betrieben werden.

«Schalten Sie die Behörden ein»

Als das Lukaskrankenhaus zu allem Übel auch noch von den Cyberkriminellen erpresst wurde, entschloss man sich, die Polizei und das Bundesamt für Sicherheit in der Informationstechnik (BSI) einzuschalten, die zusammen mit der IT-Abteilung und mit Hilfe von IT-Security-Spezialisten der Privatwirtschaft im Schichtbetrieb die Beseitigung des Schädlings an die Hand nahmen und Ermittlungen einleiteten. «Ich kann Ihnen das auch nur empfehlen, im Falle eines Falles die Behörden einzuschalten», lautet daher eine der  Folgerungen Krämers.
Daneben sei er froh, dass man damals transparent mit der Situation umgegangen sei. «Transparenz schafft Vertrauen», meint er daher und berichtet, dass der Umgang mit der Krise durch alle Beteiligten von der deutschen Bundesdatenschutzbeauftragten als «Best practice» bezeichnet wurde.
Aus dem Schaden wurden auch die Betreiber des Lukaskrankenhauses klug. So sei einerseits die IT-Infrastruktur nun besser geschützt. «Wir haben ein Sandbox-System implementiert, einen virtuellen Sandkasten, in dem verdächtige E-Mail-Anhänge überprüft und gegebenenfalls entschärft werden», berichtet Krämer. Andererseits habe man viel in den «Faktor Mensch» investiert. Regelmässig führe man nun Awareness-Kampagnen durch und lasse die getroffenen Schutzmassnahmen immer wieder durch Penetration-Tests überprüfen.

Was Schweizer «Cybercops» machen

Die Empfehlung von Krämer, die Behörden einzuschalten, konnte im Anschluss Daniel Nussbaumer, Leiter der Abteilung Cybercrime der Kantonspolizei Zürich und Co-Leiter des Kompetenzzentrums Cybercrime, nur unterstreichen. Allerdings befasst sich die Polizei ihm zufolge nicht nur mit Cybercrime im engeren Sinn, sondern zunehmend auch mit einer «digitalisierten Kriminalität». Darunter werden viele «klassische» Delikte verstanden, die unter Zuhilfenahme moderner Technik verübt werden. Dies seien etwa Betrugsversuche via E-Mail oder Drohungen über Whatsapp, erklärt er.
Daniel Nussbaumer berichtet, inwiefern die Polizei auch nach einem Cyberangriff «dein Freund und Helfer» sein kann
Quelle: Jens Stark / NMGZ
Für beide Arten sind laut Nussbaumer die kantonalen Polizeien zuständig, auch wenn es in Sachen Cyberkriminalität vermehrt nationale Bekämpfungsbemühungen gibt. «Die Strafverfolgung ist kantonale Kompetenz», betont Nussbaumer. Allerdings setze man sehr auf die Kooperation mit anderen Kantonspolizeien und mit dem Bund. «Falls Sie einen Cybervorfall haben, fordere ich Sie auf, sich an Ihr kantonales Polizeikorps zu wenden und dort Anzeige zu erstatten», rät er folglich.
Wegen der Zunahme an Cyberkriminalität hat auch die Polizei aufgerüstet. Nicht nur dass wie in Zürich eine spezielle Einheit zur Bekämpfung gegründet wurde. Schweiz-weit werde viel in die Schulung jeder einzelnen Polizistin und jedes einzelnen Polizisten getan, berichtet Nussbaumer. «Wenn Sie also heute Anzeige wegen einer Cyberstraftat erstatten, weiss die Front-Mitarbeiterin oder der Front-Mitarbeiter, um welches Phänomen es sich handelt, sei es aus dem Bereich digitaliserte Kriminalität oder Cybercrime im engeren Sinn», führt er aus. Die Beamtinnen und Beamten wüssten somit, welche Schritte und unmittelbaren Handlungen vorgenommen sowie wann welche Spezialisten beigezogen werden müssten.

Konkrete Vorgehensweise

Doch was tun die Strafverfolgungsbehörden, wenn Sie wegen eines Cybercrime-Vorfalls angegangen werden? Wie Nussbaumer ausführte, versuche man bei Straftaten, die deliktische Homepages betreffen, den Betreiber ausfindig zu machen. Präventiv würden solche Seiten, falls sie in der Schweiz gehostet werden, vom Netz genommen. Dabei setze man auf eine enge Zusammenarbeit mit Registraren wie Switch. «Dieses Jahr haben wir so gut 4500 Fake-Online-Shops und Phishing-Sites vom Netz genommen», berichtet er. Des weiteren würden IP-Adressen von Tätern verfolgt. Zusammen mit analoger Ermittlungsarbeit und Spurensicherung gelinge es so der Polizei, immer wieder auch Täter dingfest zu machen.
Darüber hinaus bedient sich das Korps der Geldfluss-Nachverfolgung. «Wir haben uns auf die Fahnen geschrieben, deliktische Gelder für das Opfer zu sichern. Heute handelt es sich dabei immer öfter auch um Kryptowährungen», sagt er. Hier käme deren grundsätzliche Öffentlichkeit den Strafverfolgern zu Gute. Zudem würden immer mehr Kryptobörsen mit den Behörden zusammenarbeiten. Nussbaumer berichtet von Fällen, bei denen Geschädigten Kryptowährungen gestohlen wurden und bei denen es der Polizei gelang in Zusammenarbeit mit den Tauschbörsen auch im Ausland, die Deliktsumme in die Schweiz zurück zu holen. Auch zu Mitteln der geheimen Observation werde gegriffen, um Straftaten aufzuklären. Schliesslich widme sich auch die Polizei ganz technisch gesehen der Schadcodeanalyse und arbeite hier sehr eng mit Experten des Bundes wie Fedpol oder Melani zusammen.
Neben der Identifikation und Lokalisation von Straftätern komme der Polizei auch noch die Aufgabe zu, Geschädigte zu betreuen. Hier habe die Polizei viel Erfahrung, da sich die Mechanismen von digitalen und analogen Straftaten in Bezug auf die Auswirkungen auf die Opfer nicht gross unterscheiden. «Was wir allerdings nicht leisten können, ist der Schutz der Infrastruktur von Unternehmen», betont Nussbaumer. Es sei Aufgabe der Firmen, ihre eigene Infrastruktur zu schützen. «So wie Sie Ihre Haus- oder Wohnungstüre abschliessen müssen, sollten Sie auch Ihre IT fit halten und ausreichend absichern», lautet diesbezüglich das Fazit des Zürcher Cybercops.



Das könnte Sie auch interessieren