Ein unbedachter Mausklick auf einen E-Mail-Anhang und die Krankenhaus GmbH Weilheim-Schongau musste ihre gesamte IT nach dem Angriff eines Krypto-Trojaners herunterfahren. Nach drei erschöpfenden Tagen waren alle Probleme wieder im Griff.
Vor jenem Telefonanruf im Oktober 2018 hatte Florian Diebel noch nie etwas von der gefährlichen Ransomware GandCrab 5.3 gehört, die gerade die IT seiner Klinik angriff. Das musste er auch nicht. Denn der Geschäftsführer der Krankenhaus GmbH Weilheim-Schongau hatte erfahrene Experten zur Seite – sowohl in der hauseigenen IT-Abteilung als auch von der IT-Unternehmensberatung Sepago. Das Unternehmen verfügt über Expertise im Bereich IT-Sicherheit und ist Elite Partner von Microsoft im Bereich Cyber Security. Gemeinsam gelang es, die Situation innerhalb von 72 Stunden in den Griff zu bekommen – drei aufregende Tage mit wenig Schlaf für alle Beteiligten.
Shutdown nach unbekanntem Zugriff
„Im Gesundheitswesen und erst recht im Krankenhaus findet vieles digital statt“, sagt Florian Diebel. „Aus der Karteikarte von früher ist die digitale Akte geworden. Hat der Patient in der Aufnahme erst mit seiner Gesundheitskarte eingecheckt, läuft über unser Krankenhausinformationssystem alles zusammen. Röntgenbilder, Laborergebnisse, Medikation, OP-Daten. Im Klinikalltag sind wir darauf angewiesen, dass alles reibungslos funktioniert.“ Mit insgesamt 340 Betten gehören die beiden Kliniken in den oberbayerischen Orten Weilheim und Schongau zu den eher kleinen Häusern. Neben der Notversorgung haben sich die Mediziner über Jahre einen guten Namen in der Endoprothetik, der Gefäßchirurgie und der Akutgeriatrie gemacht. „Unsere geringe Größe ermöglicht uns eine gewisse Exklusivität. Die Menschen in der Region vertrauen uns, wir sind gut ausgelastet.“
So auch an dem Tag, an dem Florian Diebels Smartphone klingelte. „Die Systeme im Krankenhaus laufen nicht stabil“, hieß es. Ein Mitarbeiter hatte leichtfertig den Anhang einer privaten E-Mail geöffnet. Er dachte, es wäre eine Rechnung. Tatsächlich war es aber ein Krypto-Trojaner, der sofort Zugang zu den internen Laufwerken erlangte und damit begann, Files zu verschlüsseln. Rasend schnell mit dem Ziel, maximalen Schaden anzurichten. Immer versehen mit einer Zahlungsaufforderung in Bitcoins. Florian Diebel traf gemeinsam mit seinen IT-Administratoren die Entscheidung, umgehend alle Systeme herunterzufahren.
Und das im laufenden Krankenhausbetrieb. „Das lief sehr geordnet. Wir sind vertraut mit kritischen Situationen, schalten uns zusammen, beurteilen die Lage und ergreifen Maßnahmen. Hier kamen wir aber alleine nicht weiter.“
Die Cyber Security Spezialisten von Sepago wurden alarmiert. Weil die steigende Anzahl vernetzter Geräte immer neue Angriffspunkte auf Unternehmensnetzwerke schafft, bieten die IT-Berater neben präventivem Security Consulting auch ein sogenanntes Security Operation Center, das im Krisenfall Angreifer aufspürt und eliminiert. Die Sicherheitsexperten arbeiten hier mit der von Microsoft entwickelten Lösung Windows Defender Advanced Threat Protection (WDATP).
Big Data-Echtzeitanalyse und künstliche Intelligenz
„Wir haben unser Incident Response Team zusammengestellt und die Jungs innerhalb von einer Stunde von Köln und München auf die Autobahn Richtung Süden gebracht”, sagt Alexander Benoit, Lead Security Analyst bei der Sepago GmbH. Beim Kickoff Meeting im Krankenhaus waren neben Sepago, der Klinikleitung und der IT auch Beamte von Interpol dabei – ein Standardprozedere bei zur Anzeige gebrachten Cyberangriffen. „Im ersten Schritt haben wir die cloudbasierte WDATP ausgebracht, um zu verhindern, dass sich der Schädling weiter ausbreitet“, so Benoit weiter.
Die Suche nach „Patient 0“ begann – so wird der Rechner genannt, der zuerst befallen wurde. Als der gefunden und der Schadcode extrahiert war, übernahm das Security Operation Center von Sepago in Köln mit der IT-Forensik. „Unsere Cyber Security Experten haben die Nacht durchgearbeitet. Sie nutzten die verhaltensbasierte Erkennung von Windows Defender mit Advanced Hunting. Immer wieder standen wir auch im direkten Kontakt mit den Microsoft Entwicklerteams in Israel – ein Service, den nur Microsoft Elite Partner bieten können.“ Über Machine Learning Module in der Azure Cloud konnten die Sicherheitsspezialisten schließlich den Schädlingstyp GandCrab 5.3 identifizieren und schnell Maßnahmen ergreifen.
Langsame Rückkehr zum Normalbetrieb
Schon am Abend des zweiten Tages fing Sepago nach Bereinigung und Recovery an, die Umgebung sukzessive wieder hochzufahren. „Die Patienten haben von alldem nichts bemerkt“, sagt Florian Diebel. „Wir haben auf Handbetrieb umgestellt: Die Gesundheitskarten kamen nicht ins Lesegerät, sondern wurden abgeschrieben. Jede Information wurde handschriftlich festgehalten und anschließend im System nachgetragen – das hat uns einiges an Zeit gekostet. Aber ansonsten ist nichts passiert. Wir haben keinerlei Daten verloren.“ Alexander Benoit lobt das gute Backup-Management des Krankenhauses: „Die Sicherung ist komplett getrennt von der Arbeitsumgebung – das ist eher selten. Außerdem hat die IT extrem schnell und gut reagiert.“
Nicht nur während der kritischen 72 Stunden hielt Florian Diebel seine Belegschaft über den aktuellen Stand auf dem Laufenden. Auch im Nachgang machte er den Vorfall transparent – in Betriebsversammlungen, im Mitarbeiter-Magazin, in Führungskräfte-Meetings. „Wir haben die IT-Sicherheit ganz oben angestellt. Der Vorfall hat uns gezeigt, was es bedeutet, angreifbar zu sein“, sagt Diebel.
Technologie-Investitionen als klare Konsequenz
Seitdem sind kritische Systeme konsequent mit WDATP ausgestattet – der nächste Schritt ist der Rollout von Office 365 Advanced Threat Protection und Azure Advanced Threat Protection, um die Krankenhäuser in Weilheim und Schongau vor ähnlichen oder gar schlimmeren Angriffen zu schützen. „Moderne Schadsoftware ist polymorph”, warnt Stratos Komotoglou, Manager Modern Workplace Security bei Microsoft Deutschland. „Sie kann bei Übertragung auf ein Gerät ihre Form verändern, und ist dadurch nur schwer von herkömmlichen Antivirenprogrammen zu entdecken.
Um sich vor hochentwickelten Gefahren zu wappnen, müssen Unternehmen zeitgemäße Anti-Phishing-Lösungen implementieren, die auch auf solche Angriffe vorbereitet sind und hierfür Technologien wie künstliche Intelligenz (KI) und Machine Learning (ML) einsetzen.”
Interpol verhaftet den Täter
Und noch zwei Personalien zum Happy End: Der Mitarbeiter, der die Malware freigesetzt hat, arbeitet immer noch im Haus und ist nun sehr sensibel was das Öffnen von Dateianhängen angeht. Und: Nur kurze Zeit nach dem Angriff klickten irgendwo in Osteuropa die Handschellen: Interpol konnte den verantwortlichen Hacker ausfindig machen.
Daten im Überblick
Klinikum: Krankenhaus GmbH Landkreis Weilheim-Schongau
IT-Security-Partner: Sepago GmbH
Eingesetzte Produkte und Dienste:
- Microsoft 365 Enterprise
- Office 365 Advanced Threat Protection
- Windows Defender Advanced Threat Protection
Branche: Gesundheitsdienstleister
Unternehmensgröße: Mittel (50–999 Mitarbeiter)