SZ: Frau Professor Lechner, Sie haben kurz bevor die Wanna-Cry-Attacke sich verbreitet hat, eine Cyberattacke auf ein Krankenhaus simuliert - wie kam es dazu?
Lechner: Das geschah im Rahmen der Forschungsförderung für Projekte der IT-Sicherheit Kritischer Infrastrukturen.
Wie haben Sie den Angriff simuliert, waren Sie dazu in einem Krankenhaus?
Wir haben den Plan des IT-Netzwerkes eines Krankenhauses verwendet und ein Planspiel gemacht. Die Fragestellung war: Was würde ein Cyberkrimineller bei einem Krankenhaus machen und würde man es innerhalb von sechs Monaten schaffen, dort einzudringen? Was würde man dazu brauchen?
Wie lief der Angriff konkret ab?
Es gab ein rotes und ein blaues Team. Das rote Team hat versucht einzudringen, das blaue versuchte, das Netz zu schützen. Das rote Team hat die Rolle "Cyber-Krimineller" gewählt und sich für einen Angriff mit Ransomware (Erpressersoftware, Anm. d. Red.) entschieden. Für das Eindringen in das Netz des Krankenhauses haben wir mehrere Möglichkeit diskutiert, zum Beispiel social engineering ...
... also Mails, die sehr genau auf den Empfänger zugeschnitten sind oder scheinbar von einer bekannten Person kommen ...
... oder auch Schwachstellen, über die man über das Internet eindringen kann.
Was ist Ihre wichtigste Erkenntnis?
Das blaue Team hat zwar sehr gut gearbeitet und das Netz des fiktiven Krankenhauses neu geordnet, aber es hat sich gezeigt, dass es äußerst schwer ist, Ransomware zu entdecken, wenn sie erst einmal im Netz des Krankenhauses ist. Wenn sie erst einmal ins Netz eingedrungen ist, ist es für sie auch vergleichsweise leicht, sich weiterzuverbreiten.
Warum ist das so?
Ransomware kann eben durch viele Tore einfallen, und es ist nicht möglich, alles zu schützen. Die Ärzte und Mitarbeiter brauchen eben Zugriff zum Beispiel auf Bilddateien oder auf Arztbriefe - aber auch in solchen Dateien kann sich Schadsoftware verstecken. Manche Angriffe sind so programmiert, dass sie ins Netz eindringen, dann erst einmal beginnen, allmählich die Sicherungsdateien zu verschlüsseln. Wenn dann die richtige Attacke startet, stehen auch die Sicherungen nicht mehr zur Verfügung.
Was können die Krankenhäuser tun, um sich zu schützen?
Man muss die Mitarbeiter schulen, damit sie aufmerksam sind und Unregelmäßigkeiten bemerken. Die Techniker sollten sich eventuell auftretende Fehlermeldungen genau ansehen - es könnte sein, dass sie auf eine Attacke hindeuten. Außerdem sollten die Verbindung aus dem Netzwerk nach draußen geprüft werden. Wer braucht sie eigentlich und wofür? Und natürlich sollten die IT-Abteilungen unbedingt die aktuellen Sicherheitsupdates einspielen.