Hacker mit Helfersyndrom
Eine hochprofessionelle Industrie kapert die Computernetzwerke von Kliniken, Firmen, Universitäten. Die Täter fordern Lösegelder in Millionenhöhe – und helfen dann bereitwillig bei Fragen zum besseren Schutz der Systeme. Warum Betroffene oft einfach zahle
Augsburg Der 10. September 2020 muss den Pflegekräften und Ärzten der Uniklinik Düsseldorf vorgekommen sein, als seien sie plötzlich Teil eines verstörenden Hollywoodstreifens. Es geht damit los, dass die Mitarbeiter in der Notfallambulanz nicht mehr auf das Computerprogramm Cobra zugreifen können. Nichts regt sich auf den Bildschirmen. Das Programm, das sensible Patientendaten, Befunde, Diagnosen, Laborwerte oder Röntgenbilder verwaltet, ist eingefroren.
Dass in großen Betrieben und Institutionen das Computersystem ab und zu mal streikt, das kennt jeder, der dort arbeitet. Meist findet die betreffende IT-Abteilung aber rasch den Fehler, dann geht die Arbeit weiter. Doch an diesem Tag ist in Düsseldorf alles anders. Schließlich findet sich eine Textdatei, die sich trotz allem öffnen lässt. Dort steht in englischer Sprache: „Ihr Netzwerk wurde gehackt.“Verbunden mit der Drohung, dass alle wichtigen Informationen weiter unerreichbar sein werden – gefolgt von der unmissverständliche Aufforderung zu kooperieren. Sonst würden sensible Daten von Patienten auch noch öffentlich gemacht.
Ein Albtraum für eine Klinik mit 5500 Mitarbeitern und pro Jahr 50000 stationären sowie 300000 ambulanten Patienten. Der Betrieb der Großklinik ist sofort empfindlich beeinträchtigt. Viele Operationen müssen verschoben, Notfallpatienten an andere Kliniken verwiesen werden. Eine 78-Jährige mit Herzbeschwerden, die eigentlich in der Uniklinik Düsseldorf hätte behandelt werden sollen, wird stattdessen nach Wuppertal gefahren, wo sie kurz darauf stirbt. Haben die Hacker ein Menschenleben auf dem Gewissen?
Spezialkräfte der Polizei Düsseldorf, des Landeskriminalamtes Nordrhein-Westfalen und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) machen sich umgehend auf in das Krankenhaus.
Dass es Hackerangriffe auf Behörden, Institutionen oder Firmen gibt, ist natürlich nichts Neues. Doch schaut man sich den Angriff auf die Uniklinik in der Landeshauptstadt des mit rund 18 Millionen Einwohnern bevölkerungsreichsten Bundeslandes genauer an, bekommt man Einblick in eine kriminelle Szene, die inzwischen derart hochprofessionell vorgeht, dass es einen erschaudern lässt.
Einer, der sich von Berufs wegen intensiv mit dem Thema befasst, ist der Informatik-Professor Gordon Rohrmair. Er ist Präsident der Hochschule Augsburg, die einen Lehr- und Forschungsschwerpunkt für IT-Forensik mit sechs Professuren hat und eng mit dem Dezernat für Cyberkriminalität des bayerischen Landeskriminalamtes (LKA) zusammenarbeitet.
Hat die IT-Abteilung der Uniklinik Düsseldorf gepennt, gar versagt? „Nein, auf keinen Fall“, sagt Rohrmair. Die Hacker hatten im Januar 2020 eine Sicherheitslücke des US-Softwareunternehmens Citrix ausgenutzt. Auf diese Lücke hatte die in Florida sitzende Firma, die Programme anbietet, mit denen man aus der Ferne auf Computer zugreifen kann (sogenannte RemoteDesktop-Systeme), wenige Wochen zuvor selbst hingewiesen. Und rasch entsprechende Updates angeboten. „Diese sind in einem großen Netzwerk wie dem der Uniklinik mit viel Aufwand verbunden und können nicht von jetzt auf gleich gemacht werden“, sagt Rohrmair. Und die Uniklinik Düsseldorf hatte die Updates binnen acht Tagen aufgespielt, „das ist hyperschnell“. Rohrmair nennt einen Vergleich: Im Mai 2019 gab es bei einem anderen RemoteDesktop-System 15000 Firmen mit einer Schwachstelle, die man durch ein Update hätte beseitigen müssen. „Im März 2020 gab es davon immerhin noch 5400 Firmen, deren System noch verwundbar war. Fast ein Jahr später – das hat mich schockiert.“Dagegen seien die acht Tage in Düsseldorf ein Klacks.
Ein Klacks, der allerdings für die Hacker ausreichend war. Doch diese hielten sich erst einmal monatelang zurück und kundschafteten das Opfer aus. Aber offenkundig nicht ausreichend. Als sie im September ihre Erpressung verschicken und die Ermittler die Nachrichten der Hacker auswerten, zeigt sich, dass die Täter als Adressaten die Heinrich-HeineUniversität benannt haben. Sie haben sich offenbar geirrt – und wollen nicht die Uniklinik erpressen, sondern die Universität.
Die Beamten schicken sofort eine Antwort retour: Durch die Hacking-Aattacke sind Menschenleben in Gefahr! Und tatsächlich reagieren die Erpresser: Sie schicken umgehend den digitalen Schlüssel. Die Systeme können wieder anlaufen. Doch es dauert wegen des entstandenen digitalen Schadens Tage, bis die Klinik wieder auf vollen Touren läuft. Erst 13 Tage nach der Attacke öffnet die Notaufnahme. Und es stellt sich überdies heraus, dass die 78-jährige Frau mit den Herzproblemen nicht an der längeren Anfahrt nach Wuppertal gestorben ist. Laut Obduktion starb sie an einem Aneurysma der Aorta. Sie wäre wohl auch in Düsseldorf gestorben.
Gibt es also einen Ehrenkodex unter den Hackern? Etwa, wenn Menschenleben in Gefahr sind? Mario Huber, 51, ist seit 2018 Leiter des Dezernats Cybercrime beim bayerischen LKA. Und er kennt die Szene sehr gut. „Ob es diesen viel zitierten Ehrenkodex gibt, kann ich nicht sagen“, meint der Ermittler. „Wenn, dann greift die HackerEthik jedenfalls nicht immer.“Er erinnert sich etwa an einen Erpressungsversuch bei einer bayerischen Privatklinik, bei dem die Täter lediglich ihre Erpressungssumme von 400000 auf 300000 Euro reduzierten, als die Klinik ihre Not beklagte.
Fakt sei aber in jedem Fall, dass die Täter in aller Regel äußerst höflich in ihren Formulierungen seien. „Da wird immer wieder betont: Das Ganze ist nichts Persönliches. Es ist ein rein geschäftlicher Vorgang.“Bezahlt werden muss fast immer in der Digitalwährung Bitcoin, weil man das nicht nachverfolgen könne. „Wenn sich eine Firma damit nicht auskennt, wird sie extra beraten, wie das mit dem Bitcoin funktioniert.“Für die Erpressten steht in der Regel ein 24/7-Ansprechservice zur Verfügung. „Eine Frage wird meist binnen weniger Minuten beantwortet – auch nachts oder am Wochenende.“Ist die Erpressungssumme bezahlt, wird das gesperrte Netzwerk so gut wie immer rasch entsperrt. „Wenn sich herumspräche, dass das nicht passiert, würden die Firmen nicht zahlen. Das ist nicht im Interesse der Täter“, erklärt Huber. Fast unglaublich klingt zudem: „Oft geben die Täter hinterher auch noch Tipps und Beratung, wie das erpresste Unternehmen Kaperversuche in Zukunft vermeiden kann.“
Weltweit gibt es eine ganze Hacker-Industrie. Diese sitzt häufig in Ländern, die polizeilich kaum mit Deutschland zusammenarbeiten und eine Ermittlung im Prinzip unmöglich machen: Russland, China, Nordkorea, der Iran. In der Szene herrscht Arbeitsteilung: Die einen dringen in Systeme ein, andere legen Passwörterlisten an und verkaufen sie, die nächsten versteigen sich auf das reine Erpressen. Andere wieder auf die Analyse der zu erpressenden Institutionen und Behörden. Dabei geht es vor allem um sensible Kundendaten, Patientendaten sowie die Finanzpotenz des Opfers. „Denn man will maßgeschneiderte Erpressungssummen, die die Firmen auch zahlen können. Und für die das Bezahlen oft einfacher ist, als zur Polizei zu gehen, was wir uns natürlich wünschen“, so Huber. Für Firmen sei es schon ein unfassbarer Reputationsverlust, wenn sie ihren Kunden sagen müssten, dass deren Daten gestohlen wurden. Da die Täter oft nicht deutschsprachig sind, wird die Analyse der erbeuteten Firmendaten von weiteren Dienstleistern in der Hacker-Industrie übernommen, die sich genau auf dieses Geschäftsfeld spezialisiert haben. Und die komplette technische Infrastruktur für eine Attacke wiederum kann man sich heutzutage auch einfach mieten.
Vier Formen der Attacke sind gängig: zum einen das Einschleusen von Ransomware (Ransom: Lösegeld) über Schwachstellen im Netzwerk, so wie in Düsseldorf. Beliebt ist auch nach wie vor das Phishing. Eine Schadsoftware ist in einem E-Mail-Anhang versteckt – etwa ein Word-Dokument, ein Link oder ein PDF. Klickt der User auf den Anhang, wird der Rechner gekapert. Das kann auch viele private Nutzer treffen, während eine RansomwareAttacke dafür zu aufwendig ist – und nur bei größeren Firmen oder Institutionen angewendet wird. Beim Phishing kommt dann etwa das Sexpressing zum Einsatz. Dabei wird die Kamera des Laptops manipuliert und der Nutzer zum Beispiel bei sexuellen Handlungen gefilmt. Bestes Erpressermaterial.
„Phishing-Mails werden zu Hunderttausenden verschickt, meist mit Erpressungssummen zwischen 200 und 500 Euro. Zahlt nur ein Prozent, hat sich das schon für die Täter gelohnt“, sagt Huber. Erbeuten Täter eine Ausweiskopie, können sie damit Identitätsdiebstahl betreiben, zum Schaden des Opfers Betrugsgeschäfte abschließen oder Dinge kaufen und nicht bezahlen. Die Rechnung kriegt dann das Opfer.
Vorsicht ist auch geboten bei den sogenannten Microsoft-SupportAnrufen: Das Opfer wird angerufen mit dem Hinweis, dass Microsoft etwa ein Update vornehmen muss.
Die Betrüger bitten das Opfer, den Fernzugriff von einem anderen Rechner zuzulassen. „Sobald das erfolgt, ist der Rechner gekapert.“Der Vollständigkeit halber sind noch „Distributed Denial of Service“-Angriffe zu nennen (auf Deutsch etwa: gestreute Arbeitsverweigerung). Dabei schicken Roboterprogramme, sogenannte Bots, zigtausende Anfragen gleichzeitig an eine Adresse. „Der Server geht dann in die Knie und die Adresse ist nicht mehr erreichbar.“Das geschieht manchmal auch aus ideologischen Gründen, wenn etwa linke Gruppen gegen rechte Internetseiten vorgehen und umgekehrt.
Eine große Schwachstelle ist der Mensch – der vielleicht im Homeoffice unachtsam auf einen Anhang klickt, sagt Huber. Ob die Zunahme der Homeoffice-Arbeit zu mehr Cybercrime geführt hat, sei schwierig zu sagen, weil die Statistiken für 2020 noch nicht ausgewertet seien. Die offizielle Statistik geht in Bayern für die Jahre 2017 bis 2019 pro Jahr von 15000 Attacken aus. Doch da seien etwa Angriffe aus dem Ausland nicht mitgezählt. Huber schätzt daher die Zahl der Fälle auf eher 30 000. „Und dazu kommt ein sehr großes Dunkelfeld. Sexpressing meldet nicht jeder. Und nicht jede Firma hat Interesse, eine Cybererpressung der Polizei zu melden.“
Erpresst wird übrigens nicht nur mit dem Versperren des Computernetzwerks. „Bei einem kanadischen Unternehmen wurde etwa gedroht, die sexuellen Vorlieben des Vorstandes zu veröffentlichen“, erinnert sich Professor Rohrmair. Und die Erpressungssummen sind oft erheblich: So wurde der Geschäftsreisenorganisator CWT mit einem Eingangserpressungsgebot von zehn Millionen Dollar belegt – und die Erpressung mit einer Zahlung von 4,5 Millionen Dollar beigelegt, sagt der 44-Jährige.
Schlussendlich müsse jede Institution, jedes Unternehmen ständig auf der Hut sein und auch Geld in die Hand nehmen, um sich vor HackerAngriffen zu sichern. Etwas, dass beispielsweise beim Uniklinikum Augsburg weit oben auf der Agenda steht: „Cyberkriminalität und Hacker-Angriffe stellen in der Tat auch für unser Klinikum eine ernst zu nehmende Gefährdung dar, der täglich angemessen begegnet werden muss“, erläutert Markus Schindler,
Die Sicherheitslücke bestand nur wenige Tage
Vielen Chefs ist ITSicherheit erst mal zu teuer
Bereichsleiter Medizinische Informationstechnik des Klinikums. „Trotz aller Maßnahmen ist auch für uns ein Hacker-Angriff oder eine erfolgreiche Cyberattacke nie ganz auszuschließen.“Aber die Arbeit der Abteilung ist bislang erfolgreich: Es hat immer wieder Attacken gegeben. Doch das Klinikum konnte diese stets abwehren.
Dass das Thema für Kliniken hochsensibel ist, zeigt die Antwort des Klinikums der Universität München auf unsere Anfrage: „Interna zur IT-Sicherheit und Struktur am LMU-Klinikum geben wir generell nicht an die Presse, da dies Hacker anlocken würde.“Auch die Universitätsklinik Ulm will zu diesem Thema nicht Stellung nehmen.
Dass IT-Sicherheit aufwendig und teuer ist, damit hätten viele Chefs ein Problem: „Denn das beste Ergebnis der zweifelsohne teuren Cybersicherheit ist, dass eben nichts passiert. Man sieht nichts“, sagt LKA-Experte Mario Huber. Aber das sei für viele Verantwortliche zunächst schwer zu akzeptieren. Der Sinneswandel bei ihnen komme oft erst, wenn der Schaden bereits entstanden ist. „Erst aus Schaden wird man klug.“
Auch wenn es Ermittlern unter deutscher und niederländischer Führung erst vor wenigen Tagen gelang, die gängige Kapersoftware Emotet unschädlich zu machen, so ist sich Huber sicher: Die Arbeit geht weiter. Die nächsten Hacker-Programme stehen schon bereit – und die Leute, die sie ausführen, auch.