Kommentar von Intel Security

Ransomware: Kliniken sind leichte Beute

| Autor / Redakteur: Rolf Haas* / Ira Zahorsky

Rolf Haas, Enterprise Technology Specialist EMEA bei Intel Security
Rolf Haas, Enterprise Technology Specialist EMEA bei Intel Security (Bild: Bild: Intel Security)

Immer häufiger werden Krankenhäuser, Behörden und Unternehmen Opfer von Cyber-Erpressern. Der Grund: viele wertvolle Daten bei minimaler Sicherung bieten den Kriminellen ein lohnendes Geschäftsmodell.

Ransomware erlebt zurzeit ein gefährliches Revival. Cyber-Erpresser sind bereits seit 2015 auf Wachstumskurs und haben im ersten Quartal dieses Jahres ihre Ziele deutlich ausgeweitet. Seit Februar vergeht kaum eine Woche, in der nicht Krankenhäuser, Behörden und Unternehmen rund um den Globus eine neue Attacke melden, bei der Daten verschlüsselt und Lösegeld gefordert werden. In Deutschland ist die Situation immer akuter. Erst kürzlich wurde das Lukaskrankenhauses in Neuss weitgehend lahmgelegt, insgesamt verzeichneten 28 Kliniken aus NRW Ransomware-Angriffe seit Anfang 2016. Auch Behörden wurden schon Opfer: Die Stadtverwaltung im unterfränkischen Dettelbach zahlte nach einer Infektion mit dem Trojaner Tesla Crypt sogar das verlangte Lösegeld.

Liegt diese Wahl der Opfer an einer sadistischen Ader der Cyberkriminellen? Zielen sie auf das Leid der Personen, wenn ihre Ransomware alle Systeme lahmlegt und Operationen verschiebt? Eher nicht. Der Fokus auf die Gesundheitsbranche und Behörden hat einen einfachen Grund: Sie verfügen über große Mengen wertvoller Daten und sind nur minimal gesichert. Dies impliziert ein moralisch verwerfliches, doch lukratives Geschäftsmodell. Cyber-Kriminelle finden gleichzeitig die wehrlosesten Opfer mit der höchsten Zahlungsbereitschaft.

Doch warum sind beispielsweise Krankenhäuser und Stadtverwaltungen so schlecht vorbereitet? Im Hinblick auf die fatalen Auswirkungen eines erfolgreichen Angriffs, sollte Sicherheit an erster Stelle stehen. Im Ernstfall sorgt Ransomware einerseits dafür, dass Institute bei Systemausfällen oder -einschränkungen ihre eigentliche Tätigkeit nicht ausüben können und verursacht andererseits Kosten, die wesentlich höher sind als das reine Lösegeld.

Kostenrechnung: Wie teuer ist ein Ransomware-Angriff?

Das Ponemon Institute fand in seiner aktuellen Studie „Cost of Data Breach“ heraus, dass ein einziger Datensatz, der einem Krankenhaus durch Malware verloren geht, 325 Euro kostet. Doch damit nicht genug: Hinzu kommen weitere Kosten durch Ausfallzeiten und durch die manuelle Arbeit, die anfällt um diese Daten wieder auf den neusten Stand zu bringen. Die AC Group errechnete für diesen Mehraufwand einen höheren Stundenlohn von durchschnittlich 437 Euro pro Arzt.

Nach einem Angriff muss die betroffene Behörde oder Institution zuerst einmal herausfinden, welches Ausmaß der Angriff hatte, welche Systeme betroffen und welche Daten verschlüsselt sind – und vor allem, wie der Angreifer ins System eindringen konnte. Oft wird dies von externen Dienstleistern erledigt, da Krankenhäuser nur selten derartige Spezialisten vorhalten. Ein eingekauftes Team aber, kann leicht bis zu zehn Tage für seine Untersuchung benötigen. Die dabei entstehenden Kosten erreichen dann schnell Summen im fünfstelligen Bereich. Schließlich werden noch Audit und eine Abschlussprüfung berechnet, die mit rund 20.000 Euro ins Gewicht fallen können.

Diese Kosten enthalten jedoch noch nicht das Lösegeld, Anwalts- und Gerichtskosten, sowie Kosten für die Benachrichtigung von Öffentlichkeit und Patienten, die Datenrettung, die zu zahlende Strafen an Regulierungsinstitutionen oder die Überstunden für Angestellte – um nur einige Posten zu nennen. Überschlägt man nun diese einzelnen Faktoren, so kann sich der Schaden durch einen Ransomware-Angriff innerhalb von nur einer Woche zwischen 630.000 Euro und 1,3 Millionen Euro bewegen. Je nach Größe des betroffenen Krankenhauses und der Verfügbarkeit von Backups.

Was hilft? Maßnahmen vor und nach einem Angriff

Lösegeld zahlen ist nicht die einzige Option. Nach einem Angriff muss die so genannte „Incident Response“ durchgeführt werden, also Schäden müssen katalogisiert und behoben werden. Auch wenn nur wenige Behörden und Institute ein eigenes Team für die Reaktion auf einen solchen Angriff unterhalten, kann sich die Beschäftigung eines geteilten Teams lohnen: Nach den Berechnungen des Ponemon Instituts sparen Institutionen etwa 11,30 Euro pro Datensatz durch ein gemeinsames Incident-Response-Team. Wer vorher die Verwaltung an Bord holt um sich auf Attacken vorzubereiten kann knapp fünf Euro pro Datensatz einsparen; eine Cyber-Versicherung reduziert die Kosten immerhin um knapp vier Euro.

Unternehmen, Behörden und Institutionen – zum Beispiel im Gesundheitswesen – sollten Daten ernster nehmen und sich ebenso um die Sicherung ihrer Infrastruktur kümmern wie um ihre Patienten. Denn die Gefahr ist real, wie ein Experiment des TÜV Süd erst kürzlich zeigte. Ein virtuell eingerichtetes Kraftwerk sollte im Internet Hacker anlocken und auf Sicherheitslücken hinweisen. Nach acht Monaten Testphase, konnten über 60.000 Zugriffe von Servern aus über 150 Ländern gezählt werden. Eine gefährliche Bilanz.

Gemeinsame Anstrengungen gegen Cyberkriminelle wird es zwar nicht unmöglich machen, Opfer von Erpressersoftware zu werden, doch wird es wesentlich unwahrscheinlicher. Cyber-Kriminelle suchen nach „weichen“ Zielen, die wenig Schutz bieten und leichte Beute sind. Behörden und Krankenhäuser dürfen in Zukunft nicht mehr in diese Kategorie fallen.

*Der Autor: Rolf Haas ist Enterprise Technology Specialist EMEA bei Intel Security und bringt über 22 Jahre Erfahrung im Bereich der Unternehmenssicherheit mit. Seine Spezialgebiete umfassen Cybercrime in privaten und beruflichen Umgebungen sowie alle Bereiche der IT Security, wie Malware, IPS, Firewall und Verschlüsselung.

Ein kostenfreies eBook von Intel zum Thema „Ransomware“ können Sie hier herunterladen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44112649 / Malware)