Klinikum Wolfenbüttel Opfer eines Ransomware-Angriffs (Juli 2021)

Sicherheit (Pexels, allgemeine Nutzung)Es hat mal wieder eine Klinik bzw. deren IT getroffen. Das Klinikum Wolfenbüttel ist Opfer eines Ransomware-Angriffs geworden und seit Tagen im Notbetrieb mit Papier und Bleistift. Auf der Webseite des Klinikums findet sich da aber noch keine Information. Das Klinikum ist u.a. akademisches Lehrkrankenhaus der Universität Göttingen. Hier ein Überblick, was bekannt ist.


Anzeige

Der NDR berichtete wohl erstmals in diesem Artikel über den Angriff und schreibt, dass "Hacker das Computersystem des Städtischen Klinikums Wolfenbüttel angegriffen haben".

Facebook-Post Klinikum Wolfenbüttel zu Ransomware-Befall

Ransomwarebefall der Server

Während sich auf der Webseite des Klinikums noch keine Information findet, hat sich die Klinik auf ihrer Facebook-Seite aber diesbezüglich eingelassen. Konkret ist es wohl so, dass die Server des Klinikums in der Nacht zu Mittwoch, den 14. Juli 2021, durch Ransomware infiziert und wohl verschlüsselt wurden. Die IT hat dann die gesamten Computersysteme vorsorglich heruntergefahren, der Krankenhausbetrieb wurde auf den Betrieb mit Papier und Bleistift umgestellt. Das Klinikum hatte auch keinen Zugriff auf das Internet mehr.

Derzeit arbeitet das IT-Team des Klinikums auch mit Hilfe externer Experten daran, die Systeme wieder nach und nach verfügbar zu machen. Aufgrund des Umfangs und der Komplexität des IT-Systems und der Fülle an Daten kann das Klinikum wir noch nicht abschätzen, wann dieser Prozess abgeschlossen sein wird. Auch wird geprüft, wie die Schadsoftware auf die Klinik-Server gelangen konnte. Laut NDR hat die für Cybercrime in der Region zuständige Staatsanwaltschaft Göttingen die Ermittlungen übernommen.

Versorgung der Patienten gewährleistet

Die Klinik schreibt, dass die medizinische Versorgung der Patientinnen und Patienten sichergestellt ist. Das Klinikum war aber aufgrund des IT-Vorfalls und der mangelnden Datenverfügbarkeit bis Mittwoch Mittag bei der Rettungsleitstelle abgemeldet. Seitdem Mittwoch Mittag sei die Klinik aber wieder medizinisch voll einsatzfähig, schreibt man. Patienten mit Terminen sollen sich vor dem Besuch telefonisch melden, um zu erfahren, ob dieser stattfinden kann oder gegebenenfalls verschoben werden muss.

Es gibt eine Lösegeldforderung

Die Klinik schreibt auf Facebook, dass bei dem Hacker-Angriff sind nach bisherigen Erkenntnissen keine Daten gestohlen worden wurden. Dem Hacker gehe es um Geld – man werde erpresst. Diese Formulierung ist aber das Papier nicht wert, auf dem sie gedruckt wurde. Denn ob die Ransomware-Gruppe nicht Dokumente vor dem Verschlüsseln abgezogen hat, wird man u.U. erst später sehen. Viele Ransomware-Gruppen versuchen ja nicht nur Lösegeld mit dem Verschlüsseln von Daten zu erpressen, sondern drohen auch mit der Veröffentlichung von erbeuteten internen Dokumenten.

Der NDR berichtet unterdessen, unter Berufung auf die Staatsanwaltschaft Göttingen, dass das Klinikum auf die Forderung, ein Lösegeld in ungenannter Höhe in Form von Bitcoins zu zahlen, nicht eingegangen sei. 

Hilflose Statements der Politik

Beim NDR ist mir dann aber die Kinnlade heruntergefallen, als ich die fälligen Statements der Politik las. Niedersachsens Innenminister Boris Pistorius (SPD) bezeichnete, laut NDR, Cyberangriffe dieser Art als "aktuell eine der größten Bedrohungen" für die Gesellschaft. Eine ziemliche Binse, genau wie das folgende Zitat: "Dieser weitere Angriff auf die sensible Infrastruktur eines Klinikums in Niedersachsen zeigt die Ernsthaftigkeit der Gefahr, die uns am Ende alle in irgendeiner Form treffen kann."


Anzeige

Die Staatsanwaltschaft Göttingen rät sowohl Firmen als auch jedem privaten Internetnutzer dazu, immer wieder Backups zu erstellen sowie Firewalls und Virenscanner aktuell zu halten. Und der Sprecher des Niedersächsischen Städte- und Gemeindebundes, Thorsten Bullerdiek, fordert bessere Sicherheitsvorkehrungen im Internet. Der Bund und auch die EU müssten "dafür sorgen, dass wir wichtige Dinge, wie Bank-,  Behörden- oder Gesundheitsdaten nur noch in sicher abgeschotteten Systemen bearbeiten, wo wir genau wissen, wer dort drin ist und was er dort darf".

Es sei wichtig, dafür Zeit und Personal zu investieren und gleichzeitig auf manche Annehmlichkeit zu verzichten. "Sonst holt uns jegliche Vernachlässigung bei diesem Thema ein", fürchtet Bullerdiek, der auch IT-Experte des Spitzenverbandes der Städte und Gemeinden in Niedersachsen ist. Ich weiß ja nicht, aber mit solchen IT-Experten ist Polen verloren. Die IT-Sicherheit wird nicht von der EU oder dem Bund bestimmt, die muss vor Ort von gut ausgebildetem Personal gewährleistet werden. Wenn ich nicht gänzlich falsch liege, gehören Kliniken auch zu den KRITIS-Infrastrukturen und sollten doch längst besondere Maßnahmen gegen IT-Bedrohungen getroffen haben.

Ähnliche Artikel:
Ransomware-Angriff auf Anwaltskammer BEA-Webseite?
Ransomware-Befall in Uniklinik von Brno (Brünn Tschechien)
Ransomware legt DRK-Krankenhäuser in Rheinland-Pfalz/Saarland lahm
Cyber-Angriff mit Ransomware auf US-Klinikbetreiber UHS
Hollywood-Klinik nach Ransomware-Angriff offline
Uniklinikum Düsseldorf: Es war Ransomware, Staatsanwaltschaft ermittelt wegen Todesfolge
Ransomware-Befall in Uniklinik Düsseldorf nicht für Todesfall verantwortlich
Sicherheit: Ransomware bei ThyssenKrupp, Schwachstellen bei Louis Vuitton, Airbnb und mehr
Conti Ransomware-Gang will VW-Gruppe gehackt haben
Daten von LG, Xeros und Intel geleaked, Canon von Ransomware befallen
Spielzeughersteller Mattel Opfer eines Ransomware-Angriffs


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Klinikum Wolfenbüttel Opfer eines Ransomware-Angriffs (Juli 2021)

  1. Andy sagt:

    Ganz so falsch sind Bullerdieks zitierte Einlassungen meiner Meinung nach nicht. Mit wirklich abgeschotteten Netzen zu arbeiten liegt nicht im Interesse der genannten Kreise. Insbesondere im öffentlichen Sektor kann man das nur über Regulierung erreichen, was ja von Bund und EU kommen muss. Nur bezweifle ich, dass er wirklich darauf hinaus will. Denn der Städte- und Gemeindebund wird dann sofort die heilige Kuh der kommunalen Selbstbestimmung ins Feld führen und den Untergang des Abendlandes verkünden…
    Was man bei dem Thema halt vor Augen haben sollte ist, dass IT-Sicherheit in der Praxis nur eine Risikokalkulation ist, die bei z.B. Kommunen oder Kreisen massiv verzerrte Ergebnisse ergibt.
    Verstöße gegen Gesetze und Vorschriften können in Firmen massive Konsequenzen haben. Im öffentlichen Bereich drohen nahezu keine Konsequenzen, womit dieses Risiko von einen bestimmten Menschentyp, der dort nicht selten nach oben gespült wird, schlichtweg für nicht existent gehalten wird. Was ja keine Konsequenzen hat. Das ist nur dann anders, wenn eine Regulierung eindeutig und strafbewehrt ist, so dass die Basis der Verwaltung sich gegen Übertretungsanweisungen wehren kann. Derzeitig sind Anweisungen ja auszuführen, wenn die Handlung nicht eindeutig strafbar ist. Was eigentlich "immer" heißt.
    Finanzielle Risiken werden im öffentlichen Sektor als sehr gering eingeschätzt, da keine Umsatzausfälle betrachtet werden, der Untergang der Organisation ausgeschlossen ist und es im schlimmsten Falle immer noch "anderer Leute Geld" ist. Und im Gegensatz zu Aktiengesellschaften sind keine Klagen der "Geldgeber" zu befürchten.
    Das kann man so fortsetzen und wird feststellen, dass im öffentlichen Sektor selbst Gefährdungen von Leib und Leben als abstraktes Risiko quasi im Skat landet. Wenn's passiert war immer der Vorgänger schuld oder oder oder. Aktuelle Interviews zur Hochwasser-Katastrophe können hier als Beispiel dienen. Und da besteht echte Gefahr, bei der IT wird das großflächig als "konstruiert" und völlig übertrieben betrachtet.
    Man hat also derzeitig Leute in entscheidenden Positionen, die eine Art von Berufsehre haben oder alles ist Auslegungssache, wie es gerade passt.

    Eine klare Regulierung, die auch unbequeme Sicherheitsmaßnahmen erzwingt, wäre da schon sehr hilfreich.
    Faktisch ist es so, dass z.B. bei Konferenzen in meinem Sektor immer Mal wieder jemand gefeiert wird, der die komplette Abtrennung des Kernnetzwerks hinbekommen hat. Die Sicherheit auf ein möglichst hohes Level zu bringen, ist halt immer noch eines der häufigsten Kernziele von ITlern im öffentlichen Sektor.
    Und ein paar Jahre später, wenn dann beim erfolgreichen Abschotter eine neue Leitung gewählt wurde, kann man maximal bis "Zehn" zählen und schwupps wird das alles wieder aufgerissen, weil .. äh .. z.B. moderne IT anders aussieht (alles, immer, überall). Das ist dann per Definition (vom z.B. eigentlich gelernten Landwirt) so und wer das Gegenteil behauptet, darf gerne gehen.
    Der öffentliche Dienst ist in diesen Belangen ein schwieriger Arbeitgeber. Abweichende Meinungen zu vertreten kann dich von heute auf morgen den Job kosten. Und kein Sicherheitsnetz greift dann, nicht mal die Klage – auch dann nicht, wenn es deine Aufgabe gewesen wäre, diese zu vertreten. Danach ist man in der gesamten Branche quasi auf der schwarzen Liste.
    Als Mitläufer jeden Unsinn mitzumachen oder diesen sogar federführend voranzutreiben kann dich aber schnell in sehr hohe Positionen bringen.
    Da helfen nur Charakterstärke Mitarbeiter ohne Existenzängste, Unterbinden populistischer oder opportunistischer Karrieremöglichkeiten oder – wohl realistischer – klare und bindende Regulierung.

    Wobei ich persönlich die Stärkung der persönlichen Haftung für Führungskräfte und die Abschaffung der Nichthaftungsprivilegien des öffentlichen Bereichs bevorzugen würde. Wenn es die ersten Verantwortlichen Entscheider öffentlichkeitswirksam weggesäbelt hätte, würde die Gutsherrenmentalität in der Fläche wohl recht schnell gedämpft werden.

    • Ralf S. sagt:

      "Wobei ich persönlich die Stärkung der persönlichen Haftung für Führungskräfte und die Abschaffung der Nichthaftungsprivilegien des öffentlichen Bereichs bevorzugen würde. Wenn es die ersten Verantwortlichen Entscheider öffentlichkeitswirksam weggesäbelt hätte, würde die Gutsherrenmentalität in der Fläche wohl recht schnell gedämpft werden."

      Genau! Dies sollte übrigens in ALLEN Bereichen des öffentlichen Lebens und der Politik generell gelten! Denn wenn man sieht (geraden in den letzten 1,5 Jahren) wie mit unser aller Steuergeld von gewissen Herren und auch Damen umgegangen wurde und wird, dann kann man sich eigentlich nur noch fragen warum wir uns das alles einfach so gefallen lassen… Na ja, der Krug geht ja bekanntlich so lange zum Brunnen bis er dann doch mal irgendwann bricht. Und dann wird es meist erst richtig ungemütlich – und zwar i. d. R. für alle dann! Meiner Meinung nach ist die größte Bedrohung für die Menschheit nicht irgendein medizinisches Virus (trotzdem natürlich schlimm genug) und auch nicht der Klimawandel (auch hier natürlich "schlimm genug") sondern eben die rasant und ohne jegliches Hirn vorangetriebene weltweite Digitalisierung – besonders in Verbindung mit der KI – mit ihren nicht ansatzweise abzuschätzenden globalen Gefahren. Die zweite riesige Gefahr ist die soziale weltweite (!) Schere, die sich ungebremst immer schneller und weiter öffnet. Was wir 2015 erlebt haben, war mit gut einer Million Menschen, die sich mal eben in Bewegung (und das nur in Richtung Deutschland) gesetzt haben, wohl erst der Anfang. Man kann es niemandem verdenken; ich würde es wohl nicht anders tun, wenn ich an deren Stelle wäre… Aber bevor die soziale Schere dann richtig zuschlägt, kann es gut sein, dass wir uns durch die Digitalisierung schon selbst die "Luft abgeschnürt" haben. Noch hat kein großflächiger, fataler Angriff auf die Infrastruktur von Stromnetz, Wasserversorgung und Atomkraftwerken (…) stattgefunden. Ist aber wohl nur noch eine Frage von einigen Jahren, bis es dann mal richtig scheppert und kracht.

  2. janil sagt:

    Interessant wird es dann, wenn diese Seuche in auf die Leute weitere, betreffende Bereiche eindringt. Was wohl los ist, wenn die Supermärkte betroffen sind oder die Mobilfunknetze bzw. deren Betreiber. Persönlich meine ich, das ist erst der Anfang. Die Leute nehmen die Dinge als selbstverständlich und denken weniger mit.
    "Kühe sind lila und Milch kommt aus dem Supermarkt"

  3. BenjaminG sagt:

    Und es wird sich wieder in den Köpfen nichts ändern.
    Der Mann hat ja durchaus recht, das wir auf Mehr Sicherheit achten müssen. Vom Internet getrennte Netze wären da durchaus ein Anfang. Was die EU damit zu tun hat verstehe ich allerdings auch nicht.
    Hoffen wir das beste für die lokale IT. Backups scheinen sie ja zu haben.

  4. Psychodoc sagt:

    Der Schwellenwert für Kritis-Krankhäuser liegt bei 30.000 vollstationären Behandlungsfällen pro Jahr:

    https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Sektorspezifische-Infos-fuer-KRITIS-Betreiber/Gesundheit/Schwellenwerte-nach-BSI-KritisV/schwellenwerte-nach-bsi-kritisv.html

    Aus meiner persönlichen Sicht ist dieser Wert zu hoch, denn auch ein kleines Krankenhaus im ländlichen Raum mit langen Anfahrten in die nächste Großstadt hat eine hohe Bedeutung.

    Auch im ambulanten Gesundheitswesen wird derzeit viel digitalisiert, oft auch gegen die Einwände derer, die aktiv in der Patientenversorgung sind. Seit zwei Jahren steht ein Konnektor in der meiner Praxis und bislang ist nur der Versichertenstammdatenabgleich (Name, Anschrift, Krankenkasse, Versichertennummer, …) trotz hoher Kosten realisiert.
    Man plant aber zentrale Krankenakten, eRezept, eAU und vieles mehr.

    Wenn man als Arzt auf Sicherheitsaspekte hinweist, scheint dies niemanden wirklich zu interessieren. IT-Sicherheit kostet Geld, viel Geld und wie wichtig diese ist, merkt man erst, wenn der Schadensfall eintritt. Leider kann gilt auch hier: there ist no glory in prevention.

    • Lukas sagt:

      Ab 1.1.2022 gillt KRITIS für alle Krankenhäuser, siehe § 75c SGB V.
      (1) Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.
      (2) Die Krankenhäuser können die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.
      (3) Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen haben.

  5. Anonymous sagt:

    Tja und wieder kann man nur sagen, es wird Zeit mehr Personal und Geld für IT bereitzustellen. Es wird Zeit unsere Bildung auf ein Niveau zu bringen das qualitfizierte Fachkräfte in diesem Bereich hervorbringt. Löhne die diese Fachkräfte dann auch im Job und Land halten wären auch nicht verkehrt. Oder einfach Mal ein bisschen Anerkennung für ITler wäre auch nicht schlecht. Aber selbst in der Pandemie und HomeOffice für alle waren alle außer der IT die Helden der Nation. Aber keine Sorge ich weiß wo das hinführt den auch in Zukunft wird Politik von Menschen ohne jegliche Ahnung gemacht. Unser Herr Laschi wird uns sicher mit neuen ungeahnten Tiefen der Dummheit und Unfähigkeit überraschen. Ich denke die Forderungen aus der Politik werden in Richtung Great Firewall gehen. Wie praktisch das die Totalüberwachung dann als Nebenprodukt abfällt. Kann doch niemand was dagegen haben kritische Einrichtungen vor den bösen Russen oder Chinesen zu schützen. Die Möglichkeit solche Systeme gar ncht erst am Internet zu betrieben ist natürlich zu einfach.

    Ich finde eigentlich auch falsch von einem Hackerangriff zu sprechen. Den Angriff ist für mich eher etwas aktives.

    • Lukas sagt:

      Da kann passieren was will, ändern wird sich nichts. Bin ja immer froh, dass es so viele leichte Beute gibt, da sind dann auch nur ansatzweise abgesicherte Systeme nicht so attraktiv für die Angreifer.

  6. Foegi sagt:

    Mich würde die Vorgangsweise der Hackergruppe mehr interessieren. Sind sie tatsächlich über Sicherheitslücken in das System eingedrungen oder hat ein Mitarbeiter auf einen Link in einem Mail geklickt oder gar noch ganz klassisch einen USB Stick auf den Parkplatz gefunden und angeschlossen?

  7. Steter Tropfen sagt:

    Der Kernsatz für mich lautet „auf manche Annehmlichkeit verzichten". Das trifft den Punkt.
    Es ist ja immer dieses Bequemlichkeits-Argument, das ins Feld geführt wird, wenn abstrakte Versprechen wie Effizienzsteigerung nicht zünden. Wo aber Faulheit die Motivation ist, ist Schluderei bei Sicherheit und Datenschutz geradezu vorprogrammiert.

    Lieber wieder manches ganz traditionell und bewährt von Hand machen, als sich durchautomatisiert und totalvernetzt einem nicht überschaubaren potentiellen Desaster auszuliefern. Ein wirklich abgesichertes und ständig gepflegtes System spart nämlich gar nicht so viel Zeit und Personal ein, es bindet sie nur an anderer Stelle als vorher.

    • Anonymous sagt:

      Gerade Faulheit und Unzuverlässigkeit sind wirklich ein großes Problem in diesem Kontext. Daten weren in Google Spreadsheets gespeichert, weil dann im Notfall mal schnell jemand anders damit arbeiten könnte. Dabei würde eigentlich oft die Speicherung lokal und sogar komplett offline ausreichen. Daten müssen jederzeit und überall abrufbar sein, dabei würde manchmal eine ordentliche Vorbereitung auf einen Termin oder ähnliches auch ausreichen. Klar sind Dinge wie HomeOffice äußerst angenehm. Aber Sicherheit und Bequemlichkeit sind nunmal zwei Dinge die auf den Unterschiedlichen Seiten der gleichen Skala liegen. Man versucht also oft ein Problem technisch zu lösen das eigentlich nicht technisch zu lösen wäre. Gut in diesem hier beschriebenen Fall ist das Einfallstor bestimmt wiedermal die Email gewesen und die ist wohl schwer wegzudenken. Aber der Grundgedanke, nicht jeder muss alles zu jederzeit an jedem Ort machen können solte öfter mit in die Überlegung mit einezogen werden. Nur ist cloud heute halt so fancy und …. :D

      • Niels sagt:

        Wenn man die E-Mail auf Text Only stellt und Anhänge sowie Hyperlinks pauschal entfernt könnte damit immer noch vieles gemacht werden und es würde einiges an Sicherheit gewonnen.

        Aber dann ist natürlich das Company Branding aus der Signatur weg….

  8. Lukas sagt:

    Meistens passiert sowas über Mails. Im konkreten Fall liegen aber wohl noch keine genauen Informationen vor, habe zumindest nichts gefunden.
    Von außen sind die meisten relativ gut abgesichert, ist man aber einmal drin (z.B. über Mail) haben die Angreifer meist leichtes spiel. Ausnahmen stellen Sicherheitslücken in extern veröffentlichen Diensten dar (siehe z.B. Exchange Hafnium).

Schreibe einen Kommentar zu Foegi Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.