Von Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4
In einem über Weihnachten bestätigten Ransomware-Vorfall auf ein Krankenhausnetzwerk in Deutschland waren drei Krankenhäuser der Katholischen Hospitalvereinigung Ostwestfalen (KHO) betroffen. Teile des Betriebs wurden vorübergehend eingestellt. Dieser Vorfall wirft ernsthafte Fragen über die Ethik von Ransomware-Banden auf. Insbesondere wenn es um lebenswichtige Institutionen wie Krankenhäuser geht.
Die Mitglieder der Ransomware-Gruppe scheinen die goldene Regel vergessen zu haben – Krankenhäuser nicht anzugreifen. Es ist eine Sache, einen normalen Geschäftsbetrieb zu beeinträchtigen. Aber ein Unternehmen anzugreifen, in dem das Leben eines Menschen buchstäblich in Gefahr sein könnte, weil ein System nicht verfügbar ist? Das ist nicht nur unethisch, sondern schlichtweg unmenschlich.
Der Vorfall ereignete sich laut der offiziellen Ankündigung am frühen Morgen des 24. Dezembers. Das hat dazu geführt, dass alle Systeme aus Sicherheitsgründen heruntergefahren wurden. Das Ausmaß des Schadens ist noch unklar. Ausden Notizen über die verfügbaren Dienste lassen sich jedoch einige Auswirkungen ableiten. In der Ankündigung heißt es, dass die Patientenversorgung weiterhin gewährleistet war und der Klinikbetrieb mit leichten technischen Einschränkungen weiterlief. Allerdings hatten sie sich aus Sicherheitsgründen von der Notfallversorgung abgemeldet.
Besorgniserregend ist die Tatsache, dass Krankenhäuser als kritische Infrastrukturen und deren Dachorganisationen als Betreiber betrachtet werden sowie von solchen Ransomware-Angriffen ausgenommen sind. Doch offenbar respektierten die Angreifer diese ethische Grenze nicht.
Die Ransomware Lockbit 3.0 wird als Service angeboten, deshalb liegt es an den Ablegern, den Angriffsvektor ihrer Wahl zu nutzen. Viele dieser Partner der Cyberkriminellen nutzen Dark- und Clear-Web-Dienste wie OLVX. Damit bleibt der Zugang über kompromittierte Anmeldedaten eines der wichtigsten Einfallstore und dies geschieht über klassische Social Engineering-Techniken. Dabei ist es den Cyberkriminellen zunächst einmal egal, ob sie einen privaten oder unternehmens-E-Mail-Account übernommen haben.
Am Ende bleibt die Erkenntnis, dass die Grundlagen wie die Einführung einer Multi-Faktor-Authentifizierung und die Beachtung von E-Mailsicherheitsregeln noch immer den besten Schutz vor Phishing & Co. darstellen. Letzteres gelingt am besten in Form von Security Awareness Trainings. Dadurch sind Nutzer in der Lage, bösartige Phishing-E-Mails und Social Engineering-Taktiken als das zu erkennen, was es wirklich ist – der Ausgangspunkt für einen Cyberangriff. Die Schulungen sollten immer unter der Prämisse durchgeführt werden, dass sie als Mehrwert und nicht als Zwang verstanden werden. Mitarbeiter verändern ihr Verhalten langfristig nur dann, wenn sie motiviert bleiben.
