Anzeige

Gesundheitswesen Security

Vor jenem Anruf im Oktober 2018 hatte Florian Diebel noch nie etwas von der Windows Defender Advanced Threat Protection (WDATP) gehört. Und auch nicht von der gefährlichen Ransomware GandCrab 5.3, die, wie er am Telefon erfuhr, gerade die IT seiner Klinik angriff.

Das musste er auch nicht. Denn der Geschäftsführer der Krankenhaus GmbH Weilheim-Schongau hatte erfahrene Experten zur Seite – sowohl in der hauseigenen IT-Abteilung als auch bei sepago, einem Microsoft Elite Partner im Bereich Cyber Security. Gemeinsam bekamen sie die Situation innerhalb von nur 72 Stunden in den Griff – drei aufregende Tage mit wenig Schlaf für alle Beteiligten.

Die Herausforderung: Ein unbekannter Angreifer und der Shutdown

Im Gesundheitswesen und erst recht im Krankenhaus findet vieles digital statt“, sagt Florian Diebel. „Aus der Karteikarte von früher ist die digitale Akte geworden. Hat der Patient in der Aufnahme erst mit seiner Gesundheitskarte eingecheckt, läuft über unser Krankenhausinformationssystem KIS alles zusammen. Röntgenbilder, Laborergebnisse, Medikation, OP-Daten. Im Klinikalltag sind wir darauf angewiesen, dass alles reibungslos funktioniert.“ Mit insgesamt 340 Betten gehören die beiden Kliniken in den oberbayerischen Orten Weilheim und Schongau zu den eher kleinen Häusern. Neben der Notversorgung haben sich die Mediziner über Jahre einen guten Namen in der Endoprothetik, der Gefäßchirurgie und der Akutgeriatrie gemacht. „Unsere geringe Größe ermöglicht uns eine gewisse Exklusivität. Die Menschen in der Region vertrauen uns, wir sind gut ausgelastet.“

So auch an dem Tag, an dem Florian Diebels Smartphone klingelte. „Die Systeme im Krankenhaus laufen nicht stabil“, hieß es. Ein Mitarbeiter hatte leichtfertig den Anhang einer privaten E-Mail geöffnet. Er dachte, es wäre eine Rechnung. Tatsächlich war es aber ein Krypto-Trojaner, der sofort Zugang zu den internen Laufwerken erlangte und damit begann, Files zu verschlüsseln. Rasend schnell mit dem Ziel, maximalen Schaden anzurichten. Immer versehen mit einer Zahlungsaufforderung in Bitcoins. Florian Diebel traf gemeinsam mit seinen IT-Administratoren die Entscheidung, umgehend alle Systeme herunterzufahren.

Und das im laufenden Krankenhausbetrieb. „Das lief sehr geordnet. Wir sind vertraut mit kritischen Situationen, schalten uns zusammen, beurteilen die Lage und ergreifen Maßnahmen. Hier kamen wir aber alleine nicht weiter.“ Die Cyber Security Spezialisten von sepago wurden alarmiert. Weil die steigende Anzahl vernetzter Geräte immer neue Angriffspunkte auf Unternehmensnetzwerke schafft, bietet die IT-Beratung neben präventivem Security Consulting auch ein sogenanntes Security Operation Center, das im Krisenfall Angreifer aufspürt und eliminiert. Das wichtigste Werkzeug der Cyber Hunter: die Windows Defender Advanced Threat Protection (WDATP) – eine Lösung aus dem Enterprise Mobility + Security Portfolio von Microsoft 365.

Die Lösung: Big Data Echtzeitanalyse, künstliche Intelligenz und eine Verhaftung

„Wir haben unser Incident Response Team zusammengestellt und die Jungs innerhalb von einer Stunde von Köln und München auf die Autobahn Richtung Süden gebracht", sagt Alexander Benoit, Lead Security Analyst bei der sepago GmbH. Beim Kickoff Meeting im Krankenhaus waren neben sepago, der Klinikleitung und der IT auch Beamte von Interpol dabei – ein Standardprozedere bei zur Anzeige gebrachten Cyberangriffen. „Im ersten Schritt haben wir die cloudbasierte WDATP ausgebracht, um zu verhindern, dass sich der Schädling weiter ausbreitet“, so Benoit weiter.

Die Suche nach „Patient 0“ begann – so wird der Rechner genannt, der zuerst befallen wurde. Als der gefunden und der Schadcode extrahiert war, übernahm das Security Operation Center von sepago in Köln mit der IT-Forensik. „Unsere Cyber Security Experten haben die Nacht durchgearbeitet. Sie nutzten die verhaltensbasierte Erkennung von Windows Defender mit Advanced Hunting. Immer wieder standen wir auch im direkten Kontakt mit den Microsoft Entwicklerteams in Israel – ein Service, den nur Microsoft Elite Partner bieten können: Wir haben einen sehr engen Kontakt zu Microsoft und intensiv Feedback bei der Weiterentwicklung der Lösung eingebracht. Über die Machine Learning Module in der Azure Cloud konnten wir den Schädlingstyp GandCrab 5.3 identifizieren und schnell Maßnahmen ergreifen.“

Schon am Abend des zweiten Tages fing sepago nach Bereinigung und Recovery an, die Umgebung sukzessive wieder hochzufahren. „Die Patienten haben von alldem nichts bemerkt“, sagt Florian Diebel. „Wir haben auf Handbetrieb umgestellt: Die Gesundheitskarten kamen nicht ins Lesegerät, sondern wurden abgeschrieben. Jede Information wurde handschriftlich festgehalten und anschließend im System nachgetragen – das hat uns einiges an Zeit gekostet. Aber ansonsten ist nichts passiert. Wir haben keinerlei Daten verloren.“ Alexander Benoit lobt das gute Backup-Management des Krankenhauses: „Die Sicherung ist komplett getrennt von der Arbeitsumgebung – das ist eher selten. Außerdem hat die IT extrem schnell und gut reagiert.“

Nicht nur während der kritischen 72 Stunden hielt Florian Diebel seine Belegschaft über den aktuellen Stand auf dem Laufenden. Auch im Nachgang machte er den Vorfall transparent – in Betriebsversammlungen, im Mitarbeiter-Magazin, in Führungskräfte-Meetings. „Wir haben die IT-Sicherheit ganz oben angestellt. Der Vorfall hat uns gezeigt, was es bedeutet, angreifbar zu sein“, sagt Diebel. Seitdem sind kritische Systeme konsequent mit WDATP ausgestattet – der nächste Schritt ist der Rollout von Office 365 Advanced Threat Protection und Azure Advanced Threat Protection, um die Krankenhäuser in Weilheim und Schongau vor ähnlichen oder gar schlimmeren Angriffen zu schützen. „Moderne Schadsoftware ist polymorph", warnt Stratos Komotoglou, Manager Modern Workplace Security bei Microsoft Deutschland. „Sie kann bei Übertragung auf ein Gerät ihre Form verändern, und ist dadurch nur schwer von herkömmlichen Antivirenprogrammen zu entdecken.

Um sich vor hochentwickelten Gefahren zu wappnen, müssen Unternehmen zeitgemäße Anti-Phishing-Lösungen implementieren, die auch auf solche Angriffe vorbereitet sind und hierfür Technologien wie künstliche Intelligenz (KI) und Machine Learning (ML) einsetzen."

Und noch zwei Personalien zum Happy End: Der Mitarbeiter, der die Malware freigesetzt hat, arbeitet immer noch im Haus und ist nun sehr sensibel was das Öffnen von Dateianhängen angeht. Und: Nur kurze Zeit nach dem Angriff klickten irgendwo in Osteuropa die Handschellen: Interpol konnte den verantwortlichen Hacker ausfindig machen. Dank sepago und Windows Defender Advanced Threat Protection von Microsoft.

Irene Nadler, Communication Manager Windows und Devices
Irene Nadler
Communication Manager Windows und Devices, Microsoft Deutschland GmbH

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

KI Security
Mai 25, 2020

KI-getriebene Security: Automatisierte Bedrohungsanalyse in Sekundenbruchteilen

Unternehmen befinden sich in einem ständigen Kampf gegen immer raffinierter werdende…
Corona
Mai 15, 2020

Globaler Anstieg von Ransomware- und Cyberangriffen auf das Gesundheitswesen

Inmitten der Covid-19-Pandemie stehen die Gesundheitssysteme weltweit unter Druck –…
Ransomware
Mai 06, 2020

Das schwächste Glied gegen Ransomware ist mangelnde Vorbereitung

Eine der größten Cyber-Bedrohungen der heutigen IT-Welt ist die zunehmende Verbreitung…

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!