Was tun nach schwerem Cyberangriff?

Am 17.11.2022 entdeckten Administratoren des Klinikums Anzeichen für einen Cyberangriff: Sie konnten sich nicht mehr in die Systeme einloggen und die Berechtigungen einiger Nutzer waren verändert. Als klar war, dass Hacker am Werk sind, wurde der Security-Dienstleister indevis direkt hinzugezogen. Zusammen mit Grant Thornton, einem Spezialisten für Cyber-Forensik, nahm indevis am 18.11.2022 die Arbeit auf. Da das Klinikum Lippe als kritische Infrastruktur (KRITIS) eingestuft ist, zog man außerdem unter anderem das Landeskriminalamt NRW, Kriminalpolizei sowie informativ das Bundesamt für Sicherheit in der Informationstechnik (BSI) hinzu.

Sicherheitsniveau war hoch

„Zum Zeitpunkt des Angriffs waren im Klinikum bereits eine ganze Reihe von Security-Maßnahmen im Aktivbetrieb. Das Netzwerk war segmentiert und die Firewalls scharf, das Sicherheitsniveau war hoch. Aber die Angriffe höchstprofessioneller internationaler Hacker-Gruppen zeigen immer mehr, dass jenseits des defensiven Schutzes auch weitere Maßnahmen zur schnellen Angriffserkennung und -abwehr notwendig werden. Nur so kann der Schaden bestmöglich minimiert werden“, sagt Constantin Schlachetzki von indevis.

Um die Auswirkungen des Angriffs einzudämmen, nahmen die Experten die webbasierten Services des Klinikums erst einmal vom Netz. Dann isolierte der Dienstleister infizierte Netzwerkteile, um die Verbreitung der Schadsoftware zu vermeiden. Parallel starteten mit Unterstützung eines Unterhändlers des Landeskriminalamts Verhandlungen mit den Hackern. Glücklicherweise erhielt das Klinikum auf diesem Weg den digitalen Schlüssel für die gesperrten Daten.

Härtung der Gesamtarchitektur

Um zu verhindern, dass solch ein Angriff erneut passiert, starteten die IT-Experten den Wieder- beziehungsweise Neuaufbau des Netzwerks. Der Dienstleister versuchte dabei, möglichst viele Bestandssysteme zu retten. Der Sicherheit geschuldet mussten jedoch einige Komponenten neu aufgesetzt werden. Außerdem implementierte indevis nun eine mehrschichtige Verteidigung zur Härtung der Gesamtarchitektur. Dadurch sinkt die Wahrscheinlichkeit, dass sich so ein Angriff auf das Klinikum wiederholt. „Unser Ziel war es, parallel zu den forensischen und kriminaltechnischen Maßnahmen mit dem Wiederaufbau zu beginnen, um zu jeder Zeit die Auswirkungen auf den IT-Betrieb so gering wie möglich zu halten. Unser Consulting-Team hat langjährige Erfahrung mit der schnellen Umsetzung von IT-Security-Lösungen in hochkritischen Situationen und konnte so kurzfristig alle notwendigen Maßnahmen implementieren“, erklärt Constantin Schlachetzki.

Zu den neu implementierten Security Services gehört unter anderem Palo Alto Cortex XDR (Extended Detection and Response). Das XDR ist Teil des Services Managed Detection and Response (MDR) von indevis. Security-Profis überwachen hier den Netzwerk-Traffic und greifen bei verdächtigen Aktivitäten direkt ein. „Mit einer MDR-Lösung können Angriffe noch frühzeitiger gebremst werden. Security-Profis wissen, worauf sie achten müssen, denn sie kennen das Vorgehen der Angreifer. „’Nur‘ Firewalls sind schon einfacher zu überwinden“, erläutert Constantin Schlachetzki.

Einige Systeme konnten nach kurzer Zeit wieder online gehen. Grundfunktionen wie die Patientendatenverwaltung ließen sich wieder digital ausführen. „Wir waren erleichtert, dass die Experten uns unmittelbar helfen und wir in enger Zusammenarbeit Teilsysteme schnell wieder in Betrieb nehmen konnten“, sagt Dr. Johannes Hütte, Geschäftsführer und Sprecher des Klinikums Lippe.