Erst Medatixx, nun Compugroup Medical (CGM) – und wer ist als nächstes dran? Ransomware-Attacken, bei denen die Angreifer Daten verschlüsseln und nur gegen ein Lösegeld wieder freigeben, werden auch im Gesundheitswesen immer häufiger. Wie schwer es den Marktführer unter den Praxisverwaltungssystemen (PVS) erwischt hat, ist noch nicht abzusehen. Aber Apotheken tun gut daran, sich selbst bereits auf solche Szenarien vorzubereiten.
Bei CGM ist weiter landunter: Der börsennotierte Konzern für Gesundheits-IT arbeitet weiterhin die Ransomware-Attacke auf, deren Opfer er diese Woche geworden ist. Die Erreichbarkeit ist weiter eingeschränkt, auch wenn die Verfügbarkeit interner Systeme wie E-Mail und Telefon sich nach Unternehmensangaben mittlerweile verbessert haben. „Die CGM hat rasch reagiert und Notfall-Rufnummern sowie E-Mail-Adressen eingerichtet. Damit ist es gelungen, einen ersten Anteil unserer Dienste und Hotlines einsatzfähig und für unsere Kunden erreichbar zu machen“, so das Softwarehaus.
Es ist aber einiges zu tun, bis es bei CGM wieder rund läuft. Wie viel genau, das ist von außen kaum einzuschätzen, sagt der IT-Sicherheitsexperte Martin Tschirsich. „Wir wissen nur, dass die CGM selbst sagt, dass sie Opfer einer Ranswomware-Attacke geworden sind. Das Problem ist, dass wir nicht genau wissen, wann der Angriff entdeckt wurde.“ Denn das könne enorme Auswirkungen auf die Folgen der Attacke haben: Normalerweise liefen solche Angriffe so ab, dass zu Beginn jemand eine Sicherheitslücke im System findet und eine sogenannte Backdoor einrichtet, also einen Hintereingang, durch den Angreifer unerkannt eindringen können, erklärt Tschirsich. In den meisten Fällen sei das aber nicht die Person oder Personengruppe, die dann den Angriff durchführt.
„Normalerweise verkauft diese Person dann den Zugang zum System dann an die eigentlichen Angreifer“, erklärt Tschirsich. „Die schauen sich dann meist erst einmal lateral um, schauen quasi links und rechts, wie weit sie im System kommen, und versuchen dabei, Daten abzugreifen, die sie zu Geld machen können.“ Eine Ransomware zu installieren, sei dann üblicherweise erst der letzte Schritt eines längeren Angriffs. „Wir wissen aber nicht, wie genau es bei der Compugroup abgelaufen ist.“
Das Unternehmen selbst gibt zumindest mit Blick auf Kundendaten vorsichtig Entwarnung: „Eine erste Schadensanalyse hat ergeben, dass der Angriff keine Auswirkungen auf Kundensysteme oder Kundendaten hatte.“ Die Integrität der Daten und die Verfügbarkeit der Kundensysteme habe für CGM höchste Priorität. „Wir überwachen weiterhin alle Systeme genau und arbeiten mit allen relevanten Behörden zusammen.“ Vor diesem Hintergrund sei es womöglich auch die stark eingeschränkte Erreichbarkeit per Mail und Telefon erklärbar, sagt Tschirsich – denn es wäre logisch und nachvollziehbar, wenn CGM selbst den Stecker gezogen hat.
„Die Reaktion der Compugroup ist drastisch, aber es ist vermutlich richtig, erst einmal einen Rundumschlag durchzuführen, also alles vom Netz zu nehmen und eine forensische Analyse durchzuführen“, sagt Tschirsich. „Telefonanlagen laufen ja meist über ein eigenes V-Lan-Netz, und wir wissen natürlich nicht, wie gut dessen Isolierung bei CGM ist. Es ist üblich, dass das IT-Sicherheitssystem im Falle einer solchen Attacke erst einmal die gesamte Kommunikation nach außen kappt.“
Denn inzwischen verschlüssele moderne Ransomware nicht nur Daten im betroffenen System, sondern exfiltriere sie, um sie dann an den Meistbietenden zu versteigern. „Das findet dann auf Auktionsplattformen im Darknet statt, wo man dann seine eigenen Daten zurückkaufen kann oder sie an einen Dritten gehen.“
Das Interesse Dritter – und entsprechend ihr Wille, Geld zu investieren – sei normalerweise recht gering, es sei hauptsächlich die Drohung, Daten zu veröffentlichen, mit denen die Kriminellen die Opfer zur Zahlung bewegen wollen. Deshalb sei es wichtig, möglichst schnell die Schotten zu schließen, um den (eventuell weiteren) Datenabfluss zu stoppen und andererseits zu unterbinden, dass der oder die Angreifer weiter von außen auf das System zugreifen können.
Ausgerechnet CGM, könnte man nun sagen: Neben Noventi und Medatixx ist der Koblenzer Konzern eines der größten Softwarehäuser im Gesundheitswesen und selbst Experte für IT-Sicherheit. „Dass es gerade CGM als Brancheriesen trifft, ist symptomatisch, denn je größer man ist, desto mehr Angriffsfläche bietet man“, so Tschirsich. „Das zeigt, wie wichtig es ist, dass wir nicht davon ausgehen können, dass ein spezialisierter Dienstleister nicht betroffen sein kann. Das ist keine Frage des Fachwissens.“ Einen größeren Trend wolle er aber vorerst noch nicht ableiten. „Dass es mit Medatixx und CGM gleich zweimal hintereinander große Unternehmen im Gesundheitswesen trifft, ist noch im stochastischen Rauschen.“
Fakt ist aber, dass insbesondere Ransomware-Attacken in der jüngeren Vergangenheit enorm zugenommen haben. Allein in diesem Jahr gab es eine Reihe spektakulärer Angriffe quer durch alle Sektoren, die teils international Probleme verursacht haben, vom IT-Dienstleister Kaseya über den Landkreis Bitterfeld in Sachsen-Anhalt bis zur Haftpflichtkasse VVaG in Darmstadt. Und das waren nur die größeren Fälle. Laut einer Untersuchung des IT-Sicherheitsunternehmens Deep Instinct hat sich die Zahl von Ransomware-Angriffen in den vergangenen zwei Jahren verachtfacht. Allein im ersten Halbjahr 2021 gab es demnach einen Anstieg von 244 Prozent. Und davon dürften zunehmend auch kleinere, aber technisch gut vernetzte Betriebe mit wertvollen Datenbeständen betroffen sein – wie Apotheken, die gut daran tun, sich so schnell wie möglich gegen die Gefahren solcher Angriffe zu versichern.
Auch Tschirsich geht davon aus, dass in naher Zukunft auch weitere Unternehmen betroffen sein können – speziell im Gesundheitswesen, wo mit besonders sensiblen, ergo wertvollen Daten, hantiert wird. „Das war vorhersagbar und ich würde mich wundern, wenn es in Zukunft nicht weitere große Unternehmen im Gesundheitswesen trifft.“ Bisher seien eher Leistungserbringer betroffen gewesen, aber Fälle in den USA und Dänemark würden zeigen, dass auch Gesundheitsbehörden ins Fadenkreuz geraten können.
Wichtig sei deshalb vor allem, dass Unternehmen und Behörden auf eine gute IT-Sicherheitsarchitektur achten. „Das Stichwort Zero Trust ist so ein Thema, das jüngst auch die Gematik immer wieder betont.“ Dahinter verbirgt sich die Idee, dass die einzelnen Segmente eines Systems schon im Vorfeld möglichst isoliert werden und nicht unnötig in Verbindung stehen sowie dass auch interne Zugriffe kontrolliert werden, erklärt Tschirsich. „Es reicht nicht, in einem sicheren System zu sein, sondern wir müssen auch sicherstellen, dass alle Komponenten voreinander sicher sind.“
APOTHEKE ADHOC Debatte