Ransomware-Angriff auf Fresenius

Der börsennotierte Gesundheitskonzern Fresenius ist Opfer einer Cybercrime-Attacke geworden, die die Produktion an einigen Standorten zeitweise behinderte. Vermutlich kam Ransomware zum Einsatz,

Fresenius startet trotz Covid-19-Pandemie gut ins Jahr 2020“ teilte der Gesundheitskonzern aus Bad Homburg gestern bei der Vorstellung seiner Quartalszahlen mit. Die erfolgreiche Cybercrime-Attacke wurde dabei mit keinem Wort erwähnt.

Firmensprecher Steffen Rinas hat den Vorfall auf Anfrage von ZDNet bestätigt, betont aber, dass „unsere Produktion insgesamt mit gewissen Einschränkungen fortgesetzt werden kann und auch die Versorgung der Patientinnen und Patienten in unseren Krankenhäusern und Dialyseeinrichtungen jederzeit gewährleistet ist. Zudem hatten wir zwar bestätigt, dass die IT-Sicherheit von Fresenius auf Rechnern des Unternehmens ein Computervirus festgestellt hat. Über die Art der Schadsoftware hatten wir indes keine Aussage getroffen. Zum Thema Datenschutz der Hinweis, dass in unserem Fall nach aktuellem Kenntnisstand kein unbefugter Zugriff auf Patienten- oder Kundendaten bestand.“

Zuvor hatte Matt Kuhn, Senior Director, Communications & Government Affairs beim US-Tochterunternehmen Fresenius Kabi LLC, eine schriftliche Stellungnahme abgegeben: „Ich kann bestätigen, dass die IT-Sicherheit von Fresenius einen Computervirus auf Firmencomputern entdeckt hat. Als Vorsichtsmaßnahme gemäß unserem Sicherheitsprotokoll, das für solche Fälle erstellt wurde, wurden Maßnahmen ergriffen, um eine weitere Verbreitung zu verhindern. Wir haben auch die zuständigen Ermittlungsbehörden informiert, und obwohl einige Funktionen innerhalb des Unternehmens derzeit eingeschränkt sind, wird die Patientenbetreuung fortgesetzt. Unsere IT-Experten arbeiten weiter daran, das Problem so schnell wie möglich zu lösen und einen möglichst reibungslosen Ablauf zu gewährleisten“.

Der Angriff auf Fresenius steht inmitten immer gezielterer Angriffe auf Gesundheitsdienstleister, die an vorderster Front im Kampf gegen die COVID-19-Pandemie stehen. Im April warnte die internationale Polizeiorganisation Interpol davor, dass „die Zahl der versuchten Lösegeld-Angriffe gegen wichtige Organisationen und Infrastrukturen, die an der Reaktion auf das Virus beteiligt sind, deutlich zugenommen hat“. Cyberkriminelle benutzen Ransomware, um Krankenhäuser und medizinische Einrichtungen digital als Geiseln zu halten und verhindern so den Zugriff auf wichtige Dateien und Systeme, bis das Lösegeld bezahlt ist.

ANZEIGE

So schützen Sie Ihre Unternehmensdaten vor Ransomware

Angriffe durch Cyberkriminelle schaden nicht nur dem Image des attackierten Unternehmens, sondern stellen in vielen Fällen auch eine finanzielle Belastung dar. Inzwischen erreicht die jährliche Schadenssumme mehrere Milliarden Euro. Erfahren Sie in diesem Webinar, wie Sie Ihr Unternehmen gegenüber Ransomware-Angriffen immunisieren.

Wie KrebsOnSecurity berichtet, warnte am Dienstag die Cybersecurity and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums zusammen mit dem National Cyber Security Centre Großbritanniens vor sogenannten „Advanced Persistent Threat“ (APT) Gruppen – staatlich geförderte Hacker-Teams -, die aktiv gegen Organisationen vorgehen, die an nationalen und internationalen COVID-19-Reaktionen beteiligt sind.

„APT-Hacker nehmen häufig Organisationen ins Visier, um in großem Umfang persönliche Daten, geistiges Eigentum und Informationen zu sammeln, die den nationalen Prioritäten entsprechen. Die Pandemie hat wahrscheinlich zusätzliches Interesse bei den Angreifern geweckt, Informationen im Zusammenhang mit COVID-19 zu sammeln. Beispielsweise können die Akteure versuchen, Informationen über die nationale und internationale Gesundheitspolitik zu erhalten oder sensible Daten über Forschungsarbeiten im Zusammenhang mit COVID-19 zu beschaffen“.

Einst von vielen als isolierte Erpressungsangriffe betrachtet, sind Lösegeldforderungen für viele Opferunternehmen de facto zu Datenverstößen geworden. Das liegt daran, dass einige der aktiveren Ransomware-Banden sich dazu entschlossen haben, riesige Datenmengen von Zielen herunterzuladen, bevor sie die Lösegeld-Software in ihre Systeme einschleusen. Ein Teil oder die Gesamtheit dieser Daten wird dann auf Opfer-Shaming-Sites veröffentlicht, die von den Lösegeld-Banden eingerichtet wurden, um die betroffenen Unternehmen zur Zahlung zu drängen. Vor dieser neuen Art von Ransomware-Angriffen hat diese Woche bereits Microsoft gewarnt.

Sicherheitsforscher sagen, dass die „Snake Ransomware“, die wahrscheinlich beim Angriff auf Fresenius benutzt wurde, einzigartig ist. Sie versucht nämlich, IT-Prozesse zu identifizieren, die mit Unternehmensmanagement-Tools und groß angelegten industriellen Kontrollsystemen (ICS) verbunden sind, wie etwa Produktions- und Fertigungsnetzwerke.

Zwar haben sich einige Ransomware-Gruppen, die auf Unternehmen abzielen, laut KrebsOnSecurity öffentlich verpflichtet, während der Dauer der Pandemie keine Anbieter im Gesundheitswesen anzugreifen, aber die Attacken auf medizinische Versorgungseinrichtungen gingen dennoch weiter. Ende April wurde das Parkview Medial Center in Pueblo, Colorado/USA von einem Ransomware-Angriff getroffen, der Berichten zufolge das System des Krankenhauses zur Speicherung von Patienteninformationen funktionsunfähig machte.

Ilia Kolochenko, Gründer & CEO des Web-Sicherheitsunternehmens ImmuniWeb, Master of Legal Studies (WASHU) & MS Criminal Justice and Cybercrime Investigation (BU), kommentiert: „Dieser empörende Vorfall ist eine Bestätigung der Warnung des FBI, kein Lösegeld zu zahlen. Berichten zufolge hat Fresenius bereits in der Vergangenheit ein siebenstelliges Lösegeld gezahlt, um sich von einem ähnlichen Anschlag zu erholen. Offensichtlich hat eine solch großzügige Zahlung skrupellose Cyberkriminelle nicht gleichgültig gelassen.

Stattdessen haben sie dieses anfällige Opfer inmitten der Krise auf perfide Weise erneut angegriffen. Im Bewusstsein der sozialen Herausforderungen von COVID-19 riefen einige Cyberbanden entschieden dazu auf, sich aller Angriffe auf medizinische und gesundheitliche Organisationen zu enthalten, aber es überrascht nicht, dass sich nicht jeder an diesen Robin-Hood-Ehrenkodex hält.

Solange die Einzelheiten der Untersuchung der Angriffe nicht offengelegt werden, wäre es verfrüht, endgültige Schlussfolgerungen zu ziehen. Es gibt jedoch mehr Fragen als Antworten, da es sich um einen zweiten erfolgreichen und groß angelegten Angriff handelt, wie einige Quellen berichten. Es ist unklar, ob grundlegende Sicherheitsprozesse vorhanden waren und sind, wie z.B. ganzheitliches Patch-Management und Netzwerktrennung, aber es scheint, dass letztere, selbst wenn die Antwort bejaht wird, weitgehend unzureichend sind.

Im Moment ist ebenfalls nicht erkennbar, ob während des Angriffs medizinische Aufzeichnungen gestohlen wurden. Das schlimmste Szenario wäre, wenn die Daten extrahiert wurden und jetzt im Falle einer eventuellen Weigerung, Lösegeld zu zahlen, veröffentlicht werden könnten. Die Cyberkriminellen haben ihre Lösegeldkampagnen nun auf die nächste Stufe gehoben, indem sie drohen, die Daten nicht nur zu löschen, sondern sie offen zu legen.“

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: Fresenius, Immuniweb, Ransomware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu Ransomware-Angriff auf Fresenius

Kommentar hinzufügen
  • Am 9. Mai 2020 um 11:43 von Robert

    Schon mal einen siebenstelligen Betrag bezahlt..und damit sich nur kurze Zeit erkauft… sind hier wirklich nur naive am Steuer? Wo wurden den die Summen wieder eingespart..bei den Mitarbeitern natürlich, wo denn sonst. Es herrscht bei der Kabi Sparte sowieso ein immenser spar und Kostendruck.Die Mitarbeitern werden hier sowieso nur noch als leider notwendige kostenstelle benötigt.Respekt und Fürsorge sind mit dem Führungswechsel in den letzten Jahren abhanden gekommen. Es herrscht eine regelrechte Angst und Profilierungskultur. Aber Hauptsache der schlechte Aktienkurs wird schön geredet. Man kann nur den Kopfschütteln was aus einem guten deutschen Konzern geworden ist…Amerikanische Verhältnisse sind das mittlerweile.

  • Am 8. Mai 2020 um 13:39 von C

    Der Punkt ist wohl, dass hier der Wille und die Fähigkeit fehlt, derartige Personen zu identifizieren – und zu neutralisieren.

    Auch die Malware-Schreiber kochen nur mit Wasser. Sicherlich besser als jeder Durchsnittsbürger, aber trotzdem Wasser. Wenn man es wirklich will, kann man sochle Leute dingfest machen. Auch über Grenzen hinweg.

  • Am 7. Mai 2020 um 23:08 von Henning Uhle

    Die Frage, die dahinter steht, ist doch, wer so unverschämt ist, solche Anbieter anzugreifen. Vielleicht war es auch eine Art „Malware-as-a-Service“. Ich meine, die Branche ist derzeit sehr lukrativ. Warum sollte nicht ein direkter Wettbewerber etwas beauftragt haben?
    In meinem Blog hatte ich auch darüber geschrieben: https://www.henning-uhle.eu/informatik/ransomware-die-hinterhaeltigen-angriffe

  • Am 7. Mai 2020 um 12:04 von DWE

    Man sollte die Gesetzeslage anpassen und Angriffe auf kritische Infrastrukturen als Terrorakt einstufen, möglicherweise würde die Aussicht auf ein mögliches Strafmaß bei einigen dann etwas bewirken.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *