Ransomware-Angriff auf Fresenius

„Fresenius startet trotz Covid-19-Pandemie gut ins Jahr 2020“ teilte der Gesundheitskonzern aus Bad Homburg gestern bei der Vorstellung seiner Quartalszahlen mit. Die erfolgreiche Cybercrime-Attacke wurde dabei mit keinem Wort erwähnt.

Firmensprecher Steffen Rinas hat den Vorfall auf Anfrage von ZDNet bestätigt, betont aber, dass „unsere Produktion insgesamt mit gewissen Einschränkungen fortgesetzt werden kann und auch die Versorgung der Patientinnen und Patienten in unseren Krankenhäusern und Dialyseeinrichtungen jederzeit gewährleistet ist. Zudem hatten wir zwar bestätigt, dass die IT-Sicherheit von Fresenius auf Rechnern des Unternehmens ein Computervirus festgestellt hat. Über die Art der Schadsoftware hatten wir indes keine Aussage getroffen. Zum Thema Datenschutz der Hinweis, dass in unserem Fall nach aktuellem Kenntnisstand kein unbefugter Zugriff auf Patienten- oder Kundendaten bestand.“

Zuvor hatte Matt Kuhn, Senior Director, Communications & Government Affairs beim US-Tochterunternehmen Fresenius Kabi LLC, eine schriftliche Stellungnahme abgegeben: „Ich kann bestätigen, dass die IT-Sicherheit von Fresenius einen Computervirus auf Firmencomputern entdeckt hat. Als Vorsichtsmaßnahme gemäß unserem Sicherheitsprotokoll, das für solche Fälle erstellt wurde, wurden Maßnahmen ergriffen, um eine weitere Verbreitung zu verhindern. Wir haben auch die zuständigen Ermittlungsbehörden informiert, und obwohl einige Funktionen innerhalb des Unternehmens derzeit eingeschränkt sind, wird die Patientenbetreuung fortgesetzt. Unsere IT-Experten arbeiten weiter daran, das Problem so schnell wie möglich zu lösen und einen möglichst reibungslosen Ablauf zu gewährleisten“.

Der Angriff auf Fresenius steht inmitten immer gezielterer Angriffe auf Gesundheitsdienstleister, die an vorderster Front im Kampf gegen die COVID-19-Pandemie stehen. Im April warnte die internationale Polizeiorganisation Interpol davor, dass „die Zahl der versuchten Lösegeld-Angriffe gegen wichtige Organisationen und Infrastrukturen, die an der Reaktion auf das Virus beteiligt sind, deutlich zugenommen hat“. Cyberkriminelle benutzen Ransomware, um Krankenhäuser und medizinische Einrichtungen digital als Geiseln zu halten und verhindern so den Zugriff auf wichtige Dateien und Systeme, bis das Lösegeld bezahlt ist.

Wie KrebsOnSecurity berichtet, warnte am Dienstag die Cybersecurity and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums zusammen mit dem National Cyber Security Centre Großbritanniens vor sogenannten „Advanced Persistent Threat“ (APT) Gruppen – staatlich geförderte Hacker-Teams -, die aktiv gegen Organisationen vorgehen, die an nationalen und internationalen COVID-19-Reaktionen beteiligt sind.

„APT-Hacker nehmen häufig Organisationen ins Visier, um in großem Umfang persönliche Daten, geistiges Eigentum und Informationen zu sammeln, die den nationalen Prioritäten entsprechen. Die Pandemie hat wahrscheinlich zusätzliches Interesse bei den Angreifern geweckt, Informationen im Zusammenhang mit COVID-19 zu sammeln. Beispielsweise können die Akteure versuchen, Informationen über die nationale und internationale Gesundheitspolitik zu erhalten oder sensible Daten über Forschungsarbeiten im Zusammenhang mit COVID-19 zu beschaffen“.

Einst von vielen als isolierte Erpressungsangriffe betrachtet, sind Lösegeldforderungen für viele Opferunternehmen de facto zu Datenverstößen geworden. Das liegt daran, dass einige der aktiveren Ransomware-Banden sich dazu entschlossen haben, riesige Datenmengen von Zielen herunterzuladen, bevor sie die Lösegeld-Software in ihre Systeme einschleusen. Ein Teil oder die Gesamtheit dieser Daten wird dann auf Opfer-Shaming-Sites veröffentlicht, die von den Lösegeld-Banden eingerichtet wurden, um die betroffenen Unternehmen zur Zahlung zu drängen. Vor dieser neuen Art von Ransomware-Angriffen hat diese Woche bereits Microsoft gewarnt.

Sicherheitsforscher sagen, dass die „Snake Ransomware“, die wahrscheinlich beim Angriff auf Fresenius benutzt wurde, einzigartig ist. Sie versucht nämlich, IT-Prozesse zu identifizieren, die mit Unternehmensmanagement-Tools und groß angelegten industriellen Kontrollsystemen (ICS) verbunden sind, wie etwa Produktions- und Fertigungsnetzwerke.

Zwar haben sich einige Ransomware-Gruppen, die auf Unternehmen abzielen, laut KrebsOnSecurity öffentlich verpflichtet, während der Dauer der Pandemie keine Anbieter im Gesundheitswesen anzugreifen, aber die Attacken auf medizinische Versorgungseinrichtungen gingen dennoch weiter. Ende April wurde das Parkview Medial Center in Pueblo, Colorado/USA von einem Ransomware-Angriff getroffen, der Berichten zufolge das System des Krankenhauses zur Speicherung von Patienteninformationen funktionsunfähig machte.

Ilia Kolochenko, Gründer & CEO des Web-Sicherheitsunternehmens ImmuniWeb, Master of Legal Studies (WASHU) & MS Criminal Justice and Cybercrime Investigation (BU), kommentiert: „Dieser empörende Vorfall ist eine Bestätigung der Warnung des FBI, kein Lösegeld zu zahlen. Berichten zufolge hat Fresenius bereits in der Vergangenheit ein siebenstelliges Lösegeld gezahlt, um sich von einem ähnlichen Anschlag zu erholen. Offensichtlich hat eine solch großzügige Zahlung skrupellose Cyberkriminelle nicht gleichgültig gelassen.

Stattdessen haben sie dieses anfällige Opfer inmitten der Krise auf perfide Weise erneut angegriffen. Im Bewusstsein der sozialen Herausforderungen von COVID-19 riefen einige Cyberbanden entschieden dazu auf, sich aller Angriffe auf medizinische und gesundheitliche Organisationen zu enthalten, aber es überrascht nicht, dass sich nicht jeder an diesen Robin-Hood-Ehrenkodex hält.

Solange die Einzelheiten der Untersuchung der Angriffe nicht offengelegt werden, wäre es verfrüht, endgültige Schlussfolgerungen zu ziehen. Es gibt jedoch mehr Fragen als Antworten, da es sich um einen zweiten erfolgreichen und groß angelegten Angriff handelt, wie einige Quellen berichten. Es ist unklar, ob grundlegende Sicherheitsprozesse vorhanden waren und sind, wie z.B. ganzheitliches Patch-Management und Netzwerktrennung, aber es scheint, dass letztere, selbst wenn die Antwort bejaht wird, weitgehend unzureichend sind.

Im Moment ist ebenfalls nicht erkennbar, ob während des Angriffs medizinische Aufzeichnungen gestohlen wurden. Das schlimmste Szenario wäre, wenn die Daten extrahiert wurden und jetzt im Falle einer eventuellen Weigerung, Lösegeld zu zahlen, veröffentlicht werden könnten. Die Cyberkriminellen haben ihre Lösegeldkampagnen nun auf die nächste Stufe gehoben, indem sie drohen, die Daten nicht nur zu löschen, sondern sie offen zu legen.“