Hackerangriff auf Universitätsklinikum Düsseldorf – Cyberkriminelle kamen über VPN-Schnittstelle

| @securityblog

SAST Blog: Hackerangriff auf Universitätsklinikum Düsseldorf - Cyberkriminelle kamen über VPN-SchnittstelleSept. 2020, Schlagzeilen gingen durch die Presse:

  • Hacker sind für den IT-Ausfall an der Uniklinik Düsseldorf verantwortlich.
  • Nach Angriff auf Uni-Klinik: Gegen Hacker wird nach Tod einer Frau ermittelt.
  • Hackerangriff auf UKD: Ermittlungen wegen fahrlässiger Tötung eingeleitet.

Die Folgen eines Hackerangriffs können fatal sein. Sie bedrohen nicht nur Daten, Güter und Werte, sondern gerade in öffentlichen Bereichen, wie im Gesundheitswesen, sogar Menschenleben.

 

Im Nachgang und während der Aufbereitung des Vorfalls wird der Ruf nach digitalen Schutzräumen laut. Gerade Kliniken als besonders schützenswerte kritische Infrastruktur (KRITIS) benötigen aktuelle Software und sachkundiges IT-Personal, um eine erhöhte IT-Sicherheit gewährleisten zu können.

Was am Universitätsklinikum Düsseldorf passiert ist

Der IT-Ausfall am UKD ist eindeutig auf einen Hackerangriff zurückzuführen. Die Täter haben ein Erpresserschreiben auf einem Server der Heinrich-Heine-Universität deponiert, in dem die Kriminellen zur Kontaktaufnahme aufforderten – eine Lösegeldforderung soll es nicht gegeben haben.

Das UKD war tagelang lahmgelegt, es konnte keine Notfallversorgung mehr sichergestellt und das Krankenhaus somit nicht von Rettungsdiensten angefahren werden. Die fatalste Folge: Eine Notfall-Patientin konnte nicht aufgenommen werden, man brachte Sie in die weiter entfernte Wuppertaler Klinik. Dort verstarb sie aufgrund der zu späten Behandlung. Die Staatsanwaltschaft nahm Ermittlungen wegen fahrlässiger Tötung gegen den/die Hacker auf.

Die Täter nutzten eine eigentlich längst behobene Schwachstelle in der VPN-Software von Citrix

Das UKD hatte die Sicherheitsproblematik in der betreffenden IT-Anwendung schon im Dezember 2019 erkannt und durchaus ernst genommen. Auch das zur Verfügung gestellte Software-Patch wurde bereits am Tag der Veröffentlichung eingespielt, sodass es aus Sicht des UKD keinen Hinweis auf eine Gefährdung gegeben hätte. Zugriff auf die IT-Systeme hatten die Hacker jedoch schon lange vor Schließung der Sicherheitslücke erlangt!

BSI-Präsident Arne Schönbohm sagte dazu in einer Mitteilung: „Bereits im Januar haben wir vor der Schwachstelle gewarnt und darauf hingewiesen, welche Folgen eine Ausnutzung haben kann. Angreifer verschaffen sich Zugang zu den internen Netzen und Systemen und können diese auch noch Monate später lahmlegen. Der Vorfall zeigt zum wiederholten Male, wie ernst man diese Gefahr nehmen muss.“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft deshalb dringend dazu auf, die seit Januar 2020 vorhandenen Citrix-Updates einzuspielen, um diese Sicherheitslücke zu schließen. IT-Systeme, die bereits VOR der Installation der Citrix-Sicherheitsupdates kompromittiert wurden, könnten Cyberkriminellen jedoch auch jetzt noch Zugriff auf interne Netze und IT-Systeme erlauben!

Welche Lösungsmöglichkeiten gibt es, um die Sicherheit Ihrer IT-Systeme zu verbessern?

Nach jedem öffentlich bekanntgewordenen Hackerangriff kommt grundsätzlich die Frage auf: Wie gut gesichert waren die IT-Systeme und vor allem, waren persönliche Daten betroffen und konnten sie in unbefugte Hände geraten? Nicht zuletzt bei solch hochsensiblen Daten wie Patientenakten ein Supergau. Darum stellt der Bundesgesundheitsminister mit Beschluss vom 18.09.2020 den Klinken und Krankenhäusern jetzt noch einmal zusätzlich drei Milliarden Euro für die Verbesserung und Absicherung ihrer IT-Systeme gegen Cyberkriminalität zur Verfügung. Und diese gilt es unverzüglich abzurufen, denn bei einem Cyberangriff reicht bereits eine nicht sorgfältig gesicherte Schnittstelle und schon besteht Zugriff auch auf die sensiblen Daten in SAP-Systemen.

Für alle IT-Verantwortlichen ist es unserer Meinung nach Pflicht, erneut aus diesem Vorfall Lehren zu ziehen und die vorhandenen Maßnahmen zum Schutz von IT- und SAP-Landschaft regelmäßig zu überprüfen. So sieht es auch das BSI, das dazu rät, gerade jetzt noch einmal Netzinfrastrukturen und IT-Systeme auf mögliche Anomalien hin zu validieren und geeignete Schutzmaßnahmen zu ergreifen. Demnach sei es ggf. auch sinnvoll, einen externen – auf IT-Sicherheit spezialisierten – Dienstleister hinzuzuziehen.

Unsere Empfehlung lautet daher: Je eher Sie mit einer ganzheitlichen Strategie starten, desto besser sind Sie in der Lage, sich gegen Bedrohungen von innen und außen abzuschirmen. Denn grundsätzlich ist jedes System angreifbar. Mit der richtigen Threat Intelligence-Lösung machen Sie es Angreifern schwieriger, aufwändiger und damit unattraktiver selbst zum Ziel zu werden. Dadurch, dass sich die Vorgehensweise von Angreifern jedoch immer mehr perfektioniert, müssen auch die internen Sicherheitssysteme ständig auf aktuellem Stand sein und es Ihnen ermöglichen, in Echtzeit auf eintretende Bedrohungen reagieren zu können. Hierzu fehlen viel zu häufig sowohl die internen Ressourcen als auch das erforderliche hochspezialisierte Security Know-how.

In drei Schritten zum Erfolg:

  1. Starten Sie mit einer Analyse Ihrer aktuellen Schwachstellen.
  2. Schließen Sie diese Lücken in der Reihenfolge der Dringlichkeit.
  3. Gewährleisten Sie abschließend, dass keine neuen Sicherheitslücken entstehen können.

Das mag komplex erscheinen, verglichen mit einem Schaden durch einen Cyberangriff ist der zu erbringende Aufwand jedoch schnell kein Argument mehr.

Sie wollen mehr zum Thema Datensicherheit in SAP-Landschaften erfahren? Dann informieren Sie sich gerne auf unserer SAST SOLUTIONS Website oder melden sich bei uns.

Matthias Anstötz (SAST SOLUTIONS)
Matthias Anstötz (SAP Security Consultant, SAST SOLUTIONS)

 

Das könnte Sie auch interessieren:

Bereinigung von RFC-Schnittstellen – Gastbeitrag bei RZ10

SAP Home goes rogue – Angriffsszenarien über die SAP GUI, die verhindert werden können