Erkenntnisse aus einem Cyberangriff

KATHRIN MORF. Am Wochenende vom 14. Oktober 2023 wollten die Mitarbeitenden der Psychiatrie Baselland (PBL) ihre Arbeit wie gewohnt aufnehmen, doch Cyberkriminelle erschwerten dies: Sie hatten einen grossen Teil der IT-Infrastruktur verschlüsselt. «Aus Sicherheitsgründen wurden nach dem Cyberangriff alle IT-Systeme heruntergefahren», berichtet Thomas Heiniger, Verwaltungsratspräsident der PBL mit ihren mehr als 1200 Mitarbeitenden sowie 15 000 Patientinnen und Patienten pro Jahr. Die PBL betreibt Kliniken, Ambulatorien, Tageskliniken und bietet Home Treatment an. «Unsere Mitarbeitenden konnten tagelang nicht auf elektronische ­Patientenakten zugreifen, waren nicht über E-Mail erreichbar und hatten keinen Zugriff auf das Ein- und Austrittsmanagement», ergänzt er. Das Daten-Backup habe man nicht benutzen können, weil es ebenfalls hätte ­infiziert sein können. «Diese gesamte Erfahrung war ­erschreckend, aber auch lehrreich», sagt Thomas Heiniger, der sich als Präsident von Spitex Schweiz wünscht, dass auch die Spitex von den Erkenntnissen profitieren kann, welche die PBL aus der Cyberattacke gezogen hat:

• Auch Spitex-Organisationen sind gefährdet: «Ich möchte die Spitex dafür sensibilisieren, dass die Gefahr eines Cyberangriffs für sie sehr real ist», sagt Thomas Heiniger. «Keine Organisation soll denken, dass ihre Daten für Kriminelle keinen Nutzen haben. Den Cyberkriminellen geht es oft nicht um ihr Interesse an unseren Daten – es geht ihnen um ­unser Interesse an unseren Daten.» Sprich: Entsteht für eine Organisation ein Schaden oder Leidensdruck, wenn sie nicht auf ihre Daten zugreifen kann, ist sie erpressbar und damit gefährdet.
• Cyberkriminelle handeln überlegt: «Cyberkriminelle sind keine unberechenbaren Terroristen, sondern hochprofessionelle Kriminelle mit einem wohl­überlegten ‹Geschäftsmodell›», sagt er. Details zum ­Cyberangriff nennt die PBL keine. Darum hat das «Spitex Magazin» Pascal Lamia vom Bundesamt für Cybersicherheit (BACS) zum allgemeinen Vorgehen von Cyberkriminellen befragt (vgl. Infokasten).
• Das Wappnen gegen einen Cyberangriff ist zentral: «Spitex-Organisationen sollten Kriminellen den ­Zugang zu allen Systemen möglichst erschweren», rät Thomas Heiniger (vgl. hierzu die Tipps im «Spitex Magazin 5/2023). Welche zusätzlichen Massnahmen die PBL nach dem Angriff getroffen hat, weiss ­Noemi Bönzli, Leiterin Digitalisierung bei der PBL und Verantwortliche für die sorgfältige Aufbereitung des Angriffs. «Angesichts der realen und steigenden Gefahr eines Cyberangriffs ist es sicherlich wichtig, dass das Thema IT-Sicherheit als kontinuierlicher Prozess betrachtet wird, der aktiv gelebt werden muss und der Ressourcen und Fachwissen benötigt», rät sie. Sehr wichtig sei dabei das Thema «Backup & Recovery», also das Erstellen von sicheren Datenkopien. Im Weiteren habe die PBL zum Beispiel ein externes Security Operation Center (SOC) eingerichtet, welches das IT-Netzwerk der PBL rund um die Uhr überwacht. Alle ­externen Authentifizierungsprozesse werden durch eine Multi-­Faktor-Authentifizierung (MFA) geschützt. Das Netzwerk wurde segmentiert, also in mehrere Subnetzwerke inklusive neuer Firewalls aufgeteilt. Und die Sicherheit der Passwörter wurde erhöht, etwa durch die Umstellung von 8- auf 10-stellige Kombinationen.
• Ein Krisenmanagement-Konzept ist nötig: «Trotz guter Gegenmassnahmen ist man nie vor einem ­Cyberangriff sicher», ist Thomas Heiniger überzeugt. Beispielsweise habe die Sicherheitssoftware der PBL den Angriff nicht bemerkt. «Jede Spitex-Organisation sollte darum einen Notfallplan für das risenmanagement nach einem Angriff vorbereiten, der Prozesse und Rollen festlegt.»
• Eine Cyber-Versicherung kann helfen: «Wir waren sehr froh über die Cyber-Versicherung der PBL», ­berichtet der Verwaltungsratspräsident. Dies sei nicht nur mit der Erstattung von finanziellen ­Verlusten erklärbar: «Es war ein grosser Vorteil, von Beginn weg auf die Expertise und Erfahrung der Versicherung und ihrer Partner zählen zu können.»
• Man sollte externe Fachpersonen kennen und ­beiziehen: «Eine Spitex-Organisation sollte wissen, welche externen Fachpersonen ihr nach einem ­Cyberangriff helfen können», rät Thomas Heiniger. Im Falle der PBL waren dies neben den Fachper­sonen der Versicherung diejenigen eines Unternehmens für Cyber Security und Netzwerklösungen. «Ich kontaktierte zudem den Kanton Baselland, denn der Eigentümer einer Organisation muss informiert und einbezogen werden», sagt Thomas Heiniger. Im Weiteren stand die PBL im Kontakt mit dem BACS – und mit einem Spezialisten, der viel Erfahrung in Krisenkommunikation hat.
• Eine professionelle Krisenkommunikation ist essenziell: «Die Krisenkommunikation muss die Aufklärung der Mitarbeitenden über das Geschehen umfassen. Sie muss den Patientinnen und Patienten versichern, dass man das Meistmögliche tut, um ihre Betreuung zu gewährleisten. Und die ­Öffentlichkeit hat ebenfalls ein Recht darauf, von einem solchen Cyberangriff zu erfahren», rät er. «Die Krisenkommunikation darf dabei nicht vorschnell erfolgen, sondern muss gut überlegt sein. Der erste Schritt ist ein absolut entscheidender.»
• Der grosse Einsatz aller Mitarbeitenden ist nötig: Bereits am 17. Oktober verkündet die zweite Medien­mitteilung der PBL über den Cyberangriff, dass die zentralen digitalen Klinikprozesse erfolgreich auf analoge Verfahren umgestellt worden seien. «Alle Mitarbeitenden müssen intensiv an der Bewältigung aller betrieblichen, technischen und politisch-recht­lichen Herausforderungen mitarbeiten», berichtet Thomas Heiniger. «Zum Beispiel haben unsere Mitarbeitenden alle nötigen Informationen über ihre Patientinnen und Patienten wieder zusammen­getragen – mit Rückgriff auf Papier und Stift.» Die internen und externen IT-Fachpersonen arbeiteten derweil an der Wiederherstellung des Hauptsystems und bauten ein Parallelsystem zur sofortigen Nutzung auf. Am 25. Oktober verkündete eine Medienmitteilung, dass der Normalbetrieb wieder auf­genommen worden sei, nachdem ein Teil der IT-­Systeme wieder hochgefahren werden konnte.
• Eine gute Nachbearbeitung braucht Zeit: Man wisse nicht, ob heikle Daten gestohlen worden seien, sagte PBL-Sprecher Thomas Lüthi am 26. Oktober gegenüber «Inside IT». Es gebe indes keine Anhaltspunkte dafür, dass Dokumente des PBL im Web aufgetaucht seien. Dennoch: «Ungefähr ein halbes Jahr wird es insgesamt dauern, bis die Reparaturarbeiten am System abgeschlossen und alle Daten wieder vorhanden und sicher sind», sagt Thomas Heiniger. Viel Zeit in Anspruch nähmen auch die ­erwähnte Aufbereitung des Vorfalls sowie die juristische Nachbearbeitung. «Wir verhandeln derzeit mit der Versicherung darüber, welche Folgen des Cyberangriffs sie als Schaden akzeptiert. Zum ­Beispiel hat der Angriff einen erheblichen betrieblichen Mehraufwand verursacht.»

Ich möchte die Spitex
dafür sensibilisieren,
dass die Gefahr eines
Cyberangriffs für sie sehr real ist.

Thomas Heiniger

Verwaltungsratspräsident PBL / Präsident Spitex Schweiz

Zum Schluss betont Thomas Heiniger, dass die Auf­bereitung eines Cyberangriffs auch die Wertschätzung aller Mitarbeitenden umfassen sollte: «Schliesslich ­haben es die Cyberkriminellen nur dank des grossen Einsatzes unserer Mitarbeitenden nicht geschafft, der guten Behandlung unserer Patientinnen und Patienten zu schaden.» 

Der Bund gibt Einblick in Cyberangriffe

Laut Bundesamt für Statistik (BFS) wurden 2022 genau 30 351 Delikte der «digitalen Kriminalität» gemeldet, fast 25 Prozent mehr als im Vorjahr. Die Cyber-Wirtschaftskriminalität macht 88 Prozent davon aus. «Die meisten Cyberangriffe erfolgen nach dem ‹Giesskannenprinzip›, indem beispielsweise Schwachstellen ausgenutzt oder E-Mails mit schadhaften Anhängen an Hunderttausende potenzieller Opfer verschickt werden», erklärt Pascal Lamia, Vizedirektor und Leiter operative Cyber­sicherheit beim Bundesamt für Cybersicherheit (BACS). «Das Motiv der Täterschaft ist meist das Beschaffen von möglichst grossen finanziellen Mitteln mit möglichst geringem Aufwand.» Über andere Motive lasse sich nur spekulieren. Beispielsweise könnten die Täter sensible Informationen stehlen wollen, um eine bekannte Person zu diskreditieren. Häufiger seien jedoch erpresserische «Ransomware-Angriffe». Diese begännen meist damit, dass sich die Cyberkriminellen Zugang auf ein Zielsystem verschaffen. Dann kopierten sie Daten heraus und verschlüsselten die Daten im System schrittweise. «In der Regel verschafft sich die Täterschaft auch einen Überblick über die finanzielle Lage eines Unternehmens, um die Höhe des Lösegelds zu bestimmen.» Daraufhin wird eine Lösegeldforderung gestellt – oft mit der Drohung, die kopierten Daten im Darknet zu veröffentlichen.Der Kontakt zwischen Opfern und Angreifern beginnt meist mit einer Nachricht auf den Bildschirmen des Unternehmens und wird in speziellen Chaträumen im Darknet fortgeführt. Bezahlt werden soll mit digitalen Währungen. «Oft bietet die Täterschaft an, die eine oder andere Datei kostenlos zu entschlüsseln. Damit beweist sie, dass die Wiederherstellung der Daten funktioniert», weiss der Experte. Wie seriöse Unternehmen seien die Hackergruppierungen an einem guten Ruf interessiert und legten grossen Wert auf einen guten «Kundendienst». «Im Darknet gibt es sogar Bewertungsportale, auf denen die Hackergruppierungen bewertet werden können.» Laut Pascal Lamia ist die Täterschaft in jüngerer Vergangenheit vereinzelt dazu übergegangen, potenziellen Opfern die Möglichkeit einer Schutzgeldzahlung anzubieten: Wer bezahlt, wird nicht angegriffen. 

Das BACS rät allen Opfern, die Strafverfolgungsbehörden beizuziehen. In enger Absprache mit der Polizei würden dann die notwendigen, individuellen Schritte zur Eingrenzung des Schadens und zur Identifikation und Wiederherstellung der infizierten Systeme eingeleitet. «Das BACS rät grundsätzlich von einer Lösegeldzahlung ab», betont Pascal Lamia. «Die erpressten Gelder werden von der Täterschaft in Infrastruktur investiert, sodass künftige Angriffe noch ausgereifter erfolgen. Zudem werden die Erpressungen nicht aufhören, solange den Lösegeldforderungen nachgekommen wird.»

Mehr Informationen zum Schutz vor Cyberangriffen und zur Vorgehensweise nach einem Angriff unter www.ncsc.admin.ch