Bundesregierung: Deutlich mehr Cyberangriffe auf Kliniken und Versorger
Die Zahl der Attacken auf den Gesundheitsbereich mit Krankenhäusern hat sich binnen eines knappen Jahres mehr als verdoppelt, im Energiesektor verdreifacht.
(Bild: SOMKID THONGDEE/Shutterstock.com)
IT-Systeme in Sektoren kritischer Infrastrukturen (Kritis) sind vor Cyberangriffen keineswegs gefeit. Dies schreibt die Bundesregierung in einer jetzt veröffentlichten Antwort auf eine Anfrage der FDP-Bundestagsfraktion. Im Gesundheitsbereich mit dem Schwerpunkt Krankenhäusern stieg die Zahl von Hackerattacken demnach von elf im Jahr 2018 über 16 in 2019 auf 43 im laufenden Jahr. Das ist ein Plus von über 50 Prozent allein seit Januar.
Fehlende Daten
Zugleich nahm die Menge solcher Angriffe im Energiesektor von vier über zehn auf 26 in den vergangenen drei Jahren zu. Deutlich höher ist mit 70 die Zahl der IT-Attacken auf Staat und Verwaltung. Der Anstieg fällt hier aber zumindest geringer aus: 2019 verzeichneten die Behörden 63 kritische Vorfälle.
Vergleichsweise niedrig sind die Angaben für andere Kritis-Sektoren: Im Finanz- und Versicherungswesen waren es laut der Vorlage 2019 sechs und in diesem Jahr bisher elf Angriffe. Im Bereich Transport- und Verkehr fiel die Zahl sogar von zehn auf acht. Insgesamt ist von 171 IT-Angriffen auf Kritis-Institutionen die Rede, während es im Vorjahr 121 gewesen sein sollen.
Zu Hackerattacken auf Blaulichtbehörden wie Polizei und Feuerwehr liegen dem federführenden Bundesinnenministerium nach eigenen Angaben keine Informationen vor. Belastbares Zahlenmaterial zur Zahl von Ransomware-Angriffen mit Verschlüsselungstrojanern wie Emotet seit 2015 kann es genauso wenig liefern, wie eine Statistik zu eingeleiteten Ermittlungs- und Hauptverfahren. Im Bereich Cybercrime müsse zudem allgemein sowie zu Attacken auf Kritis im Speziellen "von einem hohen Dunkelfeld ausgegangen werden".
Alte Geräte, wenige Updates
Unter den Begriff der Hackerangriffe fasst die Regierung die Ausnutzung von Schwachstellen, Hacking und Manipulationen, Schadprogramme (Malware), "gezielte, mehrstufige kombinierte Angriffe" (APT) sowie die Blockade von Diensten. Zugleich verweist sie darauf, dass nur für Kritis-Betreiber bei festgestellten Störungen eine Meldepflicht an das Bundesamt für Sicherheit in der Informationstechnologie (BSI) bestehe.
Der Kreis der Betroffenen soll mit dem IT-Sicherheitsgesetz 2.0 erweitert werden. In Kliniken macht das Innenressort vor allem die Anfälligkeit von IT-Systemen aufgrund des Einsatzes von Medizingeräten mit teils veralteten und nicht mehr aktualisierbaren Betriebssystemen als Problem aus. Zudem würden Hospitäler als offene Einrichtungen mit vergleichsweise geringer physischer Sicherheit betrieben. Risiken stellten auch die Netzanbindung durch externe Dienstleister sowie im Bereich der Universitätskliniken der Einbezug von Forschung und Lehre dar, da diese letztlich "einen nicht gänzlich geschlossenen Parameter zur Folge haben".
Produktionsstätten seien generell oft von industriellen Kontrollsystemen mit langen Laufzeiten und Investitionszyklen geprägt, heißt es weiter. Sicherheitsupdates würden oft nicht mehr ausreichend zur Verfügung gestellt. Dazu komme in verschiedenen Bereichen die Abhängigkeit von einzelnen Herstellern und den IT-Sicherheitsfunktionalitäten ihrer Produkte.
Zusammengekaufte Angriffe
Im September hatte ein Cyberangriff auf die Düsseldorfer Uni-Klinik für Schlagzeilen gesorgt. Die Täter sollen die Schadsoftware DoppelPaymer in deren IT-System eingeschleust, 30 Server und ein Erpresserschreiben mit Lösegeldforderung hinterlassen haben. Eigentlich wollten sie aber wohl die Heinrich-Heine-Universität vor Ort treffen und gaben die Schlüssel für die Datenentsperrung heraus. Trotzdem mussten Operationen abgesagt, eine lebensbedrohlich erkrankte Patientin in ein anderes Krankenhaus eingeliefert werden, wo sie kurz darauf starb.
Die erforderliche Zeit, um in einem solchen Fall von einem Not- in den Normalbetrieb zu gehen, hängt laut der Auskunft etwa von der "Tiefe der Kompromittierung, Komplexität der vorhandenen Netzwerkinfrastruktur", der vorhandenen Datenmenge und verfügbaren Personalressourcen ab. Oft sei es ein Ziel, gleichzeitig wirksamere Schutzmaßnahmen oder neue Softwareversionen einzuführen, was das Prozedere verlängere. Grundsätzlich dauere das Verfahren häufig "mehrere Wochen".
Die "Lokalisierung der Cybertäter" gestalte sich "aufgrund des Handlungsraums Internet schwierig", konstatiert die Regierung. Auch wer dahinterstecke, lasse sich meist nicht einfach ausmachen. In dem Phänomenbereich herrsche "eine hohe Arbeitsteilung zwischen den Tatbeteiligten und eine Spezialisierung Einzelner" vor. Cyberkriminelle agierten oft auftrags- und dienstleistungsorientiert. Dies ermögliche es auch weniger IT-affinen Verbrechern, "technisch komplexere Straftaten zu realisieren".
(kbe)
