Vor einem Jahr war es nur ein Nebensatz, nun ist es eine ausdrückliche Warnung: Ransomware ist nicht nur für Unternehmen eine ernst zu nehmende Gefahr, sondern auch für öffentliche Einrichtungen wie Krankenhäuser und Bildungseinrichtungen.

Im am Dienstag veröffentlichten Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik  (BSI) werden zwei Beispiele dafür gesondert hervorgehoben: Krankenhäuser in Rheinland-Pfalz und im Saarland wurden durch einen Verschlüsselungstrojaner bei ihrem gemeinsamen IT-Dienstleister "erheblich in ihrer Versorgungsleistung beeinträchtigt", heißt es in dem Bericht. Das Netzwerk einer Universität wurde, einschließlich der Back-up-Server, so gründlich mit der Ransomware Clop infiziert, dass die Hochschule beschloss, das geforderte Lösegeld in Höhe von 30 Bitcoin zu zahlen - weil "davon auszugehen war, dass zum Beispiel Forschungsergebnisse unwiederbringlich verloren gehen würden".

30 Bitcoin entsprachen zu dem Zeitpunkt rund 200.000 Euro. Die betroffene Hochschule wird im BSI-Bericht, der sich auf die Zeit zwischen Juni 2019 und Mai 2020 bezieht, nicht namentlich genannt, aber alle Angaben passen zum Vorfall an der Universität Maastricht, die den Vorfall öffentlich eingeräumt hatte .

Schäden durch Ransomware können "existenzbedrohend" sein

Das BSI empfiehlt zwar "grundsätzlich, kein Lösegeld zu zahlen, um das 'Geschäftsmodell' Ransomware nicht zu unterstützen und nicht noch weitere Angriffe auf andere Ziele zu motivieren". Gleichzeitig betont die Behörde, dass die durch Ransomware verursachten Schäden "existenzbedrohend" sein können: "Der entstandene Gesamtschaden bei den betroffenen Unternehmen und Institutionen ist zudem in der Regel weitaus größer als ein gegebenenfalls gezahltes Lösegeld, da durch einen Ausfall der IT neben den teils beträchtlichen Kosten zur Bereinigung und Wiederherstellung von Systemen unterschiedliche weitere Kosten entstehen."

Adam Meyers von der IT-Sicherheitsfirma CrowdStrike  sagt im Gespräch mit dem SPIEGEL: "Die Ransomware-Aktivitäten sind absolut außer Kontrolle. Wir sehen dieses Jahr Monat für Monat einen dramatischen Anstieg. Gesundheitsversorger und Pharmaunternehmen werden regelmäßig angegriffen."

Anfang des Jahres hatten zwei Ransomware-Gruppen noch versprochen, medizinische Einrichtungen während der Corona-Pandemie zu verschonen, doch Meyers sagt: "Sie wissen, dass Krankenhäuser wahrscheinlicher und schneller zahlen als andere Opfer, weil sie die Versorgung von Patienten sicherstellen müssen."

Fehlende Sensibilisierung der Managementebene

Das BSI drängt den Gesundheitssektor zu besserer Vorbeugung – auch weil sich das "Geschäftsmodell" Ransomware verändert hat. Manche Ransomware-Gruppen sind dazu übergegangen, die Daten der Opfer nicht nur zu verschlüsseln, sondern zuvor auch zu kopieren und mit deren Veröffentlichung zu drohen.

Es ist eine Reaktion auf verbesserte Datensicherungsstrategien, die nach einem Befall mit Ransomware sicherstellen, dass Systeme schnell neu aufgesetzt werden können. Das BSI empfiehlt deshalb unter anderem "ein systematisches, regelgeleitetes Monitoring des Datentransfers". So könne "der Abfluss ungewöhnlich hoher Datenmengen erkannt und frühzeitig unterbunden werden".

Außerdem rät die Behörde dazu, die Zahl der von außen zugänglichen Systeme und der dazu befugten Personen gering zu halten und Netzwerke zu segmentieren, um nach einem erfolgreichen Angriff die Ausbreitung zu bremsen.

Die Realität sieht nach ihren Erkenntnissen anders aus, besonders im Bereich des Gesundheitswesens: Zwar würden viele Betreiber technische IT-Sicherheitsmaßnahmen durchführen, "bei der Umsetzung von organisatorischen IT-Sicherheitsmaßnahmen ist dagegen noch Verbesserungspotenzial erkennbar "aufgrund oftmals fehlender Sensibilisierung der Managementebene in Bezug auf die IT-Sicherheit".