E-Mail-Sicherheit

    Ransomware-Todesfall malt eine hässliche Zukunft für Cyber-Crossfire-Haftung

    Das Leben von Zivilisten ist in Gefahr, da kritische nationale Infrastrukturorganisationen auf der ganzen Welt nur langsam gegen die wachsende Ransomware-Bedrohung vorgehen.

    by Richard Botley
    gettyhealthcare.jpg

    Der erste bekannte Todesfall durch eine Cyberattacke wurde weithin gemeldet, nachdem ein Krankenhaus in Düsseldorf gezwungen war, Notfallpatienten abzuweisen, nachdem es von der Ransomware DoppelPaymer befallen wurde. Die deutschen Behörden haben eine Untersuchung wegen "fahrlässiger Tötung" eingeleitet, da eine Frau in einem lebensbedrohlichen Zustand in ein 20 Meilen entferntes Krankenhaus gebracht wurde und dort an den Folgen der verzögerten Behandlung starb.

    Das deutsche Bundesamt für Information erklärte, dass bei dem Vorfall böswillige Akteure erfolgreich die Citrix-VPN-Schwachstelle CVE-2019-19781 ausnutzten, für die im Januar 2020 ein Patch veröffentlicht wurde.

    Die DoppelPaymer-Ransomware wurde in einer Folgemeldung des nordrhein-westfälischen Ministeriums identifiziert, die besagt, dass der Loader der Ransomware seit Dezember 2019 im Netzwerk des Krankenhauses versteckt war. Es handelt sich um denselben Ransomware-Stamm, der im August die Systeme der britischen Newcastle University außer Betrieb setzte.

    Anstatt noch mehr Worte über die Neuartigkeit einer solchen Tragödie zu verlieren, muss man feststellen, dass dies sehr wahrscheinlich schon seit geraumer Zeit auf der ganzen Welt geschieht - direkt und indirekt. Es ist nur schwierig, in einem komplexen System eine direkte Linie der Kausalität zu ziehen.

    Anstieg der Ransomware

    WannaCry wurde seit Jahren vorhergesagt und sollte der Weckruf sein, den wir alle brauchten. Ich erinnere mich an ein Gespräch mit einem unserer NHS-Kunden über die laufenden Bemühungen, die sie 2018 in der Folge von WannaCry unternahmen. Aber während im Vereinigten Königreich seit erhebliche Fortschritte bei der Aktualisierung der IT-Systeme des NHS gemacht wurden, ist ein Großteil der Welt immer noch schlafwandlerisch in eine andere physische Gefahr hineingelaufen, auf die man besser hätte vorbereitet sein können?

    Das scheint der Fall zu sein. Die Polizei, das Gesundheitswesen und andere kritische nationale Infrastrukturen wurden durch die Ransomware-Bedrohung immer wieder ernsthaft gestört. So sind beispielsweise mehrere Städte in den USA in den letzten Jahren Opfer von Angriffen geworden und haben enorme Daten- und Geldverluste erlitten Lösegeldforderungen.

    Bis Ende 2019 hatte Recorded Future 134 öffentlich gemeldete Ransomware-Angriffe gegen Gesundheitsdienstleister katalogisiert, von denen 38 im Jahr 2019 stattfanden. Im Vergleich dazu wurden bis Mai 2020 allein für dieses Jahr 26 Ransomware-Vorfälle gemeldet. Die von Mimecast durchgeführte Studie State of Email Security ergab, dass 55 % der deutschen und 47 % der US-amerikanischen Unternehmen in den letzten 12 Monaten von einem Ransomware-Vorfall betroffen waren, der durchschnittlich drei Tage Ausfallzeit verursachte.

    Es liegt auf der Hand, dass Organisationen des Gesundheitswesens auf der ganzen Welt vor besonderen Herausforderungen stehen, wenn es darum geht, die Versorgung zwischen mehreren Parteien zu koordinieren und gleichzeitig die persönlichen Gesundheitsdaten der Patienten zu schützen - erschwert durch enorme Ausmaße, Budgetbeschränkungen und Politik. Dies schlägt sich auch in den rekordverdächtigen Kosten für Sicherheitsverletzungen nieder. Der 2020 Cost of a Data Breach Report (Ponemon/IBM) zeigt, dass Unternehmen im Gesundheitswesen mit durchschnittlich 7,13 Millionen US-Dollar weiterhin die höchsten Kosten für Sicherheitsverletzungen verursachen - ein Anstieg von mehr als 10 % gegenüber der Studie von 2019.

    Cyberkriminelle betrachten Datensätze aus dem Gesundheitswesen als wertvolles Gut. Mit den gestohlenen Daten können sie gefälschte Ausweise erstellen, um medizinische Geräte oder Medikamente zu kaufen, die sie dann weiterverkaufen können, oder um betrügerische Anträge einzureichen. Diese Art des Identitätsdiebstahls ist im Vergleich zum Kreditkartenbetrug selten sofort erkennbar. Trotzdem bietet Ransomware den Angreifern eine schnellere Zahltagoption. Die Verschlüsselung wertvoller Daten oder die Drohung, potenziell peinliche persönliche Informationen zu veröffentlichen, bieten einen starken Anreiz, das Lösegeld schnell zu zahlen.

    Versicherung ist keine Widerstandsfähigkeit

    Trotz FBI-Beratungen , in denen Unternehmen vor den ernsten Risiken gewarnt werden, die sie vor der Zahlung von Lösegeld in Betracht ziehen sollten, haben Cyber-Versicherer den Opfern davon abgeraten, da die Zahlungen immer noch billiger sind als die Kosten für die Bereinigung und Wiederherstellung der Daten. Der Ponemon/IBM-Bericht zeigt auch, dass 10 % der Unternehmen, in deren Datenbestände eingebrochen wurde, Cyber-Versicherungsansprüche geltend gemacht haben, um die Kosten für Ransomware oder Erpressung zu decken.

    Einzelne Unternehmen treffen oft die vermeintlich pragmatische Entscheidung zu zahlen, um Aktionäre, Mitarbeiter und Kunden zu schützen - was den Markt für dieses kriminelle Geschäftsmodell weiter fördert. Diejenigen, die Pech haben, werden doppelt bestraft, wenn sie das Lösegeld zahlen und dann nie den Entschlüsselungsschlüssel erhalten oder erneut mit gestohlenen Daten erpresst werden.

    Barmherzige Kriminalität

    In einer ungewöhnlichen Wendung übergab der jüngste Angreifer in Deutschland den Verschlüsselungsschlüssel zum Entsperren der Daten, nachdem die Polizei sie darüber informiert hatte, dass das Krankenhaus betroffen war und nicht das vermutete Ziel der Universität.

    Dieser Gewissenswandel ist leider selten, und in diesem Fall war es zu spät, um ein Leben zu retten. Die alltägliche Bedrohung durch wahllose Internetkriminalität wird weiterhin jeden treffen - oder schlimmer noch, niemanden im Besonderen. Es lassen sich Vergleiche mit Landminen in der konventionellen Kriegsführung anstellen. Während die UN zu einem digitalen Waffenstillstand aufruft , werden die von den Nationalstaaten geschmiedeten Cyberwaffen die Hightech-Kriminellen weiter aufrüsten. WannaCry nutzte bekanntlich das EtnernalBlue angebliche NSA-Exploit, das von den geheimnisvollen Shadow Brokers geleakt wurde.

    Obwohl sich die Strafverfolgungsbehörden bereits auf die Betreiber von Ransomware konzentrieren, wird eine Zunahme von Angriffen mit Todesfolge das Risiko von Anklagen und Verhaftungen für die Kriminellen nur noch erhöhen. Abgesehen von persönlichen Schuldgefühlen, wenn sich ein virtuelles Verbrechen plötzlich allzu real anfühlt, liegt es im Interesse der Cyberkriminellen, dass die Ransomware-Branche auch ohne ein verstärktes Eingreifen der Behörden weiter blüht.

    Reaktion auf Cyber-Resilienz

    Die Haftung wird wahrscheinlich dazu beitragen, den Wandel zu beschleunigen, da Unternehmen ein breiteres Spektrum an Cybersicherheitsrisiken, einschließlich des fehlenden Zugangs zu kritischen Systemen und Daten, zu ihren Worst-Case-Szenarien zählen. Auch die Regierungen könnten weitere Vorschriften erlassen, um sicherzustellen, dass Sicherheit, Backup und Kontinuität ausreichend geschützt sind.

    Traditionell hat sich die Regulierung auf die Sicherheit konzentriert und nicht auf die umfassendere Notwendigkeit der Cyber-Resilienz. Unternehmen müssen mehr denn je erkennen, dass Cybersicherheit und Cyber-Resilienz nicht dasselbe sind. Die Sicherheit konzentriert sich ausschließlich auf den Schutz, während es bei der Widerstandsfähigkeit darum geht, die Fähigkeit zur raschen Wiederherstellung und zur Fortführung des Geschäftsbetriebs zu gewährleisten. Cyber-Resilienz umfasst Präventionsmaßnahmen und zielt auch darauf ab, Datenverluste und Ausfallzeiten zu vermeiden - das perfekte Gegenmittel für die Ransomware Plage.

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang