Erpressungssoftware verbreitet sich immer weiter. Nun warnt das FBI, dass während der Coronakrise besonders Krankenhäuser gezielt als Opfer gewählt werden. Die Täter wissen, was sie tun - und verlangen hohe Lösegelder.

Es ist eine grauenhafte Logik: Weil mit dem Leben der Patienten besonders viel auf dem Spiel steht, sind Krankenhäuser darauf angewiesen, ihre IT bei Problemen besonders schnell wieder zum Laufen zu bekommen. Und werden so zum attraktiven Ziel für Hackerangriffe. Waren sie lange Zeit nur durch Zufall zum Opfer solcher Attacken geworden, scheinen sich nun Gruppen gezielt ausgerechnet in der Corona-Krise auf die so verwundbaren Ziele zu stürzen, warnt das FBI.

Der Trend ist klar erkennbar: Während die Zahl der Neuinfektionen konstant steigt, wurden in den letzten Wochen gleich knapp zwei Dutzend Krankenhäuser gezielt von Hackern attackiert, sechs davon alleine an einem Tag. "Die Gefahr von Cyberattacken auf US-Krankenhäuser und Gesundheitsdienstleister ist imminent und sie steigt an", warnten die Bundespolizei FBI und die für Cyber-Kriminalität verantwortliche Behörde CISA in einem gemeinsamen Statement.

Neue Eskalation

Besonders bedrohlich ist die Lage auch deshalb, weil die Krankenhäuser anders als früher nicht mehr zufällige Opfer zu sein scheinen. Landeten die genutzten Trojaner in der Vergangenheit zufällig auf beliebigen Rechnern, nehmen die Angreifer nun offenbar gezielt das Gesundheitssystem ins Visier. Dass es sich nicht um Zufälle handelt, zeigt auch der Anstieg der Lösegelder: Wurden bei Krankenhäusern früher Summen von wenigen Tausend Dollar gefordert, liege der Durchschnitt dieses Jahr bei 200.000 Dollar, rechneten die Experten von Emisoft aus. Auch Forderungen von mehreren Millionen Dollar Lösegeld seien nicht mehr die Ausnahme.

Das war lange Zeit anders. Angriffe auf Krankenhäusern schienen unter den sonst nicht für ihre Skrupel bekannten Hacker als Tabu für gezielte Angriffe zu gelten. War durch die zufällige Verbreitung von Schadsoftware doch mal eine Klinik unter den Opfern, kam es sogar vor, dass die Hacker umsonst den Schlüssel zur Freischaltung herausgaben, wenn sie entdeckten, wen sie da gerade gehackt hatten. So soll es etwa auch im Sommer bei einem Angriff auf die Uni-Klinik Düsseldorf passiert sein. Für eine junge Frau endete die Attacke allerdings tödlich: Weil die Klinik als nächstgelegenes Krankenhaus ausfiel, musste sie nach Wuppertal weitertransportiert werden. Und erlag wegen der Verzögerung ihrer Erkrankung.

Entsprechend groß bewerten Experten die aktuelle Gefahr. "Das ist die größte Cyber-Gefahr, die wir in den USA je erlebt haben", ist sich der für die Sicherheits-Firma Mandiant als Technikchef verantwortliche Charles Carmakal gegenüber "Wired". "Diese Angreifer haben klar eine Linie überschritten. Die Gruppe ist unglaublich dreist, herz- und gnadenlos."

Die Spur führt nach Russland

Die Spur bei der aktuellen Angriffswelle führt nach Ansicht der Experten nach Russland. Das von den Hackern genutzte Botnetzwerk Trickbot soll mit der in Russland verorteten Gruppe UNC 1878, auch Wizard Spider genannt, zusammenhängen. Die Software ist ursprünglich für Angriffe auf Bankensysteme entwickelt worden und hatte den Kriminellen hohe Geldsummen eingebracht. Die Strategie des als "Big Game Hunting" (Großwildjagd) bezeichneten Vorgehens ist bei Banken und Krankenhäusern gleich: Statt viele kleine nimmt man lieber ein großes Ziel ins Visier.

Die Gefahr der hochspezialisierten Angreifer dürfte noch lange nicht vorbei sein, warnt das FBI. So sei es denkbar, dass die Angreifer sich längst Zugang zu weiteren Zielen verschafft hätten und nur auf die richtige Gelegenheit für den Angriff warteten. Dementsprechend ist der Ratschlag der Behörden nicht nur, die Netzwerke abzusichern, sondern sie auch regelmäßig auf Anzeichen bereits erfolgter Infektionen zu prüfen. Den von selbst werden die hochlukrativen Angriffe sicher nicht aufhören.

Quelle: US-Behörden, Wired, Washington Post