Podcast "digital leben" | Cybersecurity und kritische Infrastrukturen Warum auch Sachsen-Anhalts Krankenhäuser von Hackern bedroht sind

18. Februar 2021, 13:24 Uhr

Kritische Infrastrukturen versorgen eine Gesellschaft mit dem Lebensnotwendigsten: Strom, Gas, Wasser, Abwasser, Telekommunikation und medizinische Versorgung. Große und kleine Firmen, staatliche oder private Unternehmen aus diesen Sektoren stehen ganz oben auf der Liste krimineller Hacker, die zum Beispiel Lösegelder erpressen wollen. Zwei Unternehmer aus Halle helfen dabei, solche Angriffe abzuwehren, ihnen vorzubeugen und sie zu analysieren.

Ein großer Mann mit Locken und Brille steht vor einer Betonwand.
Bildrechte: MDR/Viktoria Schackow

Gerhard Oppenhorst, Geschäftsführer von ESC, und Marian Kogler, Geschäftsführer von syret, schmunzeln bei dieser Zahl: 2019 hat die EU in Europa 450 Angriffe auf kritische Infrastrukturen gezählt. "Hängt lieber noch zwei Nullen dran", sagt zum Beispiel Oppenhorst im Podcast "digital leben". Und das sei nur die Spitze des Eisbergs. Der größte Teil der Angriffe würde nicht entdeckt, sagt Marian Kogler. "Da würden sicher noch einmal zwei Nullen mehr dazu kommen. Und wenn jeder erkannte Vorfall in den Nachrichten käme, gäbe es keine anderen Meldungen."

Auch Sachsen-Anhalt im Hacker-Fokus

Es ist also klar: auch Energieversorger, Wasser- und Abwasserverbände, Sparkassen, Banken, Internet- und Telefonanbieter in Sachsen-Anhalt stehen auf der Liste von Hackern weltweit. Den meisten davon geht es darum, Geld zu erpressen, indem sie zum Beispiel Daten verschlüsseln und angeblich erst wieder entschlüsseln, wenn Geld überwiesen wurde – per Überweisung in nicht verfolgbarer Krypto-Währung. Die Größe einer Firma spielt für Cyberkriminelle dabei keine Rolle, sagt Kogler im Podcast "digital leben". "Es kann auch kleine Stadtwerke treffen." Das dann zu lösen, sei für sie noch schwerer zu bewerkstelligen als für große Unternehmen.

Gerhard Oppenhorst, Geschäftsführer von ESC aus Halle

Oppenhorst ist 59 Jahre alt und hat Jura und Informatik studiert. 1991 gründete er die Firma ESC in Halle (Saale), die später Gründungsmitglied des Cluster IT Mitteldeutschland war. ESC hat 1993 die ersten Internet-Zugänge nach Mitteldeutschland gebracht und ist ein ausschließlich auf IT-Sicherheit spezialisierter Dienstleister. ESC betreut deutschlandweit große mittelständische Unternehmen, Kommunen und viele Krankenhäuser und Klinikverbünde. 2020 hat sich ESC einer Gruppe von IT-Security-Firmen angeschlossen, der Swiss IT Security AG, und sein Angebot deutlich erweitert. In seiner Freizeit bastelt Oppenhorst seit 1998 an seinem Smart Home.

IT-Sicherheit: Krankenhäuser müssen besser werden

In Sachsen-Anhalt sieht Gerhard Oppenhorst akuten Handlungsbedarf vor allem bei der IT-Sicherheit in Krankenhäusern: "Wo IT-Sicherheit am wenigsten zum Unternehmensziel gehört, gibt es die größte Angriffsfläche." Angriffe seien dort am wahrscheinlichsten, wo sie am spektakulärsten sind. Kogler ergänzt, dass Krankenhäuser oder Stadtwerke oft nur wenige IT-Mitarbeiter hätten.

Das sind kritische Infrastrukturen

Als kritische Infrastrukturen gelten Systeme, Werke oder Anlagen, die wichtig sind, um eine Gesellschaft aufrechtzuerhalten. Der Bund hat sie in insgesamt acht Sektoren unterteilt:

Energie, Transport und Verkehr, Informationstechnik und Kommunikation, Gesundheit, Wasser, Ernährung, Finanzen und Versicherung, Staat und Behörden, Medien und Kultur.

Oft sind die Sektoren voneinander abhängig. Fällt zum Beispiel der Strom aus, ist auch die Kommunikation bedroht. Können Lebensmittel nicht transportiert werden, sind auch Krankenhäuser betroffen. Derzeit wird viel darüber gesprochen, dass kritische Infrastrukturen von IT-Angriffen bedroht sind (Cybersecurity). Aber auch Naturkatastrophen, technisches oder menschliches Versagen stellen Gefahren für sie dar.

Dass Krankenhäuser auch gefährdet sind, wenn sie nicht einmal selbst im Fokus stehen, zeigt das Beispiel der Uniklinik Düsseldorf. Anfang September 2020 wurden dort 30 Server verschlüsselt. Dabei war wohl eigentlich die Uni Düsseldorf das Ziel. Auf einem Rechner dort wurde nämlich das Erpresserschreiben gefunden. Die Polizei kontaktierte die Täter und teilte ihnen mit, dass sie nicht die Uni sondern ein Krankenhaus lahmgelegt hatten und Menschenleben gefährden. Daraufhin händigten die Täter den Entschlüsselungscode aus und meldeten sich nicht mehr. Solche Angriffe kennt auch IT-Sicherheitsexperte Marian Kogler aus seiner Arbeit. Oft ginge ihnen ein monatelanges Ausspionieren voraus, in dem die Täter herausfinden, wie hoch sie das Lösegeld treiben können, sagt Kogler.

Symbolbild Kritische Infrastrukturen, das sind Einrichtungen, die eine wichtige Bedeutung für die Öffentlichkeit und die Funktion der Gesellschaft haben, sie sind potentielle Anschlagziele
Erpressungsversuche: Kriminelle verschlüsseln Daten und wollen Geld haben. Davor sind auch Stadtwerke oder Krankenhäuser nicht gefeit. Bildrechte: imago/Jochen Tack

Tests zeigen Schwächen von Technik – und Mensch

Kogler führt mit seiner Firma syret so genannte Penetration-Tests durch. Dabei simuliert er einen IT-Angriff auf das Unternehmen, das ihn dazu beauftragt. Erstaunlicherweise sitzt er dabei nicht nur am Computer in Halle. "Sie glauben gar nicht, wie einfach es sein kann, in ein Gebäude zu kommen." Und wer erst einmal physisch vor Ort ist, hat natürlich andere Möglichkeiten, in Computer einzudringen.

Gerade Krankenhäuser bieten dafür einige Möglichkeiten: Sie sind offen, in allen Patientenzimmer finden sich Netzwerkanschlüsse und wenn Schwestern oder Ärzte nicht im Zimmer sind, sind möglicherweise Computer nicht mit einem Passwort gesperrt. Deswegen hat Gerhard Oppenhorst von ESC einen klaren Wunsch: "Krankenhaus-Direktoren sollten mehr mit Experten sprechen und sich informieren. Sicherheit ist Chef-Thema!"

Medizinische Zulassung – veraltete Betriebssysteme

In Krankenhäusern sind Geräte mit medizinischer Zulassung im Einsatz, zum Beispiel Computertomografen (CT). Darauf kann auch ein veraltetes und deshalb nicht mehr sicheres Betriebssystem installiert sein. "Aber das Krankenhaus kann nicht einfach sagen, wir machen statt Windows 95 jetzt Windows 10 drauf", sagt  Henning Steiner, Journalist beim Hessischen Rundfunk. Er hat den empfehlenswerten Podcast "Cybercrime" gemacht und sagt im Podcast "digital leben": "Wenn das nämlich gemacht würde, würde das CT-Gerät seine Zulassung verlieren."

Die Zertifizierung medizinischer Geräte kann tatsächlich einen IT-Schwachpunkt in Krankenhäusern bieten, bestätigt auch Marian Kogler von syret aus Halle: "Eine Zertifizierung ist immer nur eine Momentaufnahme."

Technische Lösungen können nicht überall helfen

Gerhard Oppenhorst von ESC sagt, für viele Angriffe gebe es gute technische Lösungen. "Im Krankenhaus kann man für jedes Gerät so eine Art eine eigene Verteidigungslinie im Umfeld aufbauen." Außerdem ließen sich Bots einsetzen. Sie könnten den Internetverkehr überwachen und so bemerken, wenn eine Computereinheit sich nach außen verbinden will, die das eigentlich nicht tun sollte.

Bekannt gewordene Hacker-Angriffe und Warnungen

Immer wieder wird über spektakuläre Hacker-Angriffe berichtet.

  • "Stuxnet" hat zum Beispiel die iranische Atomaufbereitung gestört und geht wohl auf die USA und Israel zurück.
  • In Florida wurde ein Hacker-Angriff auf die Trinkwasserversorgung nur knapp verhindert.
  • Die Berliner Wasserbetriebe sind angeblich ungenügend gegen Angriffe geschützt.
  • Auch die Europäische Arzneimittel-Agentur sollte wohl angegriffen werden.
  • Hunderte US-Unternehmen und US-Ministerien sind vom SolarWinds-Hack betroffen.
  • Der Datenabfluss aus dem Bundestag ist noch immer nicht vollständig aufgeklärt.
  • Nicht immer ist es die Schuld von Hackern: In das geheime Treffen der EU-Verteidigungsminister im November 2020 per Videokonferenz hat sich ein niederländischer Journalist quasi mit dazu gesetzt hat. Die niederländische Verteidigungsministerin hatte ein Foto mit einem Teil des Zugangscodes zur Videokonferenz getwittert.
  • Und regelmäßig warnen Behörden. Das BSI (Bundesamt für Sicherheit in der Informationstechnik), Bundesverfassungsschutz und BND warnen Energieversorger zum Beispiel vor russischen Angriffen und der BSI-Lagebericht (PDF) aus dem Oktober 2020 bezeichnet die IT Sicherheitslage in Deutschland als "angespannt".

Ob dann allerdings eine kleine IT-Abteilung schnell genug reagieren kann, ist fraglich. Marian Kogler sagt zum Beispiel, wenn IT-Leute zu viele Security-Meldungen bekommen, könnten die entscheidenden Meldungen dabei übersehen werden. "Klar: Man kann nicht auf jede Schwachstelle vorbereitet sein.", sagt auch IT-Schützer Oppenhorst im Podcast "digital leben". Deshalb müssten sich alle Unternehmen der Gefahr bewusst sein und entsprechende Szenarien durchspielen.

Stromversorgung muss geschützt werden

Sie ist die kritische Infrastruktur, von der alle anderen abhängen: die Stromversorgung. Fällt sie großflächig und länger aus, hat das enorme Auswirkungen auf die Gesellschaft: Trinkwasser könnte nicht mehr in die Leitungen gepumpt werden, Abwasser nicht mehr weitertransportiert werden, nur wenige Tankstellen würden noch funktionieren, Internet und Mobilfunk würden ausfallen. Und je länger ein Stromausfall dauert, umso komplizierter, würde das Wieder-Hochfahren werden sagt Kogler.

Marian Kogler, Geschäftsführer von syret aus Halle

Kogler ist in Wien geboren, 29 Jahre alt, hat an der Technischen Universität Wien Informatik und Informatikmanagement studiert und in Leipzig und Halle in der IT gearbeitet. Die Firma syret (angelehnt an das  französische Wort für Sicherheit, "sûreté", und "sy" von System) hat er 2018 gegründet. Mittlerweile hat Kogler fünf Mitarbeiter. Die syret bietet auch Seminare zur IT-Sicherheit an und ist Teilnehmer der Allianz für Cyber-Sicherheit, die das BSI ins Leben gerufen hat. Kogler beschäftigt sich in seiner Freizeit gern mit Elektronik und Mikrocontrollern, spielt Tischtennis und druckt auf seinem 3D-Drucker mehr oder weniger nützliche Dinge aus.

Und weil immer mehr kleine Kraftwerke, private Solaranlagen und intelligente Stromzähler oder Kühlschränke ans Stromnetz kommen, würden die Stromnetze immer komplexer. Und dadurch fehleranfälliger. Das ist die Schlussfolgerung des Forschungsprojektes Esys (Energiesysteme der Zukunft), das großflächige Stromausfälle als besonders kritisch einstuft. Esys wurde auch von der Nationalen Akademie der Wissenschaften, der Leopoldina in Halle, mit ins Leben gerufen.

Gegen solche großflächigen Cyber-Sicherheit-Vorfälle will die AG KRITIS etwas unternehmen. Sie schlägt vor, ein Cyber-Hilfswerk einzurichten. Das kann – ähnlich wie das Technische Hilfswerk (THW) – in die Katastrophenhilfe eingebunden werden, sagt Manuel Atug von der AG KRITIS im Podcast "digital leben" Atug hält die Sicherheitsarchitektur in Deutschland grundsätzlich für nicht mehr zeitgemäß, weil es zu viele Zuständigkeiten gibt.

Kritische Infrastrukturen schützen

Zulieferer von Unternehmen der kritischen Infrastruktur wie ESC oder syret aus Halle gelten selbst nicht als kritische Infrastruktur. ESC-Geschäftsführer Gerhard Oppenhorst ist trotzdem vorbereitet: Die Firma besitzt verschiedene Notstromaggregate und auch Geräte, die Strom aus Gas herstellen können. Außerdem sind die ESC-Gebäude an zwei Strom-Versorgungsbereiche angeschlossen. "Man muss sich vorher Gedanken machen, sonst ist man hoffnungslos verloren", sagt Oppenhorst.

Denn auch wenn es Gesetze und Vorgaben gibt: Schützen müsse sich jede Firma und auch jedes Unternehmen einer kritischen Infrastruktur selbst. "Das kann nicht das ganze Land machen, sondern die Infrastrukturen müssen sich selbst verteidigen. Und das ist eine Frage, wie viel Geld Unternehmen dafür in die Hand nehmen", sagt Oppenhorst.

Derzeit hat die Corona-Pandemie die Lage zusätzlich verschärft, weil Arbeitsplätze im Home-Office nicht so gut zu schützen seien wie in der Firma, sagt Gerhard Oppenhorst. Und Marian Kogler vermutet gar Schlimmeres: "Weil es auch eine Wirtschaftskrise ist, könnten kompetente IT-ler, die ihre Jobs verloren haben, auch auf die dunkle Seite wechseln und zu Hackern werden."

Ein großer Mann mit Locken und Brille steht vor einer Betonwand.
Bildrechte: MDR/Viktoria Schackow

Über den Autor Marcel Roth arbeitet seit 2008 als Redakteur und Reporter bei MDR SACHSEN-ANHALT. Nach seinem Abitur hat der gebürtige Magdeburger Zivildienst im Behindertenwohnheim gemacht, in Bochum studiert, in England unterrichtet und in München die Deutsche Journalistenschule absolviert. Anschließend arbeitete er für den Westdeutschen Rundfunk in Köln. Bei MDR SACHSEN-ANHALT berichtet er über Sprachassistenten und Virtual Reality, über Künstliche Intelligenz, Breitbandausbau, Fake News und IT-Angriffe. Außerdem ist er Gastgeber des MDR SACHSEN-ANHALT-Podcasts "Digital leben".

MDR/Marcel Roth

404 Not Found

Not Found

The requested URL /api/v1/talk/includes/html/b715c776-dce9-458b-8746-8e3d61fd3e77 was not found on this server.

Mehr aus Sachsen-Anhalt