Hacker klemmen Gesundheitsamt ab

Keine Corona-Infos aus Ludwigslust-Parchim

03.11.2021
Von 
Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP; Betreuung von News und Titel-Strecken in der Print-Ausgabe der COMPUTERWOCHE.
Die IT-Systeme im Gesundheitsamt in Ludwigslust-Parchim stehen nach einem Hackerangriff Mitte Oktober immer noch still. Daten zur aktuellen Corona-Situation können nicht übermittelt werden.

Ganz Deutschland ist vom Corona-Virus befallen. Ganz Deutschland? Nein. Aus einem Gebiet im Norden der Republik werden keine neuen Corona-Fälle gemeldet. Während fast alle Landkreise inzwischen wieder gelb bis tiefrot eingefärbt sind und Inzidenzen zwischen 50 und über 600 aufweisen, hat ein Landkreis eine weiße Weste. Seit Mitte Oktober meldet Ludwigslust-Parchim in Mecklenburg-Vorpommern laut den Daten des Robert-Koch-Instituts (RKI) null Neuinfektionen und einen Inzidenzwert von 0,0. Das liegt aber an einem anderen Virus - einem digitalen.

Weißer Fleck in Corona-rotem Feld - aus dem Landkreis Ludwigslust-Parchim gibt es wegen eines Hackerangriffs derzeit keine Corona-Daten.
Weißer Fleck in Corona-rotem Feld - aus dem Landkreis Ludwigslust-Parchim gibt es wegen eines Hackerangriffs derzeit keine Corona-Daten.
Foto: RKI

Am Morgen des 15. Oktober wurde der IT-Dienstleister SIS/KSM, der die IT-Systeme der Verwaltung in Schwerin, der Landeshauptstadt von Mecklenburg-Vorpommern, und in angrenzenden Landkreisen - darunter Ludwigslust-Parchim - betreut, von bis dato unbekannten Hackern mit einer Verschlüsselungssoftware attackiert. Der Angriff war erfolgreich und legte innerhalb kürzester Zeit die gesamte Stadtverwaltung von Schwerin lahm. Bürgerservices waren nicht mehr erreichbar. Was in Schwerin passierte, lesen Sie hier.

Bis der Verwaltungsbetrieb wieder reibungslos funktioniert, dürfte es noch dauern. Zwar laufen erste Server-Systeme wieder, doch Matthias Effenberger, Geschäftsführer des von der Attacke betroffenen Behörden-IT-Dienstleisters SIS/KSM, verweist auf die komplexen Abhängigkeiten und Schnittstellen zwischen den einzelnen Fachverfahren. Zudem müssten insgesamt über 4000 Endgeräte forensisch darauf untersucht werden, ob eine Kontamination mit Malware vorliege.

Hacker hatten Windows-Server im Visier

Effenberger bestätigte, "dass eine softwaregesteuerte Verschlüsselung von einzelnen Servern stattgefunden hat und hierbei insbesondere Windows-Server angesteuert wurden". Ursache sei allerdings kein Trojaner-Befall gewesen, um andere Schadprogramme nachzuladen und auf den Servern und Computern zu installieren. Vielmehr sei eine legale Verschlüsselungssoftware zum Einsatz gekommen, die Unternehmen auch im normalen Geschäftsbetrieb verwenden.

Matthias Effenberger, Geschäftsführer von SIS/KSM, kann noch nicht sagen, wie die Hacker die Sicherheitsmaßnahmen ausgehebelt haben und welche Daten möglicherweise gestohlen wurden.
Matthias Effenberger, Geschäftsführer von SIS/KSM, kann noch nicht sagen, wie die Hacker die Sicherheitsmaßnahmen ausgehebelt haben und welche Daten möglicherweise gestohlen wurden.
Foto: SIS/KSM

"Spezielle Schadsoftware, die eigenständig Daten verschlüsselt und sich weiter ausbreitet, wurde zum jetzigen Zeitpunkt nicht identifiziert", sagte der Manager Anfang November. Von Spekulationen, Hacker hätten die Malware "Mimikatz" eingesetzt, distanzierte er sich. Allerdings dauerten die forensischen Untersuchungen zum Tathergang noch an. Damit bleibt offen, wie die Cyber-Kriminellen die Sicherheitsmechanismen umgehen konnten. Mimikatz ist ein wirkungsvolles Werkzeug, um Passwörter abzugreifen und Windows-Systeme zu attackieren - wie das geht, lesen Sie hier.

Marathon bis zum Normalbetrieb

Der SIS/KSM-Geschäftsführer geht davon aus, dass sämtliche Datenbestände als Backup verfügbar sind und zur Wiederherstellung der Systeme verwendet werden können. Allerdings müssten auch diese Backups zunächst forensisch untersucht werden. Wie lange das dauert, ist unklar. Effenberger spricht von einem Marathon. "Ein Übergang in den Normalbetrieb wird es wohl erst im kommenden Jahr geben, und es werden sicherlich auch einige Nacharbeiten erforderlich werden."

Den Vorwurf, dass an der Sicherheit gespart worden sei, will der Manager indes nicht gelten lassen. "Wir haben jedes Jahr viel Geld in unsere IT-Systeme und entsprechende Schutzmechanismen investiert." Auch die für derartige Situationen vorbereiteten Notfallpläne hätten funktioniert. Der Krisenstab sei innerhalb von nur wenigen Stunden arbeitsfähig gewesen. Die unverzüglich eingeleiteten Sofortmaßnahmen hätten ein weiteres Ausbreiten des Schadens verhindert.

IT-Sicherheit ist ein Wettlauf geworden

Grundsätzlich könne es eine 100-prozentige Sicherheit nicht geben, sagt Effenberger. Kriminelle Angreifer würden weiter versuchen, bestehende Schutzmechanismen zu umgehen. "IT-Sicherheit ist zu einer Art Wettlauf geworden." Welche Schäden der aktuelle Angriff verursacht hat und wer dahintersteckt, müssten die Ermittlungen ergeben. Der Manager will nicht ausschließen, dass die Hacker auch personenbezogene Daten erbeutet haben. Konkrete Erkenntnisse dazu gebe es bislang jedoch nicht. Effenberger verweist auf die Staatsanwaltschaft, die detaillierte Untersuchungen vornehme. "Ermittelt wird gegen Unbekannt wegen Computersabotage."

Vorerst sind die IT-Systeme der Verwaltung nur eingeschränkt nutzbar. Das gilt auch in Sachen Corona-Daten. Zwar kann der Landkreis auf seinen Web-Seiten über die aktuelle Situation informieren, die Vernetzung in angeschlossene Systeme wie beispielsweise zum RKI ist jedoch abgeschnitten. "Aufgrund der aktuellen Situation nach einem IT-Angriff können zurzeit nur in den Bereichen "7-Tage-Inzidenz Hospitalisierung", "Neuinfektionen", "Bestätigte Fälle gesamt" sowie "stationäre Patienten / davon ITS" Aktualisierungen vorgenommen werden", heißt es auf der Seite. "Wir bitten um Verständnis."