Lange Zeit war es still um die fast totgesagte Gattung des Makro-Virus, nun ist es wieder da: Geschickt getarnt als weißer Text auf weißem Grund baut sich das eigentliche Virus erst dann zusammen, wenn die Datei geöffnet wird. Andere Varianten des Virus gelangen als ZIP-Datei getarnter Mail-Anhang auf die Rechner der Opfer. Einmal aktiviert, werden im Hintergrund Dokumente und Bilder verschlüsselt. Dabei greift das Virus auch auf Netzlaufwerke zu und verschlüsselt die dort gefundenen Dateien. Dies ist besonders kritisch im Kontext der Krankenhaus-IT, da sich hier Netzlaufwerke als die zentrale Dateiablage und Schnittstelle zum Datenaustausch etabliert haben. Folgende Faktoren machen Krankenhäuser besonders empfänglich für diese Art von Virus:
- Die Anzahl der Endgeräte steigt kontinuierlich an, gleichzeitig muss der Aufwand für die Administration reduziert werden. Lokale Datenhaltung wurde daher durch zentrale Datenhaltung auf Netzlaufwerke ersetzt.
- Die Zugriffsberechtigungen auf die Netzlaufwerke sind vergleichsweise offenen, wenn überhaupt existent. So gibt es immer eine Vielzahl an Personen, welche aufgrund ihrer verschiedenen, wechselnden Rollen im Unternehmen auch Zugriff auf verschiedene Laufwerke benötigen. Auf diese Weise entsteht ein Geflecht von Berechtigungen, bei dem am Ende der Virus – von einer Berechtigungsgruppe zur anderen springend – verschiedene Freigabebereiche und somit letztendlich alle Dateien infizieren kann.
- Viele Systeme sind über mehrere Endgeräte verteilt und nutzen selber Netzlaufwerke zur Bereitstellung von Daten für die verschiedenen Clients. Häufig werden die Netzlaufwerke auch genutzt, um die Daten dauerhaft dort abzulegen. Eine Schnittstelle zur Langzeitarchivierung ist nicht existent, oder ein Langzeitarchiv besteht nicht. Natürlich können über ein Backup der Laufwerke die Daten wieder hergestellt werden – dies gilt aber nicht für alle seit dem letzten Backup neu hinzugekommenen Daten.
- Die Kommunikation per Mail mit Anhang ist in den Krankenhäusern weit verbreitet, sowohl innerhalb des Unternehmens wie auch mit externen Partnern. Beispielsweise sind Initiativbewerbungen per Mail mit als Datei angehängtem Lebenslauf samt Zeugnissen nichts Ungewöhnliches. Standardmäßig wird die Endung einer Datei nicht angezeigt, die Anwender sind es gewohnt, dass bei Aktivieren des Anhangs sich dieser auch öffnet. Wie sollen die Anwender unterscheiden, ob es sich um ein „gutes“ PDF oder ein „böses“ DOCX oder ZIP handelt? Technische Lösungen zur Vermeidung von Mailanhängen scheitern regelmäßig an der Bequemlichkeit der Anwender.
Das vom Virus betroffen und weitgehend lahmgelegte Lukaskrankenhaus in Neuss gehört nach eigenen Angaben zu den Top-Kliniken in Deutschland mit einer jährlichen Platzierung unter den 100 besten Kliniken Deutschlands. Vor kurzem erst ließ sich Bundesgesundheitsminister Hermann Gröhe im Lukaskrankenhaus über die „Visite 2.0“ informieren und lobte die Lösung als „ein tolles Beispiel, wie durch den Einsatz von Informationstechnik die Patienteninformation verbessert und Übertragungsfehler vermieden werden können.“
Ähnlich das ebenfalls vom Virus betroffene Klinikum Arnsberg: Auch hier ist das Klinikum an den verschiedenen Standorten nur eingeschränkt funktionsfähig, da verschiedene Systeme nach Virenbefall aus Sicherheitsgründen deaktiviert oder im Funktionsumfang eingeschränkt worden sind.
Beide Beispiele zeigen: Auch eine moderne und auf dem Stand der Technik agierende Krankenhaus-IT kann von Viren betroffen und in der Funktionsfähigkeit massiv eingeschränkt werden. Eine wichtige Ursache liegt in der umfangreichen Nutzung von Netzwerklaufwerken.
Welche Maßnahmen müssen ergriffen werden, um die Auswirkungen eines Schädlingsbefalls zu reduzieren?
- Berechtigungen für Netzlaufwerke entflechten: Es muss sichergestellt werden, dass die Verbreitung des Virus über Anwender mit umfangreichen Berechtigungen auf verschiedene Netzlaufwerke verhindert wird.
- Einrichtung Langzeitarchivierung: Netzlaufwerke sind nur für die Ablage von Bewegungsdaten geeignet. Aufzuhebende Daten müssen in einem Langzeitarchiv gelagert werden, sodass bei Befall mit Schadsoftware alle Netzlaufwerke auf den Zustand vor dem Virenbefall zurückgesetzt werden können.
- Analyse der Netzwerk-Aktivitäten: Moderne Netzwerkkomponenten sind in der Lage, Maßnahmen bei ungewöhnlichen Aktivitäten von Clients und Server zu treffen. So könnten Clients vom Netzwerk getrennt werden, wenn sie auf eine Vielzahl an Dateien eines Netzlaufwerks zugreifen.
- Sensibilisierung der Anwender: Jeder Nutzer entscheidet letztendlich selbst, welchen Dateianhang er öffnet. Zwar werden Mails zunehmend persönlicher für den Anwender, aber anhand einiger Prüfungen lässt sich Schadsoftware und Spam doch erkennen. Die Anwender müssen für das Thema sensibilisiert werden, um Wachsamkeit zu fördern.
Eine zunächst als naheliegend und einfach umzusetzen erscheinende Maßnahme wird jedoch auf Dauer kaum realisiert werden können: Das konsequente Unterbinden der Nutzung von Mailanhängen, um Schadsoftware diesen Weg in die Krankenhaus-IT zu verwehren. Dazu gibt es scheinbar zu viele Geschäftsprozesse, die auf dieser Art der Kommunikation basieren. Und zu viele Entscheidungsverantwortliche, die dieses Art der Kommunikation einsetzen und daher technische Lösungen verlangen.
Nachtrag vom 17. März 2016, 16:45 Uhr
Das BSI hat ein Themenpapier veröffentlicht, das Unternehmen und Behörden beim Umgang mit Schadprogrammen eine pragmatische Hilfestellung gibt. Es steht auf der Website des BSI kostenlos zum Download zur Verfügung: Ransomware: Bedrohungslage, Prävention & Reaktion