• Home
  • News
  • Diagnose: lebensbedrohlicher Virus aufgedeckt, Patient außer Lebensgefahr
22.02.2019
Diagnose: lebensbedrohlicher Virus aufgedeckt, Patient außer Lebensgefahr

Krankenhäuser werden immer wieder aus dem Cyberraum angegriffen. Wie dies beispielhaft ablaufen kann und welche Lösungen es heute schon gibt, erläutert CYOSS anhand eines typischen Krankheitsverlaufs im folgenden fiktiven Beispielfall.

Ein Krankenhaus war einige Tage in stationärer Behandlung von CYOSS, einem europaweit führenden Anbieter von Cyber-Sicherheitslösungen für kritische Infrastrukturen.

Symptome
Das Krankenhaus stellte sich mit Symptomen wie Warnmeldungen des Virenscanners und Fehlermeldungen im Betriebssystem in der Notfallambulanz der CYOSS vor. Der Patient klagte darüber, dass Angestellte keinen Zugriff mehr auf ihre Computer hätten. Zahlreiche OP-Termine mussten verschoben werden. Der IT-Leiter habe die Office-IT nach Bekanntwerden der Störung abgeschaltet, deshalb hätten zeitweise auch keine Telefonanrufe angenommen werden können. Weitere Beschwerden waren verminderte Datengeschwindigkeit und seit dem Vortag der Ausfall mehrerer Rechner. Datentransfer ansonsten unauffällig, keine Hinweise auf anatomische Unregelmäßigkeiten. Im vergangenen Jahr war bei dem Patienten bereits eine Episode ähnlicher Beschwerden vorangegangen. Sein damaliger IT-Sicherheitsdienstleister hatte ihn lokal mit einem Anti-Virus-Programm behandelt.

Beurteilung und Verlauf
Die klinische Symptomatik mit Änderungen an Konfigurationen und neu angelegten Administratorkonten in Kombination mit den laborchemischen Hinweisen auf Anmeldungen aus ungewöhnlichen Ländern und zu ungewöhnlichen Uhrzeiten legten die Verdachtsdiagnose eines Befalls mittels eingeschleuster Schadsoftware nahe. So wird Erpresser-Software genannt, die sich auf den Rechnern installiert, Dateien verschlüsselt und dann alle weiteren Aktionen blockiert.
Dr. Oliver Hanka von der IT-Sicherheitsfirma CYOSS teilte mit, dass die Schadsoftware bereits seit mehreren Wochen den Organismus befallen und sich seitdem "aggressiv" verbreitet hätte. Zur Diagnosesicherung wurde durch CYOSS eine Sicherheitsanalyse durchgeführt, welche die größten Sicherheitslücken und Risiken aufzeigt. Befund: Sicherheitslevel Grad 1 ungenügend. Dabei zeigte sich passend zum Erstbefund ein unzureichendes Administratoren- und Rollenkonzept für die Office-IT und eine fehlende Sensibilisierung der Mitarbeiter. Aufgrund des deutlich reduzierten Allgemeinzustandes des Patienten und der bereits ausgeprägten Symptomatik wurde der Patient stationär aufgenommen. Insgesamt waren sieben Abteilungen befallen. Der Virus hatte bereits gestreut und einen Großteil der Daten verschlüsselt. Es entstand ein Schaden von 750. 000 Euro.

Behandlung
Durch CYOSS wurden in einer mehrstündigen Operation der Virus entfernt und die Betriebssysteme wiederhergestellt. Darüber hinaus wurde dem Patienten am offenen Herzen ein Cyber-Security-Cockpit inklusive SOC-Service-Leistungen installiert. Mittels implantierter Sensoren wird künftig tagesaktuell der Cyber-Sicherheitsstand aufgezeigt und rechtzeitig auf Auffälligkeiten und Sicherheitslücken hingewiesen. Unterstützend bekam der Patient eine Awareness-Schulung für seine Mitarbeiter verabreicht. Nur so konnte eine ganzheitliche Therapie sichergestellt werden, die das Cyber-Sicherheitsniveau dauerhaft erhöhen wird.
Unter der Therapie besserte sich der Zustand des Patienten rasch. Am zweiten Tag des stationären Aufenthaltes kam es zur Normalisierung des OP-Alltags, sodass die weitere Therapie beim Patienten vor Ort erfolgen konnte. Dieser wird seitdem durch erfahrene Cyber-Sicherheitsspezialisten von CYOSS betreut.

Weiterführende Medikation
5-tägige Schulung in Detection & Response für die IT-Sicherheitskräfte, um künftig Angriffe schneller zu entdecken und routiniert darauf zu reagieren. Darüber hinaus wird jährlich ein präventives Sicherheitsaudit durch CYOSS durchgeführt.

zurück