Am 19. September 2021 kam es bei der SRH aufgrund eines Hackerangriffs zu einem IT-Sicherheitsvorfall. Wie es dazu kam, was die Auswirkungen waren und vor allem welche Maßnahmen im Rahmen des Wiederherstellungsprozederes ergriffen wurden, berichtet Patrick Mombaur, Vorstand der SRH im folgenden Interview.
Herr Mombaur, Sie sind Vorstand der SRH. Inwiefern tangiert Sie dabei das Thema IT-Sicherheit tagtäglich und welche Relevanz hat es für Ihr Unternehmen/Ihre Organisation?
Das Thema IT-Sicherheit ist in unseren Unternehmen jeden Tag sehr präsent, auch durch unsere Erfahrung. Im technischen Bereich ist es durch unsere Zusammenarbeit mit einem Security Operations Center (SOC) alltäglich. Bei den Anwender:innen arbeiten wir daran, eine neue Sicherheitskultur zu etablieren. So werden sie für Sicherheitsrisiken, wie z. B. Phishing-Attacken, zunehmend und z. T. täglich sensibilisiert.
Am 19. September 2021 kam es in Ihrem Konzern zu einem IT-Sicherheitsvorfall. Was war passiert?
Der 19. September war das finale Anschlagsdatum auf die SRH. An diesem Tag haben Unbekannte Teile unserer Infrastruktur zerstört. Wie wir nachträglich herausfinden konnten, waren die Angreifer aber schon Wochen davor in unseren Systemen aktiv. Sie haben sich dort mit intelligenten Tools, die ihre Spuren verwischen sollten, ausgebreitet und den Anschlag vorbereitet. Der finale Anschlag fand dann, wie wohl bei derartigen Angriffen üblich, am Wochenende statt.
Wie haben Sie den IT-Sicherheitsvorfall entdeckt?
Durch den Angriff fiel die Basis-Infrastruktur für unsere Geschäftsbereiche Bildung und Verwaltung weitestgehend aus. Der Bereitschaftsdienst unseres IT-Infrastrukturteams bemerkte diesen Ausfall sehr schnell und konnte somit unmittelbar vor Ort den Umfang des Ausfalls sichten. Unsere klinischen Systeme waren kein direktes Ziel des Angriffs, dadurch deutlich weniger, aber doch auch durch Kollateraleffekte – z. B. die Zerstörung von Basissystemen wie Hypervisoren und Mailsystemen – betroffen.
Was war die Ursache für den IT-Sicherheitsvorfall? Gab es einen externen Angreifer? Gab es Forderungen, z. B. Lösegeld, oder wurden Daten abgezogen und damit erpresst? Wie erfolgte eine etwaige Zahlung (z. B. mittels Bitcoins)?
Wir wurden Opfer eines klassischen Erpressungsversuchs einer hochprofessionell arbeitenden Gruppe. Die Eindringlinge hatten die Absicht, uns durch den Angriff auf unsere Infrastruktur zur Zahlung eines Lösegeldes in Bitcoins zu zwingen. Dieser Forderung sind wir ausdrücklich nicht nachgekommen! Das hat mehrere Gründe: Zum einen wollen wir diesen kriminellen Machenschaften keinen Vorschub leisten; zum anderen spielen aber auch ganz konkrete Sicherheitsaspekte eine Rolle: Auch nach einer etwaigen Zahlung kann man sich schließlich nicht sicher sein, ob die Infrastruktur tatsächlich wieder herstellbar ist oder ob die Angreifer beispielsweise „Schläfer“ im System hinterlassen haben. In sehr wenigen Einzelfällen wurden auch personenbezogene Daten gestohlen, jedoch keine klinischen Daten. Wir konnten unsere Infrastruktur vollständig mit eigenen Mittel wiederherstellen. Dabei hat uns besonders geholfen, dass wir über hervorragende und getrennt gesicherte Back-ups verfügten.
Haben Sie die Polizei oder z. B. das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeschaltet?
Unmittelbar nach dem Entdecken des IT-Sicherheitsvorfalls richteten wir einen Krisenstab ein und erstatteten Anzeige beim Landeskriminalamt. Zudem haben wir das BSI aufgrund unserer KRITIS-Einrichtungen eingebunden.
Wie sind Sie bei der Wiederaufnahme des (IT-)Betriebs vorgegangen? Was waren die ersten und die nachfolgenden Maßnahmen?
Der erste Schritt war die Wiederherstellung unserer Basis-Infrastruktur inkl. Domain-Verwaltung und Benutzerkonten. Dies geschah nach neuen internen Sicherheitsmaßstäben. So wurden bspw. die Administrationsrechte noch restriktiver gestaltet und in allen Bereichen eine 2-Faktor-Authentifizierung eingeführt. Zeitgleich bauten wir eine neue IT-Sicherheitsarchitektur auf. Neben dem Einrichten von „Endpoint Detection and Response“-Lösungen (EDR) auf sämtlichen IT-Komponenten und Endgeräten arbeiten wir nun mit einem Security Operations Center (SOC) zusammen. Dieses überwacht unsere Systeme KI-basiert 24/7 und erkennt jegliche Unregelmäßigkeiten und mögliche Angriffe auf unsere IT. Das erneute Aufsetzen der virtuellen Server erfolgte gemäß Geschäftsprioritäten. So waren unsere geschäftskritischen Hauptsysteme innerhalb der ersten drei Wochen wiederhergestellt und nach etwa acht Wochen 80 – 90 % unserer Systeme, inkl. Mailverkehr.
Ist zwischenzeitlich der Ursprungszustand wiederhergestellt?
Ja, jedoch auf Basis einer neuen Grundarchitektur, z. B. durch die vermehrte Nutzung von Cloud-Konzepten und somit auch in anderer Nutzungsweise für die Anwender. Die Funktionalitäten unserer Anwendungslandschaft stehen wieder vollumfänglich zur Verfügung, zumindest, soweit wir nicht bewusst beschlossen haben, einzelne Applikationen wegen Sicherheitsbedenken nicht mehr anzustarten.
Was hat Ihnen am meisten geholfen, zum Ursprungszustand zurückzukehren?
Zunächst einmal möchte ich klar sagen, dass die Bewältigung einer solchen Attacke eine große physische und psychische Herausforderung ist – für das Unternehmen, die IT-Nutzer und die Mitarbeitenden in der IT. Und es ließen sich eine ganze Menge an Erfolgsfaktoren auflisten, technischer und nicht technischer Art, Als ganz besonders habe ich den sehr guten Zusammenhalt im Krisenmanagement zwischen „Business“ und IT empfunden. Wir haben in beeindruckender Weise unsere Resilienz demonstriert, das beherzte gemeinsame Zugreifen war ausschlaggebend. Durch die Bewältigung dieses Ausnahmezustands stieg das gegenseitige Verständnis aufseiten der Anwender und der Informationstechnologie. Bei der technischen Wiederherstellung haben gute Back-ups und bestehende Wiederanlaufpläne sehr geholfen.
Hatten Sie präventive Maßnahmen zur Angriffserkennung und/oder Wiederherstellung ergriffen? Wenn ja, welche?
Neben einem bestehenden hohen Sicherheitsniveau durch z. B. Virenscanner, Firewalls und dazugehörige Prozesse hatten wir schon vor dem Angriff ein Sicherheitsmonitoring etabliert und in regelmäßigen Abständen Security-Benchmarks und auch Penetrationstests durchgeführt. In diesen Sicherheitsanalysen lagen wir in der Regel über dem Markt-Durchschnitt. Wir mussten aber erkennen, dass dies nichtsdestotrotz nicht ausreichend war.
Was waren insgesamt die Auswirkungen? Wie hoch war der Schaden und was hat die Wiederherstellung gekostet?
Aus Sicherheitsgründen wurde die IT in den ersten Tagen weitestgehend vom Netz genommen, dann Schritt um Schritt wieder aufgebaut und produktiv gesetzt. Dadurch entstehen natürlich Beeinträchtigungen für das operative Geschäft, und die Organisation ist auf die Wiederherstellung fokussiert. Dieser mittelbare Schaden ist kaum bezifferbar. Der unmittelbare finanzielle Schaden durch den Einsatz externer Ressourcen in der IT und in unseren Geschäftseinheiten lag unter einer Million Euro. Andererseits haben wir nun aber auch deutliche Wertgewinne bzgl. Absicherung. Sie sehen, hier ist es schwer, eine eindeutige Bilanz zu ziehen.
Gab oder gibt es eine Cyber-Security-Versicherung, die für den Schaden eintrat?
Nein.
Hat der IT-Sicherheitsvorfall Ihre Einstellung zum Thema Cyber-Security verändert?
Ja, auf jeden Fall. Die Bedeutung der Cyber-Security war mir stets bewusst, auch in meinen vorhergehenden Tätigkeiten als CIO. Durch den IT-Sicherheitsvorfall hat sich dies nochmal gesteigert und ist zu einem Schwerpunkt für mich geworden. Auch im Unternehmen ist die Sensibilität der Anwender:innen für IT-Sicherheit weiter gestiegen.
Wie wichtig ist eine externe Begleitung bei einem IT-Sicherheitsvorfall, z. B. durch einen Berater?
Externe Begleitung ist unerlässlich. Man benötigt ab dem ersten Tag eines IT-Sicherheitsvorfalls einen Berater mit Erfahrung im Umgang mit Hackern sowie in der Kommunikation mit den Behörden. Zur Wiederherstellung der Systeme hilft ein externer IT-Dienstleister, da in sehr kurzer Zeit viele Kapazitäten erforderlich sind. Die externe Unterstützung erfordert jedoch eine enge Steuerung durch einen selbst, um die eigenen Prioritäten zu setzen und eine ausgewogene Balance aus Sicherheit und Geschwindigkeit der Wiederherstellung zu gewährleisten.
Was würden Sie anderen Unternehmen auf Basis der gemachten Erfahrungen empfehlen?
Es ist offensichtlich unabdingbar, regelmäßig die Qualität/Aktualität und separate Absicherung der Back-ups zu prüfen. Ohne diese ist man im Falle eines Angriffs wohl völlig aufgeschmissen. Bzgl. technischer Prävention würde ich das SOC-Konzept empfehlen. Auf Organisationsseite ist es unabdingbar, seine Anwender frühzeitig für das Thema Cyber-Security im Tagesgeschäft zu sensibilisieren. So sollten den Anwendern beispielsweise Unregelmäßigkeiten an ihren Endgeräten auffallen und sie sollten höchst aufmerksam bei möglichen Phishing-Attacken sein. Grundlegend muss das Alert-Level der Organisation steigen!
Lieber Herr Mombaur, wir danken Ihnen für das Gespräch.
Dieser Artikel stammt aus unserem Mandantenmagazin Curacontact, das 4 x im Jahr aktuelle Themen für die Gesundheits- und Sozialwirtschaft, für Öffentlichen Sektor und Kirche aufbereitet. Interesse? Jetzt kostenlos abonnieren!
Erfahren Sie auch mehr zu unserer Mandantenzeitschrift Curacontact.