Erpressung Hunderte Dokumente veröffentlicht: Hacker erbeuten sensible Daten bei Angriff auf eine Appenzeller Arztpraxis Eine Appenzeller Arztpraxis ist Opfer einer Hackerangriffs geworden. Im Darknet sollen sich Hunderte sensible Patientendaten befinden. Das genaue Ausmass des Schadens ist noch unbekannt. Selina Schmid 12.05.2022, 17.00 Uhr

Bei einem ähnlichen Angriff in einer Neuenburger Gruppenpraxis sollen 20’000 Personen betroffen gewesen sein. Symbolbild: DPA

Die Hackergruppe Lockbit soll vor rund einem Monat eine Arztpraxis in Appenzell angegriffen haben. Am Montag tauchte im Darknet ein Paket angeblich erbeuteter, sensibler Patientendaten auf, wie «Inside IT» berichtete. Im Paket sollen sich Hunderte Dokumente befinden, die persönliche Daten von Patientinnen und Patienten beinhalten. Viele seien aktuelle Dokumente aus den Jahren 2021 und 2022. Die betroffene Arztpraxis bestätigt auf Nachfrage den Angriff. Über das Ausmass könne man aktuell noch keine Angaben machen. Die Praxis kümmere sich gemeinsam mit einem externen IT-Dienstleister um die Aufarbeitung. Auch sollen die betroffenen Patientinnen und Patienten informiert werden.

«Inside IT» stellte bei der Einsicht der Daten unter anderem Geschäftsdaten, Dokumente zu Behandlungen und Diagnosen, Labortests und Operationsaufklärungsprotokolle fest. Die meisten davon sollen vollständige Angaben zu Patientinnen und Patienten wie Name, Kontaktangaben, Geburtsdatum sowie zum Teil Versicherungsnummern von Krankenkassen enthalten. Auch sollen sich darunter Korrespondenzen mit Anwälten von Patienten zu Streitigkeiten bei Versicherungsfällen befinden.

Eine Erpressung aus dem Darknet

Ransomware-Attacken sind neben anderer Schadsoftware oder Phishing nur eine von zahlreichen Cyberbedrohungen. Gemäss dem Nationalen Zentrum für Cybersicherheit (NCSC) handelt es sich bei Ransomware-Attacken um eine Art Schadsoftware, welche Dateien auf dem Computer des Opfers und den verbundenen Laufwerken verschlüsselt. Die Daten werden für die Opfer unbrauchbar.

Häufig werde die Entschlüsselung der Daten gegen Lösegeld angeboten, weshalb Ransomware auch «Erpressungstrojaner» genannt werden. Sollte das Lösegeld nicht bezahlt werden, drohen die Erpresser mit der Veröffentlichung der Daten. Werden neben den Systemen auch die Sicherheitskopien der Daten verschlüsselt, könne das für Firmen und Behörden eine existenzielle Bedrohung sein, schreibt das NCSC.

Die Kantonspolizei Appenzell Innerrhoden bestätigt den Vorfall. Während Cyberdelikte regelmässig vorkommen, seien Vorfälle wie der Ransom-Angriff glücklicherweise selten, so Roland Koster, Mediensprecher der Innerrhoder Kantonspolizei. Hanspeter Saxer, Mediensprecher der Kantonspolizei Appenzell Ausserrhoden, sagt, dass bei der Kantonspolizei AR zunehmend Anzeigen wegen Ransomware-Attacken eingehen würden. Allerdings handle es sich in den konkreten Fällen bei den Betroffenen in der Regel um einzelne Personen und nur in ganz wenigen Fällen um Unternehmungen. Es müsse aber davon ausgegangen werden, dass nur ein geringer Teil der Fälle auch bei der Polizei zur Anzeige gebracht wird und die Dunkelziffer entsprechend hoch sei.

Lösegeld sollte nicht bezahlt werden

Die Hackergruppe Lockbit, die auch Mitglieder in der Schweiz haben soll, ist für mehrere Hackerangriffe verantwortlich. Das NCSC schreibt, dass 8 der seit Anfang Jahr insgesamt 56 gemeldeten Ransomware-Fälle von Lockbit ausgingen. Die Bande scheine vermehrt Schweizer Gesundheitseinrichtungen ins Visier zu nehmen, so «Inside IT». Lockbit hatte im März auch den Angriff auf mehrere Neuenburger Arztpraxen beansprucht, wo in einer Gruppenpraxis vermutlich über 20’000 Personen betroffen waren. Das Ausmass in Appenzell dürfte aber deutlich kleiner sein.

Gemäss der eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten besteht noch bis 1. September 2023 keine Meldepflicht bei solchen Vorfällen. Da es sich bei Patientendaten in der Regel aber um Gesundheitsdaten handle und diese besonders schützenswert sind, müsse die Praxis die Betroffenen zeitnah und umfassend über den Vorfall informieren. Die Praxis müsse ausserdem unverzüglich Massnahmen treffen, um den Defiziten im Bereich Datenschutz und Datensicherheit zu begegnen.

Im Fokus der Angreifer stehen gemäss NCSC alle verwundbaren Systeme, unabhängig davon, ob es sich um kleine oder grosse Unternehmen oder Behörden handelt. Das NCSC rät von der Zahlung des Lösegelds ab, da es keine Garantie gäbe, dass die Verbrecher nach der Bezahlung des Lösegelds die Daten nicht doch veröffentlichen oder anderen Profit daraus schlagen.

«Zudem motiviert jede erfolgreiche Erpressung die Angreifer zum Weitermachen, finanziert die Weiterentwicklung der Angriffe und fördert deren Verbreitung.»

Wird eine solche Attacke festgestellt, empfiehlt das NCSC, die infizierten Systeme umgehend vom Netz zu trennen und das Ausmass der Infektion festzustellen. Danach sollten bei der zuständigen Polizeibehörde Strafanzeige erstattet werden und die betroffenen Systeme neu installiert werden.

Software wird lukrativ vermietet

Lockbit 2.0 ist eine sogenannte Ransomware-as-a-Service-Plattform, was bedeutet, dass Lockbit selbst Angriffe ausübt und darüber hinaus ihre Software anderen zur Verfügung stellt, ähnlich wie legitime Software-Hersteller wie Microsoft oder Google. Das NCSC schreibt: «So müssen Cyberkriminelle diese nicht selber entwickeln respektive müssen nicht selbst über entsprechende technischen Fähigkeiten verfügen, sondern können die Schadsoftware ohne Aufwand nutzen.»

Zahlreiche Meldungen über Ransomware-Angriffe auf Schweizer Unternehmen und Gemeinden deuten darauf hin, dass dieses Geschäftsmodell im Darknet vermehrt verwendet wird. Da das NCSC kein aktives Monitoring im Darknet vornimmt, kann dies aber nicht abschliessend beurteilt werden. Das NCSC schreibt:

«Solange es Opfer gibt, die das geforderte Lösegeld zahlen, lohnt sich das Businessmodell der Angreifer.»

Darum sei es gemäss NCSC wichtig, regelmässige Sicherheitskopien wichtiger Daten extern und offline zu erstellen, wie beispielsweise auf einer externen Festplatte. Die Systeme sollten immer auf aktuellem Stand gehalten werden. Auch sollte man eine Multi-Faktor-Authentisierung einführen und Mitarbeitende zum Thema Cybersicherheit schulen. Weiter sei hilfreich, gefährliche E-Mail-Anhänge auf dem E-Mail-Gateway zu blockieren. Das NCSC koordiniert ausserdem die nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken.

Die Kantonspolizei Appenzell Innerrhoden verweist für Verhaltenstipps auf die Seite der Schweizerische Kriminalprävention. Die Website No More Ransom ist ein gemeinsames Projekt der niederländischen Polizei und von Europol. Auch die Schweiz ist daran beteiligt. Auf der Seite finden sich Tipps, um die Schadsoftware zu identifizieren und die Möglichkeit, bereits bekannte Schlüssel herunterzuladen.

