«An einer nationalen Katastrophe vorbeigeschlittert»

Ende Fabruar wurde ein Ransomware-Angriff auf den Schweizer Spital-Softwareanbieter Cistec bekannt. Cistec ist Hersteller des Klinikinformationssystems Kisim und nennt eine Reihe von wichtigen Spitälern auf seiner Kundenliste, etwa die Solothurner Spitäler SoH, das Spitalzentrum Biel sowie KSA, KSB, KSW und USZ. Wie Cistec auf Anfrage gegenüber dem Fachportal «Inside IT» erklärt, hätten die Angreifer eine Schwachstelle in einer Netzwerk-Komponente ausgenutzt. So seien sie in das interne Netzwerk eingedrungen und konnten die an das Active Directory angebundenen internen Dienste kompromittieren.

Die Frage, ob eine Lösegeldforderung eingetroffen ist, kommentiert das Unternehmen auf Anfrage hin nicht.

Nach aktuellem Kenntnisstand entstand durch den Angriff auf Cistec bei den Kunden kein Schaden. Man habe die Kundensysteme intensiv getestet, schreibt Cistec weiter. Dies sei durch Spezialisten von GovCert und Infoguard sowie durch die Kunden selbst geschehen. «Bei keiner dieser Prüfungen wurde eine Kompromittierung der Kundensysteme gefunden», so Cistec.

Dies hätte aber ganz anders kommen können, wie mehrere voneinander unabhängige Quellen gegenüber «Inside IT» erklärten. Man sei «knapp an einer nationalen Katastrophe vorbeigeschlittert», so eine Person. Eine andere spricht von einem potenziellen Super-GAU.

Um nach dem Angriff die Ausbreitung auf weitere Systeme zu verhindern, habe Cistec seine Systeme heruntergefahren, wie das Unternehmen im Februar erklärte. Da man selbst keine Patientendaten von Kundensystemen speichere, könne man ausschliessen, dass Patientendaten verschlüsselt oder gestohlen wurden, beschwichtige das Unternehmen.

Kunden äussern in dieser Beziehung aber grosse Sorgen. Denn mehrere Spitäler hätten nachweisen können, dass die Angreifer, einmal bei Cistec im System, Angriffe in Richtung der Kundensysteme unternommen hätten, berichten gleich mehrere Quellen. Konkret seien automatisierte Scans und Loginversuche durchgeführt worden. Ob diese erfolgreich waren, bleibe unklar.

Aber mit etwas mehr Mühe hätten die Angreifer wohl mehrere Spitäler lahmlegen können, kommentiert eine Quelle.

Das grosse Problem ist demnach das Setup des Betriebs. Das Klinikinformationssystem Kisim werde zwar in den Rechenzentren der Kunden betrieben, aber von Cistec gewartet und aktualisiert. Cistec könne über eine VPN-Verbindung auf die Systeme bei den Kunden zugreifen, um diese zu warten oder um Updates einzuspielen.

In einer E-Mail an Kunden, die «Inside IT» vorliegt, hat der Anbieter deshalb nach dem Angriff empfohlen, diesen VPN-Zugang vorübergehend schliessen.

Dieses Setup stelle ein grosses Risiko dar, erklärt eine Quelle. Wenn Cistec gehackt wird und entsprechende Zugangsdaten kompromittiert sind, seien auch die Kundenspitäler in Gefahr. Es sei wohl schieres Glück gewesen, dass die Angreifer nicht versucht hätten, IT-Systeme der Spitäler zu verschlüsseln.

Problematisch sei insbesondere, dass man als Kunde nicht hundertprozentig ausschliessen könne, dass die Angreifer nicht doch auf den Systemen der Spitäler waren. Denn man könne nicht sicher sein, dass ein Zugriff, der legitim aussehe, auch tatsächlich legitim gewesen sei.

Angesprochen darauf, schreibt Cistec, dass man die neue Systemumgebung «in enger Zusammenarbeit mit externen Spezialisten nach den neusten Security-Standards aufgebaut» habe. Dabei seien auch die Securityanforderungen der Kunden berücksichtigt worden, so Cistec, ohne weitere Details zu nennen.

Cistec habe seine interne Systemumgebung neu aufgebaut, erklärt das Unternehmen weiter. Der Wiederaufbau verlaufe nach Plan und sei weit fortgeschritten. Entsprechend habe man den gewohnten Betrieb weitgehend wieder aufnehmen können.