Die Hacker, die im September 30 Server der Universitätsklinik Düsseldorf lahmlegten, konnten sich bereits Anfang des Jahres unbemerkt eine Sicherheitslücke zunutze machen. Für die Klinik, deren IT Stand heute weiterhin nicht voll einsatzfähig ist, ein Desaster. Dabei hätte die Katastrophe mit der richtigen Security-Lösung verhindert werden können.
Dass die Klinik einer großen Universität, ein Hospital mit 1.200 Betten und rund 5.500 Mitarbeitern, alles daran setzt, ihre IT-Infrastruktur bestmöglich abzusichern, sollte außer Frage stehen. Doch dass auch noch so gute Virenscanner anfällig für Schwachstellen sind, ist ein systemimmanentes Problem des Blacklist-Prinzips. Dies offenbarte sich nach jetzigem Kenntnisstand auch in Düsseldorf: Ende Dezember 2019 warnte der die Uniklinik beliefernde US-Hersteller Citrix Systems vor einer Sicherheitslücke in seiner VPN-Software (CVE-2019-19781), die unter dem Namen “Shitrix” bekannt wurde. Laut Medienberichten sei das System der Uniklinik daraufhin überprüft worden, ohne dass eine Gefährdung durch die mittlerweile wieder geschlossene Sicherheitslücke festgestellt wurde.
Schwachstelle blitzschnell ausgenutzt
Doch die kurze Existenz der Schwachstelle genügte den mutmaßlich aus Russland stammenden Hackern bereits: Einem Bericht des BSI zufolge schmuggelten sie einen Loader ins System der Klinik, der später die Ransomware DoppelPaymer zum Einsatz brachte. Es folgten die Verschlüsselung von 30 Servern und damit einhergehende, katastrophale Auswirkungen auf den administrativen und medizinischen Betrieb.
Vor der Application Whitelist hätte DoppelPaymer kapituliert
Hätte das Desaster verhindert werden können? Die Antwort lautet grundsätzlich: Ja! Die entscheidende Frage ist: womit? Hier mögen dem Windows-Nutzer zunächst die ATP-Abwehrmechanismen von Microsoft in den Sinn kommen. Man mag sich gerne den entsprechenden Blogeintrag zu Gemüte führen und hoffen, dass einem danach nicht der Kopf raucht. Bedeutend einfacher - und mit Garantie - hätte SecuLution Application Whitelisting geschützt. Das Whitelisting-Prinzip bietet weder Ransomware wie DoppelPaymer noch anderen Schadprogrammen auch nur die geringste Chance, sich ins IT-System zu manövrieren. Es ist fatal genug, dass der Angriff in Düsseldorf überhaupt passieren konnte. Die Pflicht aller IT-Sicherheitsspezialisten in Bereichen Kritischer Infrastrukturen sollte jetzt darin bestehen, ihr Securitykonzept auf den Prüfstand zu stellen. Es gibt keinen Grund, nicht den bestmöglichen Schutz vor Schadsoftware einzusetzen. Und der ist unstrittig Application Whitelisting.
