Vor rund einem Monat ist ein Ransomware-Angriff auf den Schweizer Softwareanbieter für Spitäler Cistec bekannt geworden. Cistec ist Hersteller des Klinikinformationssystems Kisim und nennt eine Reihe von Universitäts- und Kantonsspitälern auf seiner Kundenliste. Cistec erklärt auf Anfrage von inside-it.ch, dass die Angreifer eine Schwachstelle in einer Netzwerk-Komponente ausgenutzt haben. So konnten sie laut dem Unternehmen in das interne Netzwerk eindringen und die an das Active Directory angebundenen internen Dienste kompromittieren.

Die Frage, ob eine Lösegeldforderung eingetroffen ist, kommentiert das Unternehmen nicht.

Nach aktuellem Kenntnisstand ist aufgrund des Angriffs auf Cistec bei den Kunden kein Schaden entstanden. Man habe die Kundensysteme intensiv getestet, schreibt Cistec weiter. Dies sei durch Spezialisten von GovCert und Infoguard sowie durch die Kunden selbst geschehen. "Bei keiner dieser Prüfungen wurde eine Kompromittierung der Kundensysteme gefunden", so Cistec zu inside-it.ch.

Dies hätte aber ganz anders kommen können, wie mehrere voneinander unabhängige Quellen gegenüber inside-it.ch erklärten. Man sei "knapp an einer nationalen Katastrophe vorbeigeschlittert", so eine Person. Eine andere spricht von einem potenziellen Super-GAU.

Um nach dem Angriff die Ausbreitung auf weitere Systeme zu verhindern, habe Cistec seine Systeme heruntergefahren, wie das Unternehmen im Februar erklärte. Da man selbst keine Patientendaten von Kundensystemen speichere, könne man ausschliessen, dass Patientendaten verschlüsselt oder gestohlen wurden, beschwichtige das Unternehmen gegenüber inside-it.ch.

Kunden äussern in dieser Beziehung aber grosse Sorgen. Denn mehrere Spitäler hätten nachweisen können, dass die Angreifer, einmal bei Cistec im System, Angriffe in Richtung der Kundensysteme unternommen hätten, sagen uns gleich mehrere Quellen. Konkret seien automatisierte Scans und Login­versuche durchgeführt worden. Ob diese erfolgreich waren, bleibe unklar. Aber mit etwas mehr Mühe hätten die Angreifer wohl mehrere Spitäler lahmlegen können, kommentiert eine Quelle.

Das grosse Problem ist demnach das Setup des Betriebs. Das Klinik­infor­mations­system Kisim werde zwar in den Rechenzentren der Kunden betrieben, aber von Cistec gewartet und aktualisiert. Cistec könne über eine VPN-Verbindung auf die Systeme bei den Kunden zugreifen, um diese zu warten oder um Updates einzuspielen. In einer E-Mail an Kunden, die inside-it.ch vorliegt, hat der Anbieter deshalb nach dem Angriff empfohlen, diesen VPN-Zugang vorübergehend zu schliessen.

Dieses Setup stelle ein grosses Risiko dar. Wenn Cistec gehackt werde und entsprechende Zugangsdaten kompromittiert seien, seien auch die Kundenspitäler in Gefahr, erklärt uns eine Quelle. Es sei wohl schieres Glück gewesen, dass die Angreifer nicht versucht hätten, IT-Systeme der Spitäler zu verschlüsseln. Problematisch sei insbesondere, dass man als Kunde nicht zu 100% ausschliessen könne, dass die Angreifer nicht doch auf den Systemen der Spitäler waren, wie wir weiter erfahren haben. Denn man könne nicht sicher sein, dass ein Zugriff, der legitim aussehe, auch tatsächlich legitim gewesen sei.

Angesprochen darauf, schreibt Cistec, dass man die neue Systemumgebung "in enger Zusammenarbeit mit externen Spezialisten nach den neusten Security-Standards aufgebaut" habe. Dabei seien auch die Securityanforderungen der Kunden berücksichtigt worden, so Cistec, ohne weitere Details zu nennen.

Cistec habe seine interne Systemumgebung neu aufgebaut, erklärt das Unternehmen weiter. Der Wiederaufbau verlaufe nach Plan und sei weit fortgeschritten. Entsprechend habe man den gewohnten Betrieb weitgehend wieder aufnehmen können.