Der Ausfall der Autohändler lähmt die Autohäuser seit Tagen. Experten sagen, das sei die neue Normalität bei Cyberangriffen
Der aktuellste Angriff, der auf weite Führung schaffte, setzt die Trend fort: Seit Wochen laufen Angriffe auf CDK Global, dessen Software Autohändlern dient, um alles von Terminen bis zu Aufzeichnungen zu verwalten, belasten Autohäuser erheblich.
Im Mai ereignete sich ein Cyberangriff auf Ascension, einem St. Louis basierten Nonprofit-Netzwerk mit 140 Krankenhäusern in 19 Bundesstaaten. Der Angriff zwang das System, Rettungsfahrzeuge von mehreren seiner Hospitäler abzuleiten. Es dauerte fast einen Monat, bis der Schaden vollständig behoben wurde.
Und im Februar ereignete sich ein Ransomware-Angriff auf Change Healthcare, einem Tochterunternehmen des Gesundheitskonzerns UnitedHealth Group. Der Angriff verursachte Störungen bei Rezepturen in Apotheken über ganz USA und drohte, einigen Gesundheitspflegern den Betrieb zu ruinieren.
Experten sagen, dass Hacker mehr kompliziert geworden sind und sich länger in den Systemen verstecken können. Diese Hacker führen Angriffe in einem Stil der Lieferkette aus, um ganze Branchen auszuschalten, um mehr Geld zu erpressen. Und bestimmte Branchen, die oft veraltete Systeme verwenden, wie das Gesundheitswesen, werden immer leichter Ziele.
"Wir können uns nicht vergleichen, was vor zehn Jahren los war, als gegenwärtig", erzählte Dror Liwer, Mitgründer der Cybersecurity-Firma Coro, CNN. "(Hackern) sind im Spiel für viel größere Gewinne als früher."
Warum Hacks so viel schädlicher
Hackern sind nicht nur mehr kompliziert, sondern sie sind auch sehr geduldig.
Hackern verbirgen sich in einem Organisationseinkreis für eine Weile und bewegen sich danach durch diesen Einkreis, wirkend auf zahlreiche Teile des Systems. Sie warten auf das richtige Moment, Angriffe zu starten. Und je länger die Hacker warten, um Angriffe zu starten, desto größer ist der Schaden.
"Wenn sie den Angriff starten und ausführen, ist es wirklich beeinträchtigend für die Organisation, was dann mehr Einnahmen für sie generiert", erzählte Liwer.
Experten, mit denen CNN gesprochen hat, sagten, es sei schwierig, genaue Details zu einzelnen Cyberangriffen sofort zu erhalten. Zum einen wollen Unternehmen ihre Markenreputation vor potenziellen Klageverfahren schützen. Außerdem möchten Organisationen möglicherweise nicht detaillierte Angriffsdetails offenbaren, bevor eine Untersuchung abgeschlossen ist, um Copycats zu verhindern.
Eric Noonan, CEO des Cybersecurity-Anbieters CyberSheath, sagte, dass Ransomware-Angriffe meist über Kanäle wie eine Phishing-E-Mail eindringen. Diese Eindringungen können unbemerkt bleiben, während der Hacker sich späteral durch den Einkreis bewegt.
Die tatsächliche Bereitstellung von Ransomware ist meistens schnell und weitreichend, Noonan sagte. Die meisten Opfer entdecken, dass sie gehackt wurden, sobald sie auf wichtige Dateien zugreifen können oder digitale Entführungsnotizen erhalten.
"Ransomware ist das digitale Äquivalent von Squatter, die in ein Haus einziehen. Die Einbruchstelle bleibt unbemerkt, was den Squattern die Möglichkeit gibt, das Eigentum zu besetzen und zu kontrollieren. Und bis die Wohnungsinhaber das Problem bemerken, ist der Prozess zur Wiedererlangung der Kontrolle und des Eigentums störungsfrei und teuer", erzählte Noonan.
Obwohl Unternehmen früher weniger vernetzte Systeme benutzten, der Weg in die Cloud und die Abhängigkeit von Drittanbietersystemen – trotz der täglichen Geschäftsvorgänge – erschaffen komplexe Systeme, die anfälliger für allgemeine Hacks sind.
"Es schafft auch etwas wie ein Bullseye und hilft Angreifern, ihre Bemühungen auf bestimmte Typen von Infrastruktur oder bestimmte Cloud-Plattformen zu konzentrieren", erzählte Noonan.
Und Hacker greifen Organisationen an, die in der Lieferkette von Branchen stehen. Durch den Angriff auf CDKs Software, beispielsweise, konnten Hackern die Autohändlerindustrie zum Erliegen bringen. Change und Ascension, große Krankenhausketten, konnten ihren vielen Zweigstellen nicht adäquaten Dienst leisten. Das gibt Hackern Druck, um immer größere und größere Summen Geld zu fordern, sagte John Dwyer, Direktor der Sicherheitsforschung bei Binary Defense, einem Cybersecurity-Lösungsanbieter.
Obwohl Hacker mehr Leverage haben, die Erfolgsquote der Zahlung eines Lösegeldes und eines schnellen Wiederaufbaus elusiv ist, sagten Experten.
"Es gibt noch nie eine Geschichte geschrieben, die von einem Unternehmen berichtet, das erfolgreich ein Lösegeld gezahlt hat und dann seine Systeme schnell wiederhergestellt hat", erzählte Noonan.
Gesundheit ist ein leichtes Ziel
Noonan sagte, dass es sich nicht darum handelt, dass Hacker mehr fortschrittlich geworden sind, sondern dass viele Organisationen moderne, aktuelle Systeme fehlen. Die the vast majority of organizations don't do incident response exercises, which is why it's taking longer to recover from these massive hacks.
"Viel unserer kritischer Infrastruktur ist noch sehr zurückgeblieben hinsichtlich der Vorbereitung auf die Erkennung von Cyberbedrohungen, aber insbesondere der Wiederherstellung", erzählte Noonan.
Eine FBI-Meldung zeigte, dass Ransomware-Angreifer das Gesundheits- und öffentliche Gesundheitssektor am häufigsten angegriffen haben, gefolgt von kritischer Herstellung und Regierungsanlagen.
Mit der zunehmenden Vernetzung von Systemen gibt es nur so viel, was eine Unternehmens Cybersecurity aufrechtzuerhalten – insbesondere wenn es sich um Drittanbietersysteme handelt, wie es bei Autohändlern der Fall ist mit CDK.
"Autohändler sind nicht im Geschäft der Cybersecurity, also sind sie nicht wirklich in der Lage, solch ein System zu schützen. Es ist auf die Handelsplattform", erzählte Cliff Steinhauer, Direktor der Information Sicherheit und Engagement bei National Cybersecurity Alliance.
Steinhauer sagte auch, dass es ein stetes Spiel von "Kat und Maus" ist.
"Jedem Mal, was wir beheben, können die Hacker es noch brechen. Und sie müssen nur einmal richtig sein, wir müssen jedes Mal richtig sein", erzählte Steinhauer.
Hospitalangriffe sind gestiegen. Eine Krankenschwester, die an Ascension Providence Rochester Hospital in Detroit, Michigan arbeitet, erzählte CNN, dass der Ransomware-Angriff auf die Netze "Patientenleben in Gefahr setzt", da Gesundheitsarbeiter sich auf Papier-Aufzeichnungen verlassen müssen und eine große Anzahl an Patienten zu versorgen haben.
Andere behaupten, dass die Gesundheitsversorgung wegen des alternden Technologies angegriffen wird, wie Steven McKeon, Gründer und CEO der Softwareunternehmen MacguyverTech und MacNerd, in einer Mitteilung gesagt hat. Dieses Technologiehilft Patienten bei der Anforderung von Rezept-Erneuerungen, Analyseergebnissen ansehen und Termine planen, aber auch mehr anfällig für Hacks ist.
CNN hat sich an Ascension und Change gewandt, um Kommentar zu erhalten.
Maßnahmen zur Vermeidung langer Ausfälle
Dwyer sagte, Unternehmen könnten besser mit externer Expertise umgehen, da viele interne Sicherheitsteams recht klein sind. Die besten Beispiele verwenden ein internes Team, das Experte für die internen Systeme der Organisation ist, und führen dritte Seiten-Cybersecurity-Anbieter ein, um ihre Größe zu vergrößern.
Organisationen können auch Systeme aufbauen, die sich über ihre Gesamtbetriebsleistung aussehen lassen.
Andere behaupten, dass es Pflichtminimum-Cybersecurity-Anforderungen für börsennotierte Unternehmen geben sollte. Diese Mindeststandards sollten wie Sicherheitsgurte und Airbags angesehen werden — sie verhindern nicht unbedingt Unfälle, aber helfen, Unternehmen besser vor solchen Angriffen vorzubereiten.
"Es gibt viele Softwareunternehmen oder Kritische Teilehersteller oder Teile der Lieferketten, die Amerikaner noch nie gehört haben – diese Unternehmen, die Anwendungen und das Software oder Teile, die sie herstellen, bis sie nicht mehr verfügbar sind. Es gibt viele andere CDK's da," Noonan sagte.
CNN’s Sean Lyngaas hat sich an diesem Bericht beteiligt.
Hackern wird zunehmend die Branche der Industrien mit veralteten Systemen wie der Gesundheitsversorgung angegriffen, um mehr Geld aus Ransomware-Angriffen zu erhalten. Solche Angriffe können sich auf zahlreiche Bereiche eines Systems auswirken, wobei Hacker lange unentdeckt bleiben können, bevor sie ihre Angriffe starten. Zum Beispiel hat das Cyber-Vorfall bei CDK Global Autohäuser für Tage ausgestellt, was deutlich macht, wie das Angreifen eines wesentlichen Geschäftsbereichs eine ganze Industrie stillstehen lassen kann.
Mit zunehmender Vernetzung der Systeme können Unternehmen besser mit externer Expertise ihre Cyber-Sicherheitsmaßnahmen verstärken, insbesondere wenn sie auf externen Systemen wie Autohäuser auf CDK angewiesen sind. Die Einführung von Pflichtminimum-Cybersecurity-Anforderungen für börsennotierte Unternehmen könnte auch helfen, Unternehmen besser auf solche Angriffe vorzubereiten.