Der Vorfall
Am 14. Mai 2021 traf die Conti-Ransomware das Health Service Executive (HSE) – Irlands nationalen Gesundheitsdienst. Es war einer der schwersten Cyberangriffe auf ein Gesundheitssystem weltweit. Die Folgen waren verheerend und hielten monatelang an.
Das HSE versorgt 5 Millionen Iren mit Gesundheitsleistungen. 54 Krankenhäuser, tausende Arztpraxen, Impfzentren, psychiatrische Einrichtungen – alles ist im HSE-Netzwerk verbunden. Und am Morgen des 14. Mai funktionierte praktisch nichts mehr.
80.000 Mitarbeiter waren betroffen. Über 80 Prozent der IT-Systeme des HSE wurden verschlüsselt – rund 2.000 Systeme insgesamt. Krankenhäuser mussten auf Papierdokumentation umstellen. Röntgenbilder konnten nicht digital betrachtet werden. Laborbefunde wurden per Fax übermittelt. Termine mussten abgesagt werden. Die COVID-19-Impfkampagne wurde in einigen Regionen unterbrochen.
Die Conti-Gruppe forderte ein Lösegeld von 20 Millionen US-Dollar. Die irische Regierung weigerte sich zu zahlen. In einem unerwarteten Schritt veröffentlichte Conti den Entschlüsselungsschlüssel kostenlos – drohte aber gleichzeitig mit der Veröffentlichung gestohlener Patientendaten, falls nicht gezahlt würde. Tatsächlich tauchten später Patientendaten im Darknet auf.
Der Wiederaufbau dauerte bis März 2022 – fast ein Jahr. Die Kosten beliefen sich auf über 100 Millionen Euro, wie der irische Rechnungshof später feststellte. Davon entfielen allein 37 Millionen auf die unmittelbare Incident Response und 48 Millionen auf neue IT-Investitionen.
Es war die teuerste Cyberattacke in der Geschichte des irischen Staates – und ein Weckruf für Gesundheitssysteme weltweit.
Wie der Angriff funktionierte
Der Untersuchungsbericht von PricewaterhouseCoopers legte den Angriffsverlauf im Detail offen:
Stufe 1 – Phishing-Mail (16. März 2021): Ein HSE-Mitarbeiter öffnete eine Phishing-Mail mit einem manipulierten Excel-Anhang. Das Dokument enthielt ein Makro, das beim Öffnen eine Verbindung zu einem externen Server herstellte und einen Cobalt-Strike-Beacon herunterließ – ein professionelles Hacking-Tool, das Fernsteuerung über den infizierten Rechner ermöglichte.
Stufe 2 – Acht Wochen Aufklärung (März bis Mai 2021): Die Angreifer waren acht Wochen im HSE-Netzwerk, bevor sie zuschlugen. In dieser Zeit bewegten sie sich von System zu System, stahlen Zugangsdaten mit Mimikatz, identifizierten Domain Controller und kartierten die gesamte Infrastruktur. Sie kompromittierten mehrere Administratorkonten und verschafften sich Zugang zu den höchsten Berechtigungsstufen im Netzwerk.
Stufe 3 – Datenexfiltration: Vor der Verschlüsselung kopierten die Angreifer etwa 700 Gigabyte an Daten – darunter Patientenakten, Personalunterlagen und Finanzinformationen. Diese Daten dienten als zusätzliches Druckmittel für die sogenannte Double Extortion: Selbst wenn das HSE nicht für die Entschlüsselung zahlt, würde der Druck durch drohende Datenveröffentlichung bestehen bleiben.
Stufe 4 – Conti-Ransomware (14. Mai 2021): In den frühen Morgenstunden des 14. Mai rollten die Angreifer die Conti-Ransomware aus. Sie nutzten die kompromittierten Administratorkonten, um die Ransomware gleichzeitig auf tausenden Systemen auszuführen. Conti verschlüsselte Dateien mit AES-256, und die Schlüssel wurden mit RSA-4096 gesichert. Die Geschwindigkeit der Verschlüsselung war bemerkenswert: Conti nutzte bis zu 32 parallele Threads, um Dateien so schnell wie möglich zu verschlüsseln.
Besonders gravierend: Die Angreifer hatten vorsorglich Backups identifiziert und nach Möglichkeit ebenfalls verschlüsselt oder gelöscht.
Warum Virenscanner versagten
Der PwC-Bericht identifizierte mehrere konkrete Versäumnisse – und machte deutlich, warum Virenscanner allein nicht ausreichen:
Veralteter Virenschutz: Das HSE setzte eine Antivirenlösung ein, die nicht auf allen Systemen aktuell war. Auf einigen Rechnern waren die Signaturen Wochen alt. Auf dem initial infizierten Rechner war der Virenscanner zwar installiert, erkannte aber den Cobalt-Strike-Beacon nicht.
Cobalt Strike als blinder Fleck: Cobalt Strike ist ein kommerzielles Penetrationstest-Tool, das von Sicherheitsfirmen weltweit eingesetzt wird. Viele Virenscanner erkennen es nicht als Malware, weil es auch für legitime Zwecke verwendet wird. Die Angreifer nutzten zudem eine angepasste Version, die speziell gegen gängige Erkennungsmethoden gehärtet war.
Keine zentrale Überwachung: Das HSE hatte kein Security Operations Center (SOC) und kein SIEM-System, das verdächtige Aktivitäten über alle Systeme hinweg korrelieren konnte. Einzelne Virenscanner auf einzelnen Rechnern sahen jeweils nur einen kleinen Ausschnitt – das große Bild blieb unsichtbar.
Acht Wochen unbemerkt: Acht Wochen lang bewegten sich die Angreifer durch das Netzwerk. Sie nutzten legitime Windows-Tools: PowerShell, PsExec, RDP. Diese Aktivitäten generierten keine Virenscanner-Alarme, weil sie technisch nicht von normaler Administrationsarbeit zu unterscheiden waren.
Deaktivierung vor dem Angriff: Mit den gestohlenen Domain-Admin-Zugangsdaten konnten die Angreifer Sicherheitslösungen zentral deaktivieren. In der Nacht vor dem Angriff wurden auf vielen Systemen die Schutzmechanismen ausgeschaltet.
So hätte Deep Freeze geschützt
Das HSE-Szenario zeigt exemplarisch, wie Deep Freeze ein Gesundheitssystem vor Totalausfall schützen kann:
Stufe 1 – Der Cobalt-Strike-Beacon wird eliminiert: Ein Mitarbeiter öffnet die Phishing-Mail, das Makro lädt den Beacon herunter. Der Beacon nistet sich auf der Systempartition ein und richtet Persistenz ein. Beim nächsten Neustart: Deep Freeze setzt den Rechner auf den eingefrorenen Zustand zurück. Kein Beacon, keine Verbindung zu den Angreifern, keine weitere Infektion.
Die acht Wochen Aufklärung werden unmöglich: Die Angreifer brauchen stabile Zugangspunkte im Netzwerk, um sich über Wochen hinweg von System zu System zu bewegen. Wenn ihre Tools auf den Arbeitsplatzrechnern täglich beim Neustart verschwinden, können sie keine dauerhafte Präsenz aufbauen. Die gesamte Aufklärungsphase wird so aufwendig, dass sie praktisch unmöglich wird.
Gestohlene Zugangsdaten werden nutzlos: Mimikatz extrahiert Zugangsdaten aus dem Speicher und speichert sie lokal. Deep Freeze löscht diese Daten beim Neustart. Die Angreifer müssen bei jedem Neustart die Zugangsdaten erneut stehlen – aber dafür brauchen sie Zugang zu Rechnern, auf denen ihre Tools laufen. Ein Teufelskreis, den Deep Freeze zu ihren Ungunsten dreht.
Die Conti-Verschlüsselung wird rückgängig gemacht: Selbst wenn die Angreifer es schaffen, Conti auf einem geschützten Rechner auszuführen – nach dem Neustart ist die Verschlüsselung rückgängig gemacht. Die 32 parallelen Verschlüsselungs-Threads haben umsonst gearbeitet. Der Rechner startet im sauberen, eingefrorenen Zustand.
80.000 Mitarbeiter hätten weiterarbeiten können: Statt monatelanger Notfallmaßnahmen mit Papierformularen und Fax-Geräten hätte ein koordinierter Neustart aller Arbeitsplatzrechner gereicht. Am nächsten Morgen: funktionsfähige Computer, Zugang zu den Systemen, normaler Betrieb. Die COVID-Impfkampagne hätte nicht unterbrochen werden müssen.
100 Millionen Euro Wiederherstellungskosten – gespart durch einen Neustart. Deep-Freeze-Lizenzen für 80.000 Rechner kosten einen Bruchteil dieser Summe. Die Rechnung ist eindeutig.
Die Lehre
- Ein einzelner Klick kann ein ganzes Land treffen. Ein Mitarbeiter, eine Phishing-Mail, ein Excel-Makro – und Irlands gesamtes Gesundheitssystem steht still. Deep Freeze macht diesen Klick reversibel.
- Acht Wochen unbemerkt sind kein Ausnahmefall. Die durchschnittliche Verweildauer von Angreifern in kompromittierten Netzwerken liegt bei Wochen bis Monaten. Deep Freeze reduziert diese Verweildauer auf höchstens einen Neustartzyklus.
- 100 Millionen Euro Wiederherstellungskosten sind die Folge fehlender Resilienz. Wenn Deine Rechner nach einem Neustart wieder funktionieren, brauchst Du keine monatelange Wiederherstellung. Deep Freeze ist Resilienz per Design.
- Double Extortion hat zwei Hebel – Deep Freeze bricht einen davon. Die Verschlüsselung wird durch den Neustart rückgängig gemacht. Gegen die Veröffentlichung gestohlener Daten schützt Deep Freeze nicht – dafür braucht es Netzwerksegmentierung und Data Loss Prevention. Aber die Handlungsfähigkeit Deiner Organisation bleibt erhalten.
- Gesundheitssysteme müssen resilient sein – nicht nur sicher. Sicherheit bedeutet, Angriffe zu verhindern. Resilienz bedeutet, nach einem Angriff sofort wieder funktionsfähig zu sein. In Krankenhäusern ist Resilienz überlebenswichtig – im wörtlichen Sinne. Deep Freeze liefert diese Resilienz.