Nachrichten Nach Cyberangriff auf Klinikdaten: Karlsruher Cyberzentrum erklärt das Vorgehen

Der Cyberangriff auf einen bundesweit tätigen Klinik-Dienstleister betrifft mehrere Krankenhäuser im Südwesten sowie ihre Patientinnen und Patienten. Doch aus Sicht von Fachleuten ist es im Grunde nur ein Beispiel von vielen. Sicherheitslücken ebnen Kriminellen den Weg in die IT-Sicherheitsnetze von Unternehmen, Institutionen und auch Privatleuten.

Wie laufen solche Cyberangriffe ab?

Im ersten Schritt verschaffen sich Täter Zugriff auf ein IT-Netzwerk eines Unternehmens oder einer Einrichtung, wie das Cybercrime-Zentrum (CCZ) Baden-Württemberg bei der Generalstaatsanwaltschaft Karlsruhe erklärt. Die Möglichkeiten seien vielfältig – beispielsweise über ausgespähte Zugangsdaten etwa von Mitarbeitern oder schwache Passwörter, die geknackt wurden. In anderen Fällen würden bekannte Schwachstellen ausgenutzt wie Software, die nicht mit den neuesten Sicherheitsupdates aktualisiert wurde. Oder aber die Kriminellen finden bis dato unbekannte Schwachstellen.

Eine andere häufige Variante ist dem Landesdatenschutzbeauftragten zufolge der Versand von Mails mit Schadcode, wie Dokumente mit Makros (automatisierte Befehle). «Wenn der Empfänger diese schadhafte Software (unabsichtlich) ausführt, übernimmt die Schadsoftware die Kontrolle über den Computer und die Angreifer versuchen auch wiederum im lokalen Netz weitere Systeme zu übernehmen», erklärte ein Sprecher der Behörde in Stuttgart.

Die Täter versuchen den CCZ-Angaben zufolge, sich innerhalb des IT-Netzwerkes auszubreiten (sog. Lateral movement) und höhere Zugriffsrechte (in der Regel Admin-Rechte) zu erlangen (sog. Privilege escalation). In der letzten Phase würden dann sensible Unternehmensdaten ausgeleitet, die Systeme verschlüsselt und möglicherweise vorhandene Backups gelöscht.

Was passiert mit abgefischten Daten?

Diese werden laut dem CCZ in der Regel zunächst als Mittel der Erpressung gegenüber dem betroffenen Unternehmen eingesetzt. Dann werde gedroht, die Daten auf zum Beispiel extra dafür eingerichteten Seiten im Darknet zu veröffentlichen, wenn das geforderte Lösegeld nicht bezahlt werde.

«Möglich ist aber auch ein Verkauf der Daten an andere Cyberkriminelle», erklärte ein Sprecher. So könnten die enthaltenen Informationen sehr gezielt für weiter Cyberangriffe verwendet werden wie Phishing oder Betrug. «Auch ein Identitätsmissbrauch ist möglich.»

Der Landesdatenschutzbeauftragte nannte als Beispiel Hotelbuchungen: Wenn Angreifer Zugang zum Buchungssystem beim Hotel oder beim Vermittler des Zimmers bekommen, können sie Daten kopieren, sich dann als das Hotel ausgegeben und per Mail, SMS oder WhatsApp-Nachricht zum Beispiel eine Bestätigung für eine Buchung verlangen. Dadurch würden Kunden auf eine Internetseite gelockt und bekämen eine Zahlungsaufforderung. «Es sind reale Daten, wodurch die Kontaktaufnahme des Angreifers glaubwürdig wird», erklärte der Sprecher. Wenn man zahlt, sei das Geld aber wahrscheinlich weg.

Kann man sich wappnen?

Solche Angriffe könnte man laut dem Landesdatenschutzbeauftragten mit verhältnismäßig einfachen Mitteln unterbinden: Sensible Systeme wie Firewalls sollten nicht direkt über das öffentliche Internet erreichbar sein. Die Ausführung von fremder, ungeprüfter Software sollte ausgeschlossen werden.

«Wir empfehlen verantwortlichen Stellen sehr, IT-Sicherheit ernst zu nehmen und organisatorisch und personell angemessen zu berücksichtigen», teilte die Behörde mit. Eine 100-prozentige Sicherheit werde es nie geben können. «Allerdings lassen sich viele Vorfälle vermeiden, wenn alle Beteiligten die Grundlagen der IT-Sicherheit beachten und resiliente Systeme verwenden.»

Ein typischer Fehler von Verantwortlichen ist nach Einschätzung der Fachleute, dass sie – wenn überhaupt – nur die Empfänger von Phishing-Mails über den Vorfall informieren. «Vielmehr sollten die Verantwortlichen genau schauen, auf welche Daten zugegriffen wurde, diese sind potenziell beim Angreifer.»

Wie viele derartige Fälle gibt es?

Das ist unklar, die Dunkelziffer dürfte hoch sein. «Wir sehen nur die Fälle, in denen die Unternehmen Strafanzeige erstatten oder der Angriff aus anderen Gründen öffentlich bekannt wird», erklärte der CCZ-Sprecher. «Soweit ein Unternehmen keine Strafanzeige erstattet oder das geforderte Lösegeld bezahlt, erhalten wir in der Regel keine Kenntnis von dem Angriff.»

Im Bundeslagebild Cybercrime des Bundeskriminalamts heißt es etwa: «Angriffe mit Verschlüsselungstrojanern stellten 2025 erneut eine herausfordernde Bedrohung für Unternehmen dar.» Im Vergleich zum Vorjahr sei die Zahl der angezeigten Fälle um zehn Prozent auf 1.041 gestiegen. 96 Prozent der Angriffe richteten sich demnach gegen Unternehmen, Organisationen und Institutionen.

Die Zahlungsbereitschaft Geschädigter sei gesunken. In einer bundesweiten Fallerhebung hätten nur sieben Prozent (2024: neun Prozent) der Geschädigten sogenannter Ransomware-Angriffen angegeben, Lösegeld gezahlt zu haben.

Beim Landesdatenschutzbeauftragten steigt die Anzahl gemeldeter Datenpannen aufgrund von immer mehr und komplexeren Datenverarbeitungen seit Jahren. Im vergangenen Jahr seien 4.059 Pannen gemeldet worden (2024: 3.559). Bei mehr als 1.000 Meldungen sei es um Phishing, Hackerangriffen und Sicherheitslücken in technischen Systemen gegangen.