Die Geomed-Klinik in Gerolzhofen ist am Dienstag Ziel eines groß angelegten Stör-Angriffs im Internet geworden. Die Website der Klinik war dadurch über mehrere Stunden lahmgelegt. Hinter der Attacke steht mutmaßlich eine russische Hackergruppe namens Killnet. In deren auf einem Telegram-Kanal veröffentlichten Aufruf, deutsche Websites anzugreifen, sind als weitere Ziele auch die Uni-Klinik Würzburg und die Gemeinde Erlabrunn (Lkr. Würzburg) zu lesen. Auch weitere Kliniken in Süddeutschland stehen auf die Zielliste.
Von dem Vorfall hat am Mittwoch der Bayerische Rundfunk berichtet. Im Gespräch mit dieser Redaktion bestätigt Geomed-Geschäftsführer Wolfgang Schirmer den Angriff auf die Website der Klinik. Diese sei am Dienstagvormittag für etwa vier bis fünf Stunden nicht oder nur sehr eingeschränkt erreichbar gewesen. Messbarer Schaden sei dadurch nicht entstanden. Der Geschäftsführer betont: Zu keiner Zeit bestand die Gefahr, dass Unbefugte von außen Zugriff auf Daten, etwa die von Patientinnen und Patienten, aus dem internen Netzwerk der Klinik gehabt haben. Dies sei offenkundig auch nicht das Ziel der Aktion gewesen.
Uni-Klinik und Gemeinde verzeichnen keine Störungen
Warum ausgerechnet eine kleine Klinik in der deutschen Provinz ins Visier einer russischen Hacker-Gruppe gelangt ist, darauf kann sich Schirmer beim besten Willen keinen Reim machen. Auch die Uni-Klinik Würzburg sowie die Gemeinde Erlabrunn, die beide auf der Zielliste standen, können sich diesen Umstand nicht erklären. Doch anders als die Geomed-Klinik registrierten beide auch keinerlei Auswirkungen oder Störungen ihrer Websites, hieß es dort auf Nachfrage dieser Redaktion.
Die gestörte Website der Geomed-Klinik wird vom Gerolzhöfer Unternehmen K&K Software betreut. Dessen Vorstand Arnulf Koch stellt im Gespräch mit dieser Redaktion klar, dass es sich bei dem Vorfall vom Dienstag "explizit um keinen Hacker-Angriff auf die Klinik-Webseite gehandelt hat". Denn ein Hacker-Angriff ziele in der Regel darauf, über Sicherheitslücken die Kontrolle über ein EDV-System zu gewinnen, beispielsweise um daraus Daten zu stehlen. Doch darum ging es in diesem Fall nicht.
Gängiges Geschäftsmodell von Internet-Kriminellen
Vielmehr wollten die Angreifer laut Koch mit einem künstlich erzeugten massenhaften Aufruf der Website diese über das Maß belasten und dadurch in die Knie zwingen. "Das ist die harmloseste Art eines Angriffs übers Internet", meint er. Als Fachmann spricht er von einem Denial-of-Service-Angriff (DoS), bei dem der Server und die Internetpräsenz der betroffenen Website intakt blieben, jedoch während der Dauer des Dauerbeschusses mit Aufruf-Anfragen übers Netz nur noch stark verzögert oder gar nicht mehr erreichbar ist.
Völlig harmlos sind solche Attacken allerdings auch nicht. Denn soweit beispielsweise Webshops davon betroffen sind, entsteht normalerweise auch ein wirtschaftlicher Schaden, wenn deren Website stundenlang nicht erreichbar ist und dort keine Geschäfte abzuschließen sind. Ganz abgesehen vom verlorengehenden Renommee. Deshalb sind solche Angriffe, oder die Drohung damit, auch ein gängiges Geschäftsmodell von Internet-Kriminellen, die bei Unternehmen Schutzgeld erpressen möchten.
Angreifer bündelten bis zu drei Millionen Aufrufe
Koch hat Zahlen parat, die den Umfang des auf die Geomed-Website gestarteten Angriffs verdeutlichen: Am Dienstag waren es in der Spitze bis zu drei Millionen Zugriffe auf die Internetseite, die zeitgleich registriert wurden. "Das ist eine Last, die den Server maximal schädigt." Normalerweise sind es in der Spitze 28 Zugriffe, erklärt Koch.
Um einen solchen Angriff auf eine Website zu starten, bedarf es laut Koch keiner großen IT-Kenntnisse. Meistens würden hierzu gängige Software-Programme eingesetzt, die auch dazu dienen, Websites ganz legal auf deren Belastbarkeitsgrenzen hin zu testen. Werden solche Programme jedoch in großer Zahl gezielt und zeitgleich auf eine Website angesetzt, dann summieren sich die Aufrufe schnell in die genannte Höhe. Dem ist dann kein Server gewachsen.
Die Aufrufe im Internet kamen aus allen Teilen der Welt
Wer hinter einer solchen Attacke steckt, ist kaum nachvollziehbar, da hierfür meistens gehackte Computer verwendet werden. Diese sind mit Schadsoftware infiziert worden, ohne dass die Besitzer etwas davon mitbekommen. So stammten die Aufrufe, die am Dienstag massenhaft auf der Webseite der Geomed-Klinik landeten, aus allen Teilen der Welt. "Da waren keine Gesetzmäßigkeiten feststellbar", berichtet Koch. Spuren nachzuverfolgen, die zu den Verantwortlichen führen, ist hier quasi unmöglich.
Anders als bei echten Hacker-Angriffen, bei denen Daten gestohlen oder für Unbefugte einsehbar werden, sind solche Stör-Angriffe auf Websites Sicherheitsbehörden gegenüber auch nicht meldepflichtig, erklärt Software-Fachmann Koch.
Um dem Störangriff am Dienstag Herr zu werden, bediente sich K&K Software der Hilfe eines Dienstleisters, der einen Sicherheitscheck auf der Geomed-Website eingerichtet hat. Diesen durchläuft jeder Aufruf auf die Seite. Dadurch wird der Massenansturm abgewehrt – eine Methode, die am Dienstag raschen Erfolg gezeigt hat.
Sicherheitsbehörde warnt seit Tagen vor solchen Attacken
Wenngleich die Geomed-Klinik sicherlich kein prädestiniertes Ziel einer solchen Aktion war, kam diese nicht völlig überraschend. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet eigenen Angaben nach seit Ende Januar eine Kampagne derartiger Stör-Angriffe gegen ausgewählte Ziele in Deutschland, insbesondere auf Websites von Flughäfen. "Auch einzelne Ziele im Finanzsektor waren betroffen", berichtet das BSI auf seiner Website. In der Folge waren einige Websites der angegriffenen Unternehmen zeitweise nicht erreichbar, heißt es dort weiter.
Das BSI verweist auch auf einen augenscheinlichen Zusammenhang mit dem Ukraine-Krieg. Denn seit Beginn des Angriffs Russlands auf die Ukraine sei es in Deutschland zu einzelnen, in diesem Zusammenhang stehenden IT-Sicherheitsvorfällen gekommen, die aber nur vereinzelt Auswirkungen gehabt hätten. "Dabei handelte es sich unter anderem um Kollateralschäden aus Cyber-Aktivitäten im Rahmen des Krieges sowie um einzelne gezielte Angriffe gegen Unternehmen und Organisationen, auch aus dem Bereich der Kritischen Infrastrukturen", berichtet die Bundesbehörde.
Eine Erklärung, weshalb ausgerechnet die Geomed-Klinik attackiert wurde, liefert diese Einordnung des BSI freilich auch nicht. Am Ende bleibt die Vermutung, dass die Gerolzhöfer Klinik eher zufällig zum Opfer wurde.
