Ein IT-Ausfall an der Düsseldorfer Uni-Klinik beruht nach Angaben der Landesregierung von Nordrhein-Westfalen auf einem Hacker-Angriff mit Erpressung. Die Staatsanwaltschaft ermittelt inzwischen auch wegen fahrlässiger Tötung, da eine Patientin in ein Wuppertaler Krankenhaus gebracht werden musste – und starb.

Isabel Pfeiffer-Poensgen, Wissenschaftsministerin des deutschen Bundeslands, sagte am Donnerstag im Landtag, die Täter hätten nach Kontakt zur Polizei die Erpressung zurückgezogen. Aus einem Bericht des Justizministers ging hervor, dass vergangene Woche 30 Server des Klinikums verschlüsselt wurden. Auf einem Server wurde ein Erpresserschreiben hinterlassen, das allerdings an die Düsseldorfer Heinrich Heine-Uni gerichtet war. In dem Schreiben forderten die Erpresser zur Kontaktaufnahme auf – eine konkrete Summe nannten sie laut Bericht nicht.

Angriff

Die Düsseldorfer Polizei habe dann tatsächlich Kontakt aufgenommen und den Tätern mitgeteilt, dass sie durch ihren Hackerangriff ein Krankenhaus – und nicht die Uni – betroffen sei. Damit seien Patienten erheblich gefährdet. Die Täter hätten daraufhin die Erpressung zurückgezogen und einen digitalen Schlüssel ausgehändigt, mit dem die Daten wieder entschlüsselt werden können.

Die Ermittler haben laut Bericht daher den Verdacht, dass das Uni-Klinikum nur zufällig betroffen war. Inzwischen seien die Täter nicht mehr erreichbar.

Gegen die Unbekannten wird jetzt auch wegen fahrlässiger Tötung ermittelt, da eine lebensbedrohlich erkrankte Patientin, die in der Nacht auf den 12. September laut Bericht "mittels Rettungsdienst in das Universitätsklinikum Düsseldorf hätte eingeliefert werden sollen, an ein weiter entferntes Krankenhaus in Wuppertal verwiesen werden musste." Ihre Behandlung habe erst mit einstündiger Verspätung stattfinden können. Sie starb kurze Zeit später, so der Justizminister.

Abmeldung

Ein Sprecher der Düsseldorfer Uni-Klinik betonte am Donnerstag, dass sein Haus zu diesem Zeitpunkt bereits von der Notfallversorgung abgemeldet gewesen sei. Rettungswagen hätten das Krankenhaus nicht mehr angefahren. Was genau in der Nacht passierte, blieb zunächst unklar.

Bei dem Hacker-Angriff sind nach bisherigen Erkenntnissen keine Daten gestohlen oder unwiederbringlich gelöscht worden. Das hätten Untersuchungen von IT-Experten ergeben, teilte das Spital mit. Die Angreifer hätten dafür gesorgt, dass nach und nach Systeme ausfielen und ein Zugriff auf gespeicherte Daten nicht mehr möglich war.

Shitrix

Konkret soll für den Angriff eine bekannte Sicherheitslücke in der VPN-Software der Firma Citrix genutzt worden sein, wie aus Bemerkungen des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) geschlossen werden kann. Diese unter dem wenig freundlichen Namen "Shitrix" bekannte Schwachstelle, hat die Besonderheit, dass es gemeinhin nicht reicht, einfach nur neue Updates einzuspielen.

Da sie besonders leicht auszunutzen war, hatten Angreifer nämlich schon vor der Bereitstellung von Patches durch den Hersteller im Jänner Hintertüren auf vielen Servern untergebracht. Wurden hier nicht umfassende Aufräumarbeiten vorgenommen, verblieben diese Backdoors auf den Rechnern. Im Verlauf der vergangenen Monate haben sich die Angreifer dann die infizierten Systeme nach und vorgenommen, um gezielt das gesamte Netzwerk zu übernehmen. Anschließend folgt dann üblicherweise die Verschlüsselung sämtlicher Daten und eine Lösegeldforderung – eben so wie im betreffenden Fall. Bei den Tätern handelt es sich üblicherweise um professionell organisierte Banden von Kriminellen, welche konkret hier zugeschlagen hat, ist bislang noch nicht bekannt.

Auswirkungen

Die Klinik rechnet nun damit, dass es noch einige Zeit dauern wird, bis Patienten wieder normal behandelt werden können. "Aufgrund des Umfangs des IT-Systems und der Fülle an Daten können wir noch nicht abschätzen, wann dieser Prozess abgeschlossen sein wird", sagte der Kaufmännische Direktor, Ekkehard Zimmer, am Donnerstag. "Wir sind aber zuversichtlich, dass wir in den nächsten Tagen die Zeitspanne besser abschätzen können und dann auch Schritt für Schritt wieder für unsere Patientinnen da sind." (APA, 18.09.2020)/red