Patientin stirbt nach Ransomware-Angriff

Am 17. August 2020 starb nach einem Erpresserangriff auf die Uniklinik Düsseldorf eine Patientin. Der Hacker-Angriff hatte am Dienstag weite Teile der Uniklinik lahmgelegt. Die Staatsanwaltschaft hat ein Todesermittlungsverfahren eingeleitet.

Mit dem anhaltenden Ausfall des IT-Systems am Düsseldorfer Uniklinikum nach einem mutmaßlichen Hackerangriff wuchs die Zahl der betroffenen Patienten von Tag zu Tag. Nur noch ungefähr die Hälfte der etwa 1000 Patienten in einer stationären Behandlung konnten noch versorgt werden.

Laut einem Bericht des Justizministers wurden vergangene Woche 30 Server des Klinikums verschlüsselt. Auf einem Server wurde ein Erpresserschreiben hinterlassen, das allerdings an die Düsseldorfer Heinrich Heine-Uni gerichtet war.

Die Düsseldorfer Polizei nahm Kontakt auf und hat den Tätern mitgeteilt, dass sie durch ihren Hackerangriff ein Krankenhaus – und nicht die Uni – betroffen sei. Damit seien Patienten erheblich gefährdet. Die Täter hätten daraufhin die Erpressung zurückgezogen und einen digitalen Schlüssel ausgehändigt, mit dem die Daten wieder entschlüsselt werden können.

Seit Donnerstag letzter Woche (10.9.) war das IT-System des Universitätsklinikums Düsseldorf (UKD) weitreichend gestört. Daher ist das UKD weiterhin von der Notfallversorgung abgemeldet und Patienten mit Terminen sollten zur Abstimmung Kontakt mit der behandelnden Abteilung aufnehmen.

Nach Informationen der Staatsanwaltschaft und des Justizministeriums hat die Polizei in Zusammenarbeit mit externen Spezialisten und den IT-Fachleuten der Klinik inzwischen konkrete Anhaltspunkte für die Ursache ermittelt. Hintergrund des Ausfalls ist nach diesen Analysen ein Hackerangriff, der eine Schwachstelle in einer Anwendung ausnutzte. Die Sicherheitslücke befand sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware. Bis zur endgültigen Schließung dieser Lücke durch die Softwarefirma war ein ausreichendes Zeitfenster gegeben, um in die Systeme einzudringen. Als Folge des damit ermöglichten Sabotageakts fielen nach und nach Systeme aus, Zugriffe auf gespeicherte Daten waren nicht mehr möglich.

Die IT-Experten konnten mittlerweile den genauen Umfang analysieren und den Zugang zu den Daten wiederherstellen. Bisher gibt es keine Anhaltspunkte dafür, dass Daten unwiederbringlich zerstört worden sind. Auch für das Abfischen von konkreten Daten gibt es nach heutigem Stand keine Belege. Eine konkrete Lösegeldforderung gab es nicht.

„Wir danken als Vorstand allen unseren Beschäftigten und insbesondere unseren IT-Fachleuten für die hervorragende Arbeit in dieser schwierigen Situation. Ganz besonders wollen wir die gute Zusammenarbeit mit der Polizei, dem LKA und den hinzugezogenen IT-Experten herausstellen. Sie haben innerhalb kurzer Zeit herausarbeiten können, dass es sich um einen Angriff von außen handelte und nicht um einen Fehler eines Nutzers. Es war also nicht nur das Universitätsklinikum durch die Sicherheitslücke gefährdet, sondern weltweit sehr viele Unternehmen,“ erläutert Prof. Dr. Frank Schneider, Ärztlicher Direktor des UKD.

In NRW waren neben der Uniklinik in Düsseldorf das Lukaskrankenhaus in Neuss, das Forschungszentrum Jülich sowie mehrere Unternehmen in der Vergangenheit Ziele von Hackerangriffen. In Deutschland war wegen einer Ramsomware-Attacke die Universität Gießen um Weihnachten 2019 mehrere Wochen komplett oder teilweise offline.