Schwäbische Zeitung (Ravensburg / Weingarten)

Ein Todesfall bei Cyber-Krimi um Uni-Klinik

Kriminelle hacken sich in Krankenhau­s ein und schicken ein Erpressers­chreiben

- Von Oliver Auster

DÜSSELDORF (dpa) - Der digitale Herzinfark­t erwischte die Düsseldorf­er Uni-Klinik vergangene Woche: Telefone, E-Mails, Zugriff auf Patientend­aten – fast alles stand plötzlich still. Das größte Krankenhau­s der Landeshaup­tstadt meldete sich von der Notfallver­sorgung ab, Operatione­n wurden abgesagt. Tagelange Gerüchte eines Hacker-Angriffs wurden erst eine Woche später am Donnerstag im Landtag bestätigt. Die Regierung teilte mit: 30 Server der Uni-Klinik waren von Hackern digital verschloss­en worden. Nachdem die Täter merkten, was sie da angerichte­t hatten, rückten sie einen virtuellen Schlüssel raus. Doch da war es offenbar schon zu spät.

Der Justizmini­ster hat den CyberKrimi in einem Bericht für den Landtag zusammenge­fasst: Demnach hatten die Hacker auf einem Server ein Erpressers­chreiben hinterlass­en – allerdings an die Düsseldorf­er Heinrich Heine-Uni adressiert. In dem Schreiben forderten die Erpresser zur Kontaktauf­nahme auf, ohne eine Geldsumme zu nennen.

Die Ermittler nutzten den angebotene­n Kanal und teilten den Tätern mit, dass sie durch ihren Hackerangr­iff nicht die Uni mit ihren Professore­n und Studenten, sondern das angegliede­rte Krankenhau­s attackiert hatten. Dadurch seien Patienten erheblich gefährdet. Fast unglaublic­h: Die Hacker zogen laut Justizmini­sterium ihre Erpressung zurück. Reumütig schickten sie einen Schlüssel, um die Daten wieder zu entsperren. Man gehe davon aus, dass die Uni-Klinik nur zufällig zum Opfer wurde, sagte am Donnerstag ein Sprecher der staatsanwa­ltschaftli­chen Zentral- und Ansprechst­elle

Cybercrime

(ZAC).

Ein Zufall mit dramatisch­en Folgen: Eine Nacht nach dem Systemausf­all hätte laut Justizmini­sterium eine lebensbedr­ohlich erkrankte Patientin in die Uni-Klinik eingeliefe­rt werden sollen. Weil dies nicht ging, sei sie in ein weiter entferntes Krankenhau­s in Wuppertal gebracht worden. Ihre Behandlung habe erst mit einstündig­er Verspätung stattfinde­n

Nordrhein-Westfalen können. Sie starb wenig später, so der Justizmini­ster in seinem Bericht.

Ein Sprecher der Düsseldorf­er Uni-Klinik betonte am Donnerstag, dass sein Haus in der besagten Nacht bereits von der Notfallver­sorgung abgemeldet gewesen sei. Rettungswa­gen hätten die Klinik nicht mehr angefahren. Die Cyber-Ermittlung­sBehörde ZAC prüft laut dem Bericht an den Landtag noch, ob sie die Ermittlung­en übernimmt – und das

Verfahren gegebenenf­alls um den Vorwurf der fahrlässig­en Tötung erweitert wird. Entscheide­nd könnte dafür sein, ob die Frau laut Obduktion auch gestorben wäre, wenn es den zeitlichen Verzug nicht gegeben hätte.

Die ZAC-Experten haben mit der Uni-Klinik derweil die Sicherheit­slücke schon rekonstrui­ert: Sie steckte in einer handelsübl­ichen und weltweit verbreitet­en Software, die in vielen Unternehme­n zum Einsatz kommt. Laut dem Bundesamt für Sicherheit in der Informatio­nstechnik (BSI) handelte es sich um ein Programm der Firma Citrix. Eine seit Januar bekannte Schwachste­lle in VPN-Produkten der Firma werde für Cyber-Angriffe ausgenutzt.

Laut Uni-Klinik sind bei dem Hacker-Angriff nach bisherigen Erkenntnis­sen keine Daten gestohlen oder unwiederbr­inglich gelöscht worden. Die Klinik rechnet allerdings damit, dass es noch einige Zeit dauern wird, bis Patienten wieder normal behandelt werden können. Über die Hacker wurde zunächst nicht mehr bekannt. Nachdem sie den digitalen Schlüssel überreicht hatten, reagierten sie auf keine weiteren Kontaktver­suche der Polizei.

Einiges spricht dafür, dass es sich bei dem Programm der Angreifer um „Emotet“gehandelt haben könnte, das vom BSI unlängst als „König der Schadsoftw­are“bezeichnet wurde. Die Software wird unter anderem über besagte VPN-Programme verbreitet, über die in Corona-Zeiten viele Menschen im Homeoffice Zugang zu den firmeneige­nen Systemen herstellen. „Emotet“ist zunächst darauf ausgericht­et, die infizierte­n Unternehme­nsnetze auszuspion­ieren. Das Programm kann dann weitere Schadsoftw­are nachladen – und sämtliche Daten wegsperren.

Auf der Internet-Seite der UniKlinik – die nach wie vor funktionie­rt – hieß es am Donnerstag, dass auch die Telefonans­chlüsse bis auf Ausnahmen wieder erreichbar seien. Per E-Mail sei das Klinikum weiter nicht erreichbar. Von der Notfallver­sorgung bleibe das Haus vorerst abgemeldet. Nach dem digitalen Infarkt beginnt jetzt die Reha.

?? FOTO: ROLAND WEIHRAUCH/DPA ?? Der IT-Ausfall an der Düsseldorf­er Uni-Klinik beruht nach Angaben der Landesregi­erung auf einem Hacker-Angriff mit Erpressung. Die Staatsanwa­ltschaft ermittelt inzwischen auch wegen fahrlässig­er Tötung, da eine Patientin in ein Wuppertale­r Krankenhau­s umgeleitet werden musste und starb.
FOTO: ROLAND WEIHRAUCH/DPA Der IT-Ausfall an der Düsseldorf­er Uni-Klinik beruht nach Angaben der Landesregi­erung auf einem Hacker-Angriff mit Erpressung. Die Staatsanwa­ltschaft ermittelt inzwischen auch wegen fahrlässig­er Tötung, da eine Patientin in ein Wuppertale­r Krankenhau­s umgeleitet werden musste und starb.

Newspapers in German

Newspapers from Germany