Rheinische Post - Wesel/Dinslaken
Spur der Uniklinik-hacker führt nach Russland
DÜSSELDORF (maxi/dpa) Nach dem Hacker-angriff auf die Düsseldorfer Uniklinik führt eine mögliche Spur dem Nrw-justizministerium zufolge nach Russland. So hätten die Hacker eine Schadsoftware (englisch: Malware) namens „Doppelpaymer“in das System eingebracht. Dieser Verschlüsselungstrojaner sei bereits in zahlreichen anderen Fällen weltweit gegen Unternehmen und Institutionen von einer Hacker-gruppe eingesetzt worden, die nach Einschätzung privater Sicherheitsunternehmen in der Russischen Föderation beheimatet sein soll. Das teilte das Ministerium in einem Bericht an den Rechtsausschuss des Landtags mit.
Demnach wissen die Ermittler, dass die Hacker zunächst einen „Loader“zum Nachladen des eigentlichen Schadprogramms ins System der Uniklinik einschmuggelten. Offen blieb in dem Bericht, wann das geschah. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hatte vergangene Woche mitgeteilt, dass die entsprechende Sicherheitslücke in dem verbreiteten Programm „Citrix“seit dem Jahreswechsel bekannt war. Die Klinik hatte nach eigenen Angaben damals sofort reagiert. Zwei Spezialfirmen hätten das System überprüft – ohne Hinweis auf eine Gefährdung. Offenbar schlummerte der „Loader“da aber bereits auf einem Server der Klinik.
Der eigentliche Angriff passierte in der Nacht vom 10. auf den 11. September. 30 Server der Klinik wurden verschlüsselt – wobei die Hacker eigentlich wohl die Düsseldorfer Universität attackieren wollten. An diese hatten sie ein digitales Erpresserschreiben adressiert. Als die Polizei den Hackern ihren mutmaßlichen Fehler mitteilte, schickten die Täter einen digitalen Schlüssel, um das Krankenhaus wieder zum Laufen zu bekommen.
Die Ermittler vermuten laut dem Bericht an den Landtag, dass die Klinik Opfer einer „weltweiten kommerziellen Malware-kampagne“geworden sein könnte. Weitere Details nannte ein Sprecher der zuständigen
Staatsanwaltschaft bei der Zentrale- und Ansprechstelle Cybercrime (ZAC) am Dienstag nicht. Laut einer Statistik der Us-amerikanischen Temple University liegt die Frequenz der Attacken mit Erpresser-software dieses Jahr auf dem Höchststand seit 2013.
Dabei gezählt wurden allerdings nur die öffentlich bekannten Hacker-angriffe. Ermittler gehen von einer hohen Dunkelziffer aus, bei der zum Beispiel Unternehmen auf die Forderungen der Erpresser eingehen.
Die Opposition attackierte im Zusammenhang mit den Vorfällen Nrw-gesundheitsminister Karl-josef Laumann (CDU): „Wer diesen Hacker-angriff gestartet hat, ist das eine. Das muss jetzt dringend aufgeklärt werden“, sagte Josef Neumann, gesundheitspolitischer Sprecher der Spd-landtagsfraktion. „Die andere Sache aber ist: Wer hat es den Hackern so leicht gemacht? Das BSI hat Minister Laumann vor Monaten ein Gesprächsangebot gemacht, um die Gefährdungslage von Krankenhäusern zu erörtern. Aber die Landesregierung hat die Bedrohungslage weder erkannt noch ernst genommen. Dazu werden sich die zuständigen Minister im Landtag erklären müssen.“Die SPD verlangt deshalb vom Minister einen Bericht bis zur nächsten Sitzung des Gesundheitsausschusses am 30. September. Darin soll er darlegen, seit wann ihm und der Uniklinik die Problematik um die It-lücke bekannt waren und was seitdem unternommen wurde.
Ermittler vermuten hinter der Tat eine weltweite kommerzielle Malware-kampagne