Universitätsklinikum Düsseldorf. Bild von der Website der Klinik

Die Universitätsklinik Düsseldorf wurde von Ransomware angegriffen. Im Verlauf des Systemausfalls starb eine Patientin, weil sie nicht rechtzeitig behandelt werden konnte. Die Spur zu den Hackern hinter diesem ersten Ransomware-Todesfall führt nach Russland – die Systemadministratoren der Klinik bleiben ratlos.

Es war lange absehbar, dass Ransomware eines Tages einen Todesfall fordern würde. Vor gut zwei Wochen geschah dies in Düsseldorf . Die Ransomware DoppelPaymer gelangte durch die Shitrix-Sicherheitslücke im virtuellen privaten Netzwerk des Universitätsklinikums in das System und verschlüsselte die Daten auf rund 30 Servern. Infolgedessen gab es in der Klinik umfangreiche Systemausfälle.

Das größte Krankenhaus in Düsseldorf musste Hunderte von Operationen absagen und sich von der Notfallversorgung abmelden . Krankenwagen konnten nicht zur Klinik fahren, sondern mussten in andere Krankenhäuser. Eine Frau, die sich in einer lebensbedrohlichen Situation befand, sollte in die Wuppertaler Klinik gebracht werden. Sie verstarb jedoch auf dem Weg aufgrund der Verzögerung der Behandlung. Der Tod der Patientin erregte weltweite Aufmerksamkeit, da sie als erste an den Folgen eines Ransomware-Angriffs starb.

Die Tatsache, dass Hacker auf Krankenhäuser abzielen ist nicht länger ungewöhnlich . Wenn die Ransomware medizinische Systeme stört, bedroht sie Leben und erhöht den Druck, das Lösegeld zu zahlen, um die Daten so schnell wie möglich zu entschlüsseln. Es geht mehr oder weniger um Erpressung und Geiselnahme.

Am Universitätsklinikum Düsseldorf scheint es jedoch ein Unfall gewesen zu sein. Die Hacker wollten eigentlich die Universität selbst angreifen und hatten auch die Lösegeldforderung an sie gerichtet. Nachdem die Polizei ihnen mitgeteilt hatte, dass sie die Server der Universität, sondern der Klinik nicht verschlüsselt hatten, zogen sie ihre Anfrage zurück und schickten der Klinik den Schlüssel.

Die Klinik litt jedoch noch einige Wochen unter den Folgen des Angriffs. Sie konnte die Notaufnahme erst am 23. September wieder öffnen. Die IT-Administratoren der Klinik sind etwas ratlos. Der Shitrix-Fehler in der Citrix VPN-Software war seit Dezember 2019 bekannt. Der Hersteller hat die Lücke im Januar geschlossen, und die Klinik hat sogar die zuvor empfohlene Problemumgehung implementiert. Was hätten sie noch tun können?

Anscheinend haben die Hacker den Fehler bereits vor dem Patch auf breiter Front ausgenutzt. Malware war seit Dezember auf den Servern der Universitätsklinik installiert, aber erst jetzt traf sie ein. Die Ermittler vermuten, dass zahlreiche andere Systeme stillschweigend betroffen sind. In Nordrhein-Westfalen waren das Lukaskrankenhaus in Neuss und das Forschungszentrum Jülich zuvor Opfer eines Ransomware-Angriffs geworden; Im Zuge der Shitrix-Lücke wurde die Universität Gießen um Weihnachten 2019 getroffen.

Mit dem Tod verschärfen sich natürlich die polizeilichen Ermittlungen. Die Staatsanwaltschaft in Wuppertal untersucht derzeit den Tod der Hacker und prüft, ob die Anklage gegen die Hacker um den Vorwurf des fahrlässigen Mordes erweitert werden sollte. Grundsätzlich spielt dies keine Rolle, da Ransomware-Hacker normalerweise damit durchkommen. Im Falle des Angriffs auf die Universitätsklinik führt der Weg nach Russland, was aufgrund der Art der Ransomware angenommen werden kann: Die DoppelPaymer-Bande greift Institutionen und Unternehmen auf der ganzen Welt aus Russland an.

Russland gilt als Ausgangspunkt eines der meisten Ransomware-Angriffe . Die russische Regierung scheint sich jedoch nicht zu sehr zu bemühen, die Hacker zu verhaften, solange sie ihre Kräfte auf Ziele im Ausland konzentrieren. Bisher wurden russische Hacker nur festgenommen, wenn sie selbst ins Ausland gereist sind. Einige dieser Verhaftungen durch die europäische oder US-amerikanische Polizei, beispielsweise in Prag oder auf den Malediven, haben sogar zu geringfügigen Störungen in den diplomatischen Beziehungen zu Russland geführt.

Je stärker die Folgen von Ransomware-Angriffen sind, desto schwerwiegender sind die politischen Folgen. Zum Beispiel hat die Trump-Administration Ransomware bereits als "Cyber-Terrorismus" bezeichnet, nachdem Hacker sensible Daten einer Anwaltskanzlei verschlüsselt und gestohlen hatten. Zusammen mit dem möglichen fahrlässigen Mord durch den Angriff auf die Düsseldorfer Klinik könnte dies den rechtlichen Status von Ransomware formen und verschärfen und im Allgemeinen die rechtlichen Grenzen zwischen Hackern und Terroristen verwischen.

Für viele Unternehmen und Institutionen ist Ransomware ein Problem, bei dem Sie nicht den leichtfertigen Satz abhaken können, dass Unternehmen mehr in ihre Cybersicherheit investieren sollten. Insbesondere das Beispiel der Düsseldorfer Klinik zeigt, dass selbst das umsichtige und rechtzeitige Handeln der Administratoren im Rahmen des für sie Möglichen einen Angriff nicht ausschließen kann. Kliniken, Universitäten, Forschungszentren, Anwaltskanzleien und viele andere Unternehmen sind keine IT-Unternehmen, sondern investieren den größten Teil ihrer Ressourcen in andere Aktivitäten. Ein solcher unvermeidbarer Angriff verursacht enorme Kosten, schon allein wegen der Ausfallzeit. Bei Krankenhäusern kann dies nun auch Leben kosten.


Prima diese Newsschlagzeile veröffentlichte
[ENGLISH]