Geld und guten Rat ignoriert: Klinik lahmgelegt, Patientin tot

Oft mangelt es an Geld und Fachleuten, wenn IT-Systeme abgesichert werden sollen. Und wenn beides vorhanden ist, verhindert Ignoranz in der Führungsetage die nötigen Sicherheitsmaßnahmen.

Aber der Reihe nach. Einer der ersten größeren Ransomware-Angriffe auf eine Klinik in Deutschland traf das Lukas-Krankenhaus Neuss. In der Folge wurden weitere Kliniken angegriffen. Es wurden Gegenmaßnahmen ergriffen. Es wurden Gelder für IT-Sicherheit in Kliniken bereitgestellt. Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) wurde aktiv. Im Herbst 2019 kontaktierte das BSI die Landesregierung von Nordrhein-Westfalen, um fachliche Hilfe beim Absichern der Kliniken im Land anzubieten. Das Angebot wurde ignoriert. Die Gelder wurden nicht abgerufen.

Im Dezember 2019 wurde bekannt, dass es in Citrix-Geräten eine Sicherheitslücke gab. Mit Hilfe dieser Lücke platzierten Cyberkriminelle ein Schadprogramm in der Uniklinik Düsseldorf. Als die Klinik die Lücke schloss, war es schon zu spät. Die Malware war im Netz und wurde nicht entdeckt.

Die Angreifer breiteten sich im Netzwerk aus und platzierten weitere Schadprogramme. Schließlich schlugen sie zu. Am 10. September 2020 wurde die Uniklinik Düsseldorf durch Ransomware lahmgelegt. 30 Server wurden verschlüsselt und fielen dadurch aus. Aktuell am 23.09. sind die IT-Systeme immer noch nur eingeschränkt funktionsfähig.

Die Klinik musste eine Patientin abweisen, die deshalb eine Stunde lang zu einem anderen Krankenhaus transportiert werden musste und starb. Ob der Hacker-Angriff tatsächlich als Ursache für den Todesfall gewertet werden muss, wird zur Zeit noch ermittelt.

Die Angreifer zogen sich zurück, nachdem die Polizei sie kontaktiert hatte. Das Erpresserschreiben war an die Heinrich-Heine-Universität gerichtet, nicht an die Uniklinik. Die Angreifer wurden von der Polizei auf ihren Irrtum hingewiesen. Daraufhin brachen sie den Angriff ab und stellten kostenlos die Schlüssel zur Verfügung, mit denen die Server dechiffriert werden konnten. Sollten die Cyberkriminellen tatsächlich ihr Gewissen wiederentdeckt haben?

Was lernen wir daraus? Es reicht nicht, eine Sicherheitslücke zu schließen. Man muss immer davon ausgehen, dass die Lücke bereits ausgenutzt wurde und dass schon Schadsoftware im eigenen Netzwerk platziert wurde. Und vor allem: Wenn das BSI sich bei Ihnen meldet und Hilfe anbietet, nehmen Sie das um Gottes willen an!