Eine Patientin wurde zu spät behandelt, weil das Krankenhaus sie nicht aufnehmen konnte. Grund war ein Angriff mit Schadsoftware, der 30 Server des Krankenhauses verschlüsselt hatte.
Infektionen können viele Ausprägungen haben, doch diese Art Infektion mit einer Schadsoftware haben wahrscheinlich die wenigsten Patienten auf dem Schirm, wenn sie ins Krankenhaus gehen. Aufgrund eines Angriffs mit Schadsoftware konnten die Softwaresysteme der Uniklinikum Düsseldorf nicht mehr arbeiten, Operationen wurden abgesagt, Krankenwagen mussten in andere Kliniken fahren und die gesamte IT war lahmgelegt. Eine Patientin benötigte dringend ärztliche Hilfe, jedoch musste sie aufgrund des Cyberangriffs von Düsseldorf nach Wuppertal verlegt werden, was 30 km entfernt ist vom ursprünglichen Zielort. Die Versorgung der stationären Patienten war zwar sichergestellt, jedoch konnten keine neuen Patienten aufgenommen werden – schon gar keine Notfälle. Leider verstarb die Patientin während des Transports zu dem anderen Krankenhaus.
Die PC-Systeme der Uniklinik Düsseldorf waren aufgrund des Cyberangriffs nicht nutzbar, nur das Telefon funktionierte weiterhin. Es seien bei dem Angriff auch Patientendaten gestohlen worden. Die Lösegeldforderung belief sich angeblich auf 100 Bitcoins, was ca. 870.000 Euros entspricht. Erpresser hatten als Druckmittel 30 Server gehackt und verschlüsselt.
Jetzt steht die Frage im Raum: War die Ransomware (Erpressungs-Software) für den Tod der Frau verantwortlich? Das Justizministerium des Landes Nordrhein-Westfalen hat zu dem Fall Ermittlungen eingeleitet und auf den Straftatbestand der fahrlässigen Tötung ausgeweitet.
Die Ermittler vermuten unter den Erpressern, die sie ins Visier genommen haben, auch einen Schuldigen unter den IT-Verantwortlichen der Düsseldorfer Universität. Verantwortlich für die Infizierung der IT-Systeme war eine Sicherheitslücke, mit welcher die Ransomware eindringen konnte. Sie befand sich in einer „marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware“, wie Wissenschaftsministerin Isabel Pfeiffer-Poensgen (parteilos) ausführte. Vermutlich könnte es sich hierbei um die Thin-Client-Anwendungen von Citrix handeln.
Ein Patch (Fehlerbereinigung der Software) ist seit ca. sechs Monaten verfügbar. Die IT-Administratoren stehen deshalb in der Kritik, da sie genug Zeit hatten, die IT-Systeme mit dem Patch vor solchen Angriffen zu schützen. Die Erpresser hatten offenbar gar nicht das Krankenhaus zum Ziel, sondern wollten die Server der Universität Düsseldorf angreifen. Dies schließt die Staatsanwaltschaft daraus, dass in der Lösegeldforderung die Universität angeschrieben wurde.
Der Polizei gelang es, Kontakt mit den Erpressern aufzunehmen. Sie teilte ihnen mit, dass sie ein Krankenhaus angegriffen hatten. Die Erpresser verzichteten daraufhin auf ihre Lösegeldforderungen und gaben die Krypto-Keys wieder heraus. Damit konnten die 30 Server wieder entschlüsselt werden.
Die Politik hat sich nach diesem Vorfall darauf verständigt, dass sie in Zukunft mehr Geld in die Hand nehmen will, um die IT-Sicherheit zu verbessern. So werden Fördermittel im Rahmen des Bund-Länder-Krankenhauszukunftsgesetzes eingesetzt, bei welchen mindestens 15 Prozent für die IT-Sicherheit eingesetzt werden.
Bei dem Schadprogramm handelt es sich um „Wannacry“, ein seit 2017 benutztes Programm für Cyberangriffe. Nachdem ein Computer von dem Schadprogramm befallen wurde, werden Benutzerdaten des Rechners verschlüsselt. Daraufhin wird der PC-Nutzer dazu aufgefordert, Lösegeld über die Kryptowährung Bitcoin zu bezahlen. Sollte die Person sich weigern zu zahlen droht eine Zerstörung der PC-Daten. Das große Problem: die Reparatur der IT-Systeme kann mehrere Wochen in Anspruch nehmen. Der Ransomware-Angriff hat großen Schaden angerichtet.
Der IT ist es mittlerweile gelungen, den Schaden des Angriffs zu begrenzen und Daten wiederherzustellen. „Wir danken als Vorstand allen unseren Beschäftigten und insbesondere unseren IT-Fachleuten für die hervorragende Arbeit in dieser schwierigen Situation. Ganz besonders wollen wir die gute Zusammenarbeit mit der Polizei, dem LKA und den hinzugezogenen IT-Experten herausstellen. Sie haben innerhalb kurzer Zeit herausarbeiten können, dass es sich um einen Angriff von außen handelte und nicht um einen Fehler eines Nutzers. Es war also nicht nur das Universitätsklinikum durch die Sicherheitslücke gefährdet, sondern weltweit sehr viele Unternehmen,“ sagt Prof. Dr. Frank Schneider, Ärztlicher Direktor des UKD.
In der Vergangenheit waren auch andere Einrichtungen von Cyberangriffen betroffen: das Lukaskrankenhaus in Neuss und das Forschungszentrum Jülich. Auch die Universität Gießen war zu Weihnachten 2019 über mehrere Wochen offline, da sie einer Ransomeware-Attacke ausgesetzt war.
Kriminelle suchen sich oft Krankenhäuser als Angriffsziele aus, da hier relativ hohe Summen erbeutet werden können und die IT-Infrastruktur meist nicht auf dem neuesten Stand ist. So ist durch eine Studie der Vanderbilt University aus dem Jahr 2019 erwiesen, dass Wannacry indirekt die Krankenhaussterblichkeit erhöhte und damit zum Tod von 36 von 10.000 gemeldeten Fällen von Herzstillstand beitrug. Krankenhäuser, deren normaler Betrieb durch Lösegeldforderungen verlangsamt wurde, brauchten länger als üblich für Behandlung und Diagnose. So stellten die Forscher beispielsweise fest, dass es 2,7 Minuten länger dauerte, bis Patienten mit Herzinfarktverdacht ein Elektrokardiogramm erhielten.
„Die Nachricht ist traurig, aber nicht überraschend. Dies ist nicht der erste Fall eines Cyberangriffs, der ein Krankenhaus in eine Krise stürzt, und es wird auch nicht der letzte sein“, kommentiert Alessio Pennasilico, einer der bekanntesten Cyber-Sicherheitsexperten Italiens und Vorstandsmitglied der Vereinigung für Computersicherheit Clusit. „Aus diesem Grund ist es unerlässlich, dass alle Strukturen, insbesondere diejenigen von gesellschaftlicher Bedeutung, mit angemessenen organisatorischen und technologischen Sicherheitsmaßnahmen ausgestattet sind“, fährt er fort.
„Mit hoher Wahrscheinlich ist dies nicht der erste durch Lösegeld verursachte Todesfall, da Wannacry im Jahr 2017 weltweit, vor allem in Großbritannien, Tausende von Krankenhäusern blockiert hat“, sagt Paolo dal Checco, Experte für Computerforensik. Aber es ist wahrscheinlich der erste gemeldete Fall, bei dem ein klarer Zusammenhang zwischen Ursache und Wirkung besteht.