Zurück zu Bleistift und Papier: Cyberangriff legt Klinikserver lahm Von Gregor Bauernfeind, dpa

Es ist der Albtraum einer jeden Klinikleitung: Ein Hackerangriff legt
die Systeme im Krankenhaus lahm. So geschehen ist das nun in mehr als
zehn Häusern in Rheinland-Pfalz und Saarland. Dort werden Patienten
derzeit wieder «nach alter Sitte» aufgenommen - mit Stift und Papier.

Mainz (dpa/lrs) - Krankenhäuser und andere Einrichtungen
des Deutschen Roten Kreuz (DRK) in Rheinland-Pfalz und im Saarland
sind von einem Cyberangriff betroffen. Das komplette Netzwerk ihres
Krankenhausverbundes sei von einer Schadsoftware befallen gewesen,
teilte die DRK Trägergesellschaft Süd-West mit. Die Verfügbarkeit
von Daten sei eingeschränkt, die Versorgung der Patienten aber
gewährleistet. Zuvor hatten die Zeitungen der Verlagsgruppe
Rhein-Main (VRM) darüber berichtet.

Der Angriff sei am Sonntagmorgen gegen 6.30 Uhr bemerkt worden,
Küchenmitarbeiter im Krankenhaus Saarlouis hätten das System nicht
hochfahren können und den Leiter der IT informiert, sagte
der Geschäftsführer der Trägergesellschaft, Bernd Decker. Wie sich

herausstellte, war das komplette Netzwerk des Verbundes von einer
Schadsoftware befallen, die Server und Datenbanken verschlüsselt.
Daraufhin seien am Sonntagnachmittag die Server aus
Sicherheitsgründen vom Netz genommen, um sie auf einen Befall zu
überprüfen und um zu verhindern, dass sich die Schadsoftware weiter
ausbreitet.

Da - wie sich am Mittwoch herausstellte - der «Domain Controller» als
zentraler Server angegriffen war, waren alle elf Krankenhäuser und
vier Altenpflegeeinrichtungen in Rheinland-Pfalz und im Saarland, die
unter dem Dach der Trägergesellschaft organisiert sind, betroffen.
Die Aufnahme der Patienten oder Befunde von Laboruntersuchungen
würden inzwischen mit Bleistift, Kugelschreiber und Papier
vorgenommen, sagte Decker. «So wie das früher mal war.» Die Kliniken

und Einrichtungen hatten keinen Zugang zum Internet und waren nicht
per Mail, sondern nur noch per Telefon oder Fax erreichbar. Es gebe
keine Hinweise darauf, dass Patientendaten abgegriffen worden seien,
sagte Decker.

Medizinische Geräte seien nicht betroffen, die Versorgung der
Patienten gewährleistet. Der Angriff habe die Arbeit aber
umständlicher gemacht. Patientenakten oder Befunde aus Labor oder
Radiologie könnten nicht gespeichert werden, sondern müssten
ausgedruckt und - wenn die Systeme wieder laufen - eingescannt und
archiviert werden.

Das Landeskriminalamt sei eingeschaltet, teilte die DRK
Trägergesellschaft mit. Eine Sprecherin des LKA bestätigte eine
Anzeige. Es ermittelt die Landeszentralstelle Cybercrime bei
der Generalstaatsanwaltschaft Koblenz, wie ein Sprecher der Behörde
mitteilte. Hintergründe zum Vorgehen oder zu möglichen Tätern waren
am Mittwoch noch unklar.

In den vergangenen Jahren waren Attacken mit sogenannter Ransomware
recht verbreitet, das Bundesamt für Sicherheit in der
Informationstechnik (BSI) hatte erst im April vor gezielten Angriffen
auf Unternehmen gewarnt. Die Täter verschaffen sich dabei Zugang zu
Netzwerken und legen Betriebsabläufe lahm - etwa durch
Verschlüsselung von Daten wie im aktuellen Fall in Rheinland-Pfalz.
Eine der größten Angriffe war die sogenannte WannaCry-Attacke, bei
der vor zwei Jahren mehr als 300 000 Computer in 150 Ländern
infiziert wurden, darunter auch bei der Deutschen Bahn und in
britischen Krankenhäusern.

Anschließend verlangen die Täter Lösegeld, um die gesperrten Daten

wieder zu entschlüsseln. Das BSI rate davon ab, Lösegeld zu bezahlen,
sagte ein Sprecher der Behörde. Man fördere die organisierte
Kriminalität und könne außerdem nie sicher sein, auch einen
funktionierenden Schlüssel zu bekommen. Von einer Geldforderung im
aktuellen Fall sei nichts bekannt, sagte Decker. Es sei aber eine
verschlüsselte Textdatei gefunden worden. «Die wollten wir nicht
öffnen», sagte er. Sie sei den Behörden übergeben worden.
Generalstaatsanwaltschaft und LKA machten zum Inhalt der Datei und
zur Frage, ob Geld gefordert wurde, mit Hinweis auf laufende
Ermittlungen keine Angaben.

In den vergangenen Jahren hatte es mehrmals Cyberangriffe auf
Kliniken in Deutschland gegeben, der bekannteste Fall ereignete sich
2016 im Lukaskrankenhaus in Neuss. In Rheinland-Pfalz wurden laut LKA
in den vergangenen Jahren keine solchen Fälle in der Polizeilichen
Kriminalstatistik registriert. In Krankenhäusern können medizinische
Geräte zum Sicherheitsrisiko werden, da diese zum Teil nur für eine
bestimmte Version der Software zugelassen werden, wie ein Sprecher
des BSI erklärte. Viele Kliniken seien daher zurückhaltend mit
Updates - die aber für die IT-Sicherheit entscheidend sind.

Die DRK Trägergesellschaft war am Mittwoch dabei, ihre Systeme wieder
hochzufahren. Am Dienstag sei eine Klinik in Neuwied testweise wieder
ans Netz gegangen. Da bisher keine neuen Probleme aufgetaucht seien,
gehe man derzeit davon aus, dass das System dort «clean» sei, sagte
Decker. Weitere Häuser sollen am Donnerstag folgen. Für das IT-Team
bedeutet das Arbeit unter Hochdruck. «Ich arbeite jeden Tag 15 bis 16
Stunden», sagte deren Leiter, Hans-Peter Blug.