Hacker-Angriff auf Uni-Klinik: Ermittlungen nach Tod einer Frau
Der IT-Ausfall an der Düsseldorfer Uni-Klinik war tatsächlich ein
Hacker-Angriff. Das gab die Landesregierung am Donnerstag bekannt.
Die Erpresser ahnten wohl nicht, was sie anrichteten - und zogen sich
zurück. Inzwischen wird wegen eines Todesfalls ermittelt.
Düsseldorf (dpa) - Der IT-Ausfall an der Düsseldorfer Uni-Klinik
beruht nach Angaben der Landesregierung auf einem Hacker-Angriff mit
Erpressung. Wissenschaftsministerin Isabel Pfeiffer-Poensgen
(parteilos) sagte am Donnerstag im Landtag, die Täter hätten nach
Kontakt zur Polizei die Erpressung zurückgezogen. Die
Staatsanwaltschaft führt auch ein Todesermittlungsverfahren, da eine
Patientin in ein Wuppertaler Krankenhaus gebracht werden musste - und
starb.
Aus einem Bericht des Justizministers ging am Donnerstag hervor, dass
vergangene Woche 30 Server des Klinikums verschlüsselt wurden. Auf
einem Server wurde ein Erpresserschreiben hinterlassen, das
allerdings an die Düsseldorfer Heinrich Heine-Uni gerichtet war. In
dem Schreiben forderten die Erpresser zur Kontaktaufnahme auf - eine
konkrete Summe nannten sie laut Bericht nicht.
Die Düsseldorfer Polizei habe dann tatsächlich Kontakt aufgenommen
und den Tätern mitgeteilt, dass sie durch ihren Hackerangriff ein
Krankenhaus - und nicht die Uni - betroffen sei. Damit seien
Patienten erheblich gefährdet. Die Täter hätten daraufhin die
Erpressung zurückgezogen und einen digitalen Schlüssel ausgehändigt,
mit dem die Daten wieder entschlüsselt werden können.
Die Ermittler haben laut Bericht daher den Verdacht, dass das
Uni-Klinikum nur zufällig betroffen war. Inzwischen seien die Täter
nicht mehr erreichbar.
Die Staatsanwaltschaft Wuppertal führt unterdessen ein
Todesermittlungsverfahren, da eine lebensbedrohlich erkrankte
Patientin, die in der Nacht vom 11. auf den 12. September laut
Bericht «mittels Rettungsdienst in das Universitätsklinikum
Düsseldorf hätte eingeliefert werden sollen, an ein weiter entferntes
Krankenhaus in Wuppertal verwiesen werden musste.» Ihre Behandlung
habe erst mit einstündiger Verspätung stattfinden können. Sie starb
kurze Zeit später, so der Justizminister in seinem Bericht.
Ein Sprecher der Düsseldorfer Uni-Klinik betonte am Donnerstag, dass
sein Haus zu diesem Zeitpunkt bereits von der Notfallversorgung
abgemeldet gewesen sei. Rettungswagen hätten die Klinik nicht mehr
angefahren. Was genau in der Nacht passierte, blieb zunächst unklar.
Die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC)
prüft laut dem Bericht an den Landtag noch, ob sie die Ermittlungen
übernimmt - und das Verfahren gegebenfalls um den Vorwurf der
fahrlässigen Tötung erweitert wird.
Bei dem Hacker-Angriff sind nach bisherigen Erkenntnissen keine Daten
gestohlen oder unwiederbringlich gelöscht worden. Das hätten
Untersuchungen von IT-Experten ergeben, teilte die Klinik mit.
Die Hacker hätten eine Schwachstelle in einer Anwendung ausgenutzt.
«Die Sicherheitslücke befand sich in einer marktüblichen und weltweit
verbreiteten kommerziellen Zusatzsoftware. Bis zur endgültigen
Schließung dieser Lücke durch die Softwarefirma war ein ausreichendes
Zeitfenster gegeben, um in die Systeme einzudringen», teilte die
Klinik mit. Die Angreifer hätten dafür gesorgt, dass nach und nach
Systeme ausfielen und ein Zugriff auf gespeicherte Daten nicht mehr
möglich war.
Ein Sprecher der Cyber-Ermittlungsbehörde ZAC bestätigte, dass die
Hacker eine Sicherheitslücke in einer Software genutzt hätten, die
bei vielen Unternehmen genutzt werde. Laut dem Bundesamt für
Sicherheit in der Informationstechnik (BSI) handelte es sich um ein
Programm der Firma «Citrix». Eine seit Januar bekannte Schwachstelle
in VPN-Produkten der Firma werde für Cyber-Angriffe ausgenutzt. Dem
BSI seien «zunehmend Vorfälle bekannt», bei denen Citrix-Systeme
bereits vor der Installation der im Januar 2020 bereitgestellten
Sicherheitsupdates gehackt wurden.
«Dadurch haben Angreifer auch nach Schließung der Sicherheitslücke
weiterhin Zugriff auf das System und dahinterliegende Netzwerke.
Diese Möglichkeit wird aktuell vermehrt ausgenutzt, um Angriffe auf
betroffene Organisationen durchzuführen», teilte das BSI am
Donnerstagnachmittag mit.
Die Klinik rechnet nun damit, dass es noch einige Zeit dauern wird,
bis Patienten wieder normal behandelt werden können. «Aufgrund des
Umfangs des IT-Systems und der Fülle an Daten können wir noch nicht
abschätzen, wann dieser Prozess abgeschlossen sein wird», sagte der
Kaufmännische Direktor, Ekkehard Zimmer, am Donnerstag. «Wir sind
aber zuversichtlich, dass wir in den nächsten Tagen die Zeitspanne
besser abschätzen können und dann auch Schritt für Schritt wieder f
ür
unsere Patientinnen da sind.»
Vergangene Woche Donnerstag war das IT-System des
Universitätsklinikums ausgefallen. Rettungswagen fuhren die große
Einrichtung in der nordrhein-westfälischen Landeshauptstadt daraufhin
nicht mehr an, Operationen wurden verschoben und geplante
Behandlungstermine abgesagt.