Reumütige Hacker und ein Todesfall: Cyber-Krimi um Uni-Klinik Von Oliver Auster, dpa

Cyber-Kriminelle verschaffen sich Zugang zum System der Düsseldorfer
Uni-Klinik, verschlüsseln die Daten und schicken ein
Erpresserschreiben. Als sie merken, dass sie die falsche Institution
erwischt haben, rudern sie zurück. Doch eine Frau ist tot.

Düsseldorf (dpa) - Der digitale Herzinfarkt erwischte die
Düsseldorfer Uni-Klinik vergangene Woche: Telefone, Emails, Zugriff
auf Patientendaten - fast alles stand plötzlich still. Das größte
Krankenhaus der Landeshauptstadt meldete sich von der
Notfallversorgung ab, Operationen wurden abgesagt. Tagelange Gerüchte
eines Hacker-Angriffs wurden erst eine Woche später am Donnerstag im
Landtag bestätigt. Die Regierung teilte mit: 30 Server der Uni-Klinik
waren von Hackern digital verschlossen worden. Nachdem die Täter
merkten, was sie da angerichtet hatten, rückten sie einen virtuellen
Schlüssel raus. Doch da war es offenbar schon zu spät.

Der Justizminister hat den Cyber-Krimi in einem Bericht für den
Landtag zusammengefasst: Demnach hatten die Hacker auf einem Server
ein Erpresserschreiben hinterlassen - allerdings an die Düsseldorfer
Heinrich Heine-Uni adressiert. In dem Schreiben forderten die
Erpresser zur Kontaktaufnahme auf, ohne eine Geldsumme zu nennen.

Die Ermittler nutzten den angebotenen Kanal und teilten den Tätern
mit, dass sie durch ihren Hackerangriff nicht die Uni mit ihren
Professoren und Studenten, sondern das angegliederte Krankenhaus
attackiert hatten. Dadurch seien Patienten erheblich gefährdet. Fast
unglaublich: Die Hacker zogen laut Justizministerium ihre Erpressung
zurück. Reumütig schickten sie einen Schlüssel, um die Daten wieder
zu entsperren. Man gehe davon aus, dass die Uni-Klinik nur zufällig
zum Opfer wurde, sagte am Donnerstag ein Sprecher der
staatsanwaltschaftlichen Zentral- und Ansprechstelle Cybercrime
Nordrhein-Westfalen (ZAC).

Ein Zufall mit dramatischen Folgen: Eine Nacht nach dem Systemausfall
hätte laut Justizministerium eine lebensbedrohlich erkrankte
Patientin in die Uniklinik eingeliefert werden sollen. Weil dies
nicht ging, sei sie in ein weiter entferntes Krankenhaus in Wuppertal
gebracht worden. Ihre Behandlung habe erst mit einstündiger
Verspätung stattfinden können. Sie starb wenig später, so der
Justizminister in seinem Bericht.

Ein Sprecher der Düsseldorfer Uni-Klinik betonte am Donnerstag, dass
sein Haus in der besagten Nacht bereits von der Notfallversorgung
abgemeldet gewesen sei. Rettungswagen hätten die Klinik nicht mehr
angefahren. Die Cyberermittlungs-Behörde ZAC prüft laut dem Bericht
an den Landtag noch, ob sie die Ermittlungen übernimmt - und das
Verfahren gegebenenfalls um den Vorwurf der fahrlässigen Tötung
erweitert wird. Entscheidend könnte dafür sein, ob die Frau laut
Obduktion auch gestorben wäre, wenn es den zeitlichen Verzug nicht
gegeben hätte.

Die ZAC-Experten haben mit der Uni-Klinik derweil die
Sicherheitslücke schon rekonstruiert: Sie steckte in einer
handelsüblichen und weltweit verbreiteten Software, die in vielen
Unternehmen zum Einsatz kommt. Laut dem Bundesamt für Sicherheit in
der Informationstechnik (BSI) handelte es sich um ein Programm der
Firma Citrix. Eine seit Januar bekannte Schwachstelle in
VPN-Produkten der Firma werde für Cyber-Angriffe ausgenutzt.

Laut Uni-Klinik sind bei dem Hacker-Angriff nach bisherigen
Erkenntnissen keine Daten gestohlen oder unwiederbringlich gelöscht
worden. Die Klinik rechnet allerdings damit, dass es noch einige Zeit
dauern wird, bis Patienten wieder normal behandelt werden können.
Über die Hacker wurde zunächst nicht mehr bekannt. Nachdem sie den
digitalen Schlüssel überreicht hatten, reagierten sie auf keine
weiteren Kontaktversuche der Polizei.

Einiges spricht dafür, dass es sich bei dem Programm der Angreifer um
«Emotet» gehandelt haben könnte, das vom BSI unlängst als «Köni
g der
Schadsoftware» bezeichnet wurde. Die Software wird unter anderem über
besagte VPN-Programme verbreitet, über die zu Corona-Zeiten viele
Menschen im Homeoffice Zugang zu den firmeneigenen Systemen
herstellen. «Emotet» ist zunächst darauf ausgerichtet, die
infizierten Unternehmensnetze auszuspionieren. Das Programm kann dann
weitere Schadsoftware nachladen - und sämtliche Daten wegsperren.

Auf der Internet-Seite der Uni-Klinik - die nach wie vor funktioniert
- hieß es am Donnerstag, dass auch die Telefonanschlüsse bis auf
Ausnahmen wieder erreichbar seien. Per Email sei das Klinikum weiter
nicht erreichbar. Von der Notfallversorgung bleibe das Haus vorerst
abgemeldet. Nach dem digitalen Infarkt beginnt jetzt die Reha.