Healthcare IT


Justizministerium NRW

Erste Erkenntnisse zum Angriff auf Düsseldorfer Uniklinik

22.09.2020
Nach der Cyber-Attacke auf die Düsseldorfer Uniklinik dürfte es schwer werden, an die Täter heranzukommen: Sie sitzen offenbar in Russland. Vorbereitet wurde der digitale Angriff wohl unbemerkt bereits vor Monaten.
Die Ermittler vermuten laut ihrem Bericht an den Landtag NRW, dass die Uniklinik Düsseldorf Opfer einer "weltweiten kommerziellen Malware-Kampagne" wurde.
Die Ermittler vermuten laut ihrem Bericht an den Landtag NRW, dass die Uniklinik Düsseldorf Opfer einer "weltweiten kommerziellen Malware-Kampagne" wurde.
Foto: alexskopje - shutterstock.com

Nach dem Hacker-Angriff auf die Düsseldorfer Uniklinik führt eine mögliche Spur der Täter laut Justizministerium nach Russland. Die HackerHacker hätten die Schadsoftware "DoppelPaymer" in das System eingebracht. Dieser Verschlüsselungstrojaner sei weltweit bereits in zahlreichen anderen Fällen gegen Unternehmen und Institutionen von einer Hacker-Gruppe eingesetzt worden, die nach Einschätzung privater Sicherheitsunternehmen in der Russischen Föderation beheimatet ist. Das teilte das Justizministerium von Nordrhein-Westfalen am Dienstag in einem Bericht an den Rechtsausschuss mit. Alles zu Hacker auf CIO.de

Demnach wissen die Ermittler inzwischen, dass die Hacker zunächst einen sogenannten "Loader" zum Nachladen des eigentlichen Schadprogramms ins System der Uni-Klinik einschmuggelten. Offen bleibt in dem Bericht, wann das geschah. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hatte vergangene Woche mitgeteilt, dass die entsprechende Sicherheitslücke in einem weit verbreiteten Programm der Firma "Citrix" bereits seit dem Jahreswechsel bekannt war.

Der US-Software-Hersteller habe am 17. Dezember 2019 vor einer Schwachstelle in mehreren Produkten gewarnt. Das BSI hatte die Warnung erstmals bereits am 18. Dezember aufgegriffen und im Januar 2020 darauf hingewiesen, dass die Sicherheitslücke von Angreifern ausgenutzt wird. Die Uniklinik Düsseldorf hatte nach eigenen Angaben damals sofort reagiert. Zwei Spezialfirmen hätten das System noch einmal überprüft - ohne Hinweis auf eine Gefährdung durch die nun geschlossene Sicherheitslücke.

Uniklinik Düsseldorf Opfer einer "kommerziellen Malware-Kampagne"

Offenbar schlummerte der "Loader" da aber bereits auf einem ServerServer der Uni-KlinikUni-Klinik. Der eigentliche Angriff durch die nachgeladene Verschlüsselungssoftware erfolgte erst in der Nacht vom 10. auf den 11. September. 30 Server der Uni-Klinik wurden durch das Schadprogramm verschlüsselt - wobei die Hacker eigentlich wohl die Düsseldorfer Universität attackieren wollten. An die hatten sie ein digitales Erpresserschreiben adressiert. Als die Polizei den Hackern ihren mutmaßlichen Fehler mitteilte, schickten die Täter einen digitalen Schlüssel, damit das Krankenhaus wieder in Betrieb gehen kann. Alles zu Healthcare IT auf CIO.de Alles zu Server auf CIO.de

Die Ermittler vermuten laut dem Bericht an den Landtag, dass die Uni-Klinik Opfer einer "weltweiten kommerziellen Malware-Kampagne" wurde. Weitere Details nannte ein Sprecher der zuständigen Staatsanwaltschaft bei der Zentrale- und Ansprechstelle Cybercrime (ZAC) am Dienstag nicht. Laut einer Statistik der US-amerikanischen Temple University liegt die Frequenz der Attacken mit Erpresser-Software dieses Jahr auf dem Höchststand seit 2013. Dabei gezählt wurden allerdings nur die öffentlich bekannten Hacker-Angriffe. Ermittler gehen von einer hohen Dunkelziffer aus, bei der zum Beispiel Unternehmen auf die Forderungen der Erpresser eingehen.

Krankenhaus-IT noch nicht voll einsatzbereit

Die Ermittlungen um den Verdacht der fahrlässigen Tötung einer Patientin liefen unterdessen weiter, so der ZAC-Sprecher. Die Frau war - statt in die nahe Uniklinik - in ein weiter entferntes Krankenhaus nach Wuppertal gebracht worden und gestorben. Für den Vorwurf der fahrlässigen Tötung ist unter anderem entscheidend, ob die Frau eine Überlebenschance gehabt hatte, wenn sie in die Uni-Klinik gekommen wäre.

Die IT des Krankenhauses ist unterdessen weiter nicht voll einsatzbereit. Die größte KlinikKlinik der Landeshauptstadt rechnet nach Angaben eines Sprechers damit, dass die Zentrale Notaufnahme diese Woche eventuell ihren Dienst wieder aufnehmen kann. Noch seien aber nicht alle entsprechenden Systeme wieder hochgefahren. (dpa/pma) Top-Firmen der Branche Gesundheit

Zur Startseite