Ransomware legte die Server des Universitätsklinikums Düsseldorf lahm. Dadurch konnten Not-Operationen nicht durchgeführt werden. Eine Patientin starb daraufhin. Der Fall wird noch von den deutschen Behörden untersucht. Es geht entweder um fahrlässige Tötung oder sogar um Mord.

In einer Meldung auf der Webseite des Universitätsklinikums Düsseldorf am 10. September dieses Jahres wurde die Öffentlichkeit über einen Ransomware-Angriff informiert. In einer ersten Meldung hieß es zunächst:

„Im Universitätsklinikum Düsseldorf gibt es zurzeit einen weitreichenden Ausfall der IT. Das bedeutet unter anderem, dass das Klinikum nur eingeschränkt erreichbar ist – sowohl telefonisch als auch auf dem Mailweg. “

Fünf Stunden später wurde ein Update veröffentlich mit näheren Informationen. Dahin hieß es:

„Bis auf weiteres bleibt es dabei, dass planbare und ambulante Behandlungen nicht stattfinden und verschoben werden. Patientinnen und Patienten werden daher gebeten, das Klinikum nicht aufzusuchen – auch dann, wenn ein Termin vereinbart worden ist. Das Universitätsklinikum ist weiterhin von der Notfallversorgung abgemeldet.“

Währenddessen fand ein tragischer Fall statt. Eine Patientin, die dringend ärztliche Hilfe im Universitätsklinikum benötigte, verstarb. Sie konnte nicht im Klinikum operiert werden und musste in ein 30 km entferntes Krankenhaus der Stadt Wuppertal gebracht werden. Diese Verzögerung überlebte sie leider nicht. Die Polizei untersucht den Fall, um festzustellen, ob ihr Tod indirekt durch den Lösegeldangriff verursacht wurde. Es kann durchaus damit gerechnet werden, dass daraus ein Mordfall wird.

Die von den Angreifern hinterlassene Lösegeldforderung wurde von der IT-Abteilung der Uniklinik untersucht. Dabei konnte festgestellt werden, dass der Angriff wohl irrtümlich das Uniklinikum Düsseldorf traf. Ziel der Ransomware-Attacke war eigentlich die Heinrich-Heine-Universität in Düsseldorf und nicht das Krankenhaus gewesen. Daraufhin nahm die Düsseldorfer Polizei mit den Erpressern Kontakt auf und erklärte ihnen das Dilemma. Die Lösegeldforderung wurde daraufhin zurückgezogen und der Schlüssel zur Freischaltung der Systeme übermittelt. Danach waren die Erpresser nicht mehr erreichbar.

Schwachstelle einer weit verbreiteten kommerziellen Software ausgenutzt

Das Universitätsklinikum Düsseldorf bestätigte auf Twitter, dass die Lösegeld-Infektion auf eine Schwachstelle in einer weit verbreiteten kommerziellen Software zurückzuführen sei. Interessanterweise hatte das Bundesamt für Sicherheit in der Informationstechnik eine unabhängige Warnung heraus herausgegeben. Darin wurden deutsche Unternehmen aufgefordert, ihre Citrix-Netzwerk-Gateways auf die Schwachstelle CVE-2019-19871 zu aktualisieren. Seit Januar Anfang des Jahres ist Sicherheitsforschern bekannt, dass die Schwachstelle ein beliebter Einstiegspunkt für Lösegeld-Angreifer ist. Das Bundesamt verwies auf die verfügbaren Patches für diese Schwachstelle.

Über die verwendete Ransomware oder wer dahintersteckt, ist fast nichts bekannt. Bekannt ist nur, dass 30 Server der Uniklinik verschlüsselt worden waren. Es ist weltweit nicht das erste Mal, dass ein Krankenhaus Ziel einer Ransomware-Attacke geworden ist. 2019 wurden insgesamt drei amerikanische und sieben australische Krankenhäuser angegriffen.

In einer Kampagne zu Beginn der Covid-19 Pandemie hatten die Verantwortlichen bei Bleeping Computer Kontakt mit verschiedenen Ransomware-Banden aufgenommen. Sie wollten erfahren, ob diese weiterhin Unternehmen im Medizin- und Gesundheitssektor angreifen würden. Die Hackergruppen The CLOP, DoppelPaymer, Maze und Nefilim sagten, sie wollten davon absehen. Die DoppelPaymer-Gruppe erklärte:

„Wir versuchen immer, Krankenhäuser und Pflegeheime zu meiden – wir lassen den Notruf 911 auch immer unbeschadet. Wenn wir versehentlich doch eines verschlüsseln, werden wir kostenlos entschlüsseln.“

Die Netwalker-Gruppe äußerte sich auf dieselbe Weise. Leider halten sich aber nicht alle Hackergruppe an ihre Versprechungen. IT-Experten registrieren regelmäßige Angriffe auf Krankenhäuser in aller Welt.

Artikel von uniklinik-duesseldorf.de, 10.09.2020: Krankenhaus derzeit nur sehr eingeschränkt erreichbar – Patientenversorgung eingeschränkt
Artikel von zdnet.com, 17.09.2020: First death reported following a ransomware attack on a German hospital
Artikel von bleepingcomputer.com, 17.09.2020: Ransomware attack at German hospital leads to death of patient
Artikel von arstechnica.com, 17.09.2020: Patient dies after ransomware attack reroutes her to remote hospital

Beitragsbild: Public Domain, Creative Commons CC0, Golda auf pixabays.com.