Eine Sicherheitslücke hat eine Uni Klinik lahmgelegt - wie sich Behörden schützen können
Eine Sicherheitslücke hat eine Uni Klinik lahmgelegt - wie sich Behörden schützen können

Hackerangriff

Warnung vor Sicherheitslücke: Cyber-Krimi um Uni-Klinik

Es ist der digitale Herzinfarkt eines jeden Krankenhauses. Von einem Moment auf den anderen fällt die komplette computergestützte Technik aus. Im Fall eine Uni-Krankenhauses in NRW führte einer Hackerangriff zu abgesagten Operationen und viel Chaos: Am Ende zeigten sich die Hacker reumütig und lieferten einen Schlüssel, um die Daten wieder zu entsperren. Wie Kommunen und Behörden jetzt reagieren sollten.

Es ist der Albtraum einer jeden Behörde: Eine unbekannte Sicherheitslücke sorgt für einen Hackerangriff und legt die kompletten Netze mit allen Daten lahm. So passiert im größten Krankenhaus in Nordrhein-Westfalen. Betroffen von dem Cyber-Angriff durch die Sicherheitslücke war die Düsseldorfer Uni-Klinik. Doch damit nicht genug. Es dauerte nicht nur mehrere Tage, bis das Problem gelöst war, es mussten auch zahlreiche Operationen abgesagt werden, Rettungswagen konnten die Klinik nicht mehr anfahren. Und dann folgte auf den Cyber-Angriff auch noch eine Erpressung.

Das unglaubliche geschah: Die Angreifer zogen ihre Erpressung zurück 

Es war ein - von der Öffentlichkeit weitgehend unbemerkt gebliebener - Cyber-Krimi, wie ihn kaum ein Drehbuchautor fiktiver hätte schreiben können. Auf einem Server hatten die Hacker erklärt, dass sie eine Sicherheitslücke ausgenutzt haben und hinterliessen auch gleich ein Erpresserschreiben. Das allerdings war adressiert an die Düsseldorfer Heinrich-Heine Universität und nicht an das Uni-Klinikum. In dem Schreiben forderten die Erpresser zur Kontaktaufnahme auf. Eine genaue Forderung, wie viel Geld sie verlangen, notierten sie aber nicht. 

Die Ermittler nahmen also Kontakt auf und teilten den Erpressern mit, dass sie nicht die Heinrich-Heine-Universität lahmgelegt haben, sondern die Uniklinik. Und teilten auch mit, dass dadurch Patienten sterben könnten, weil Operationen nicht mehr möglich sind. Auch für die Ermittler völlig überraschend zogen die Hacker ihre Erpressung zurück. Und nicht nur das: Sie schickten auch gleich einen Schlüssel mit, um die Daten wieder zu entsperren. 

Das Justizministerium in NRW geht nun davon aus, dass es sich um ein Versehen handelte, die Uni-Klinik also nur zufällig zum Opfer wurde. Trotzdem sind die Folgen dramatisch: Eine lebensgefährlich verletzte Patientin konnte wegen des Vorfalls nicht in die Klinik eingewiesen werden, musste in ein weiter entferntes Krankenhaus nach Wuppertal gefahren werden. Nach Angaben des Justizministeriums starb die Frau kurz nach der Ankunft. 

Die Sicherheitslücke ist eigentlich seit langem bekannt 

Inzwischen ist auch bekannt, um welche Sicherheitslücke es sich handelt. Sie ist nicht neu. Schon seit Januar warnt das Bundesamt für Sicherheit in der Informationstechnik, BSI, vor einem Programm der Firma Citrix. Genaugenommen ist es eine Schwachstelle in VPN-Produkten. BSI-PRäsident Arne Schönbohm erklärte am Donnerstag, dass Angreifer sich über diese Sicherheitslücke seit längerem immer wieder Zugang zu Netzen und System schaffen und vor allem, dass dieser auch noch Monate nach dem Angriff die Systeme lahmlegen kann. Er appellierte an alle Behörden, bei denen die weit verbreitete Technik des Unternehmens im Einsatz ist, dringend alle nötigen Maßnahmen zu ergreifen. 

Eine gute Meldung von der Uniklinik in Düsseldorf gibt es aber doch noch: Nach bisherigen Erkenntnissen wurden keine Daten gestohlen oder gelöscht. Der Regelbetrieb läuft allerdings noch nicht wieder. 

Die Erpresser derweil haben sich nach dem Rückzug der Erpressung und Übergabe des Schlüssels aus dem "digitalen Staub" gemacht. Von ihnen gebe es bisher keine verwertbare Spur, heißt es aus dem Justizministerium.

UPDATE vom 23. September: 

Inzwischen hat das Justizministerium erste Spuren. Sie führen nach Russland. So hätten die Hacker eine Schadsoftware namens "Doppel Paymer" in das System eingebaut. Dieser Verschlüsselungstrojaner wurde laut Ministerium schon in vielen anderen Fällen von russischen Hacker-Truppen eingesetzt. 

Zeitgleich laufen inzwischen Ermittlungen um den Verdacht der fahrlässigen Tötung der verstorbenen Patientin. Die Systeme des Krankenhauses sind indes noch immer nicht voll einsatzbereit. Spätestens am Montag soll die Notaufnahme wieder ihren normalen Betrieb aufnehmen können. 

Tipps um Sicherheitslücken zu minimieren

Was im Fall der Uniklinik dramatische Folgen hatte, kann auch in allen anderen Bereichen passieren, etwa Ampelsysteme, die lahmgelegt werden können oder auch persönliche Daten. Dabei nimmt vor allem die Zahl der "professionellen" Hacker-Banden seit einigen Jahren zu, organisierte Kriminalität also. Im Ergebnis geht es somit entweder um sensible Daten, die Erpressungspotential bieten oder um alle Bereiche, in denen direkt Geld zu holen ist. 

Spätestens seit der Corona-Pandemie geraten zudem in vielen Firmen und Behörden mobile Arbeitsplätze ins Visier der Hacker. Denn sie bieten häufig besonders viele Angriffsflächen. 

Wir haben daher für Sie 5 Tipps zum Schutz gegen Cyberkriminalität im Homeoffice zusammengestellt:

Tipp 1: Sicherheit durch Information

Behörden und Unternehmen tun gut daran, nicht nur die IT-Verantwortlichen im Hause jederzeit zu schulen, sondern auch die Mitarbeiter zu sensibilisieren. Unternehmenseigene Geräte sollten möglichst auch nur für berufliche Zwecke und ausschließlich für den Zugriff aus Daten ihrer Behörde oder Firma genutzt werden. Mitarbeiter im Homeoffice sollten sich bewusst sein wie wichtig es ist, jederzeit die neuesten Sicherheitsupdates zeitnah zu installieren.

Tipp 2: E-Mails sicherer machen 

PhishingMails und Spam-EMails sind und bleiben die größte Sicherheitslücke gerade an mobilen Arbeitsplätzen. Optimieren Sie die Sicherheitseinstellungen und schulen Sie Ihre Mitarbeiter darin, Phishing-Mails zu erkennen und nicht auf verdächtige Links zu klicken. 

Tipp 3: Zugriff nur über VPN ermöglichen  

Jeder Mitarbeiter, der auf Ihr Netzwerk zugreifen kann, sollte dies ausschließlich über einen VPN Zugang tun. Ohne VPN Zugang sollte es keine Möglichkeit geben, auf Behördendaten zuzugreifen. 

Tipp 4: Zero Trust implementieren

Ein kompliziertes Wort, das sich aber einfach erklären lässt: Jeder Mitarbeiter sollte nur die Daten einsehen dürfen, die er auch wirklich für seine tägliche Arbeit braucht. Stellen Sie einheitliche Sicherheitsrichtlinien sicher, das minimiert Sicherheitslücken. 

Tipp 5: Zugriff nur über das Unternehmensnetzwerk zulassen

Mitarbeiter sollten auf Anwendungen grundsätzlich nur über das Unternehmensnetzwerk zugreifen können, niemals über das Internet. So erhalten Sie auch Einblick in den gesamten Datenverkehr, der auf ihre Dienste in der Cloud zugreift.