Schwerpunkte

Angriff auf Uniklinik

Hacker sitzen wohl in Russland

22. September 2020, 15:25 Uhr   |  Oliver Auster, dpa | Kommentar(e)

Hacker sitzen wohl in Russland

Der Hacker-Angriff auf die Düsseldorfer Uniklinik mit Todesfall scheint Teil einer größeren Kampagne und von Russland aus geplant gewesen zu sein. Das erschwert die Ermittlungen. Die IT der Klinik ist unterdessen noch nicht wieder einsatzbereit.

Nach dem Hacker-Angriff auf die Düsseldorfer Uniklinik führt eine mögliche Spur der Täter laut Justizministerium nach Russland. So hätten die Hacker eine Schadsoftware (englisch: Malware) namens »DoppelPaymer« in das System eingebracht. Dieser sogenannte Verschlüsselungstrojaner sei bereits in zahlreichen anderen Fällen weltweit gegen Unternehmen und Institutionen von einer Hacker-Gruppe eingesetzt worden, die nach Einschätzung privater Sicherheitsunternehmen in der Russischen Föderation beheimatet sein soll. Das teilte das Ministerium von Nordrhein-Westfalen am Dienstag in einem Bericht an den Rechtsausschuss mit.

Demnach wissen die Ermittler inzwischen, dass die Hacker zunächst einen sogenannten »Loader« zum Nachladen des eigentlichen Schadprogramms ins System der Uniklinik einschmuggelten. Offen blieb in dem Bericht, wann das war. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hatte vergangene Woche mitgeteilt, dass die entsprechende Sicherheitslücke in einem weit verbreiteten Programm der Firma «Citrix« bereits seit dem Jahreswechsel bekannt war. Der US-Software-Hersteller habe am 17. Dezember 2019 über eine Schwachstelle in mehreren Produkten gewarnt. Das BSI habe dies im Januar weiter getragen. Die Uniklinik hatte nach eigenen Angaben damals sofort reagiert. Zwei Spezialfirmen hätten das System noch einmal überprüft - ohne Hinweis auf eine Gefährdung durch die nun geschlossene Sicherheitslücke.

Offenbar schlummerte der »Loader» da aber bereits auf einem Server der Uniklinik. Der eigentliche Angriff durch die nachgeladene Verschlüsselungssoftware passierte erst in der Nacht vom 10. auf den 11. September. 30 Server der Uniklinik wurden durch das Schadprogramm verschlüsselt - wobei die Hacker eigentlich wohl die Düsseldorfer Universität attackieren wollten. Zu der hatten sie ein digitales Erpresserschreiben adressiert. Als die Polizei den Hackern ihren mutmaßlichen Fehler mitteilte, schickten die Täter einen digitalen Schlüssel, um das Krankenhaus wieder zum Laufen zu bekommen.

Die Ermittler vermuten laut dem Bericht an den Landtag, dass die Uniklinik Opfer einer »weltweiten kommerziellen Malware-Kampagne« geworden sein könnte. Weitere Details nannte ein Sprecher der zuständigen Staatsanwaltschaft bei der Zentrale- und Ansprechstelle Cybercrime (ZAC) am Dienstag nicht. Laut einer Statistik der US-amerikanischen Temple University liegt die Frequenz der Attacken mit Erpresser-Software dieses Jahr auf dem Höchststand seit 2013. Dabei gezählt wurden allerdings nur die öffentlich bekannten Hacker-Angriffe. Ermittler gehen von einer hohen Dunkelziffer aus, bei der zum Beispiel Unternehmen auf die Forderungen der Erpresser eingehen.

Die Ermittlungen um den Verdacht der fahrlässigen Tötung einer Patientin liefen unterdessen weiter, so der ZAC-Sprecher. Die Frau war - statt in die nahe Uni-Klinik - in ein weiter entferntes Krankenhaus nach Wuppertal gebracht worden und gestorben. Für den Vorwurf der fahrlässigen Tötung ist unter anderem entscheidend, ob die Frau eine Überlebenschance gehabt hatte, wenn sie in die Uni-Klinik gekommen wäre.

Die IT des Krankenhauses ist unterdessen weiter nicht voll einsatzbereit. Die größte Klinik der Landeshauptstadt rechnet nach Angaben eines Sprechers damit, dass die Zentrale Notaufnahme diese Woche eventuell ihren Dienst wieder aufnehmen kann. Noch seien aber nicht alle entsprechenden Systeme wieder hochgefahren.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

IT-Ausfall in Düsseldorfer Uniklinik
Von Notfallversorgung abgeschnitten
Ermittlungen wegen fahrlässiger Tötung
Wider die Mangelverwaltung
Hackerangriffe auf Autos

Verwandte Artikel

dpa, Citrix, BSI

Computerkriminalität

IT-Security