Spiegel

Bundesamt warnt Kliniken vor neuen Hackerangriffen

Der Hackerangriff auf die Uniklink Düsseldorf könnte in die Geschichtsbücher eingehen als erste Cyberattacke mit Todesfolge. In der Nacht zu Donnerstag voriger Woche hatten die Täter 30 Server des Krankenhauses verschlüsselt und die Klinik damit weitgehend außer Betrieb gesetzt: Operationen wurden verschoben, Behandlungen abgesagt, Rettungswagen konnten die Klinik nicht mehr anfahren. Eine 78-jährige Notfallpatientin, die eingeliefert werden sollte, musste wegen des IT-Ausfalls nach Wuppertal gebracht werden – und verstarb nach dem Transport.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fürchtet, dass von der aktuellen Attacke womöglich auch weitere Kliniken in Deutschland betroffen sein könnten. In einem Warnschreiben an 130 Krankenhäuser empfiehlt die Behörde den Einrichtungen, die wie die Klinik in Düsseldorf zu den “kritischen Infrastrukturen” im Land gehören, ihre Sicherheitsmaßnahmen zu prüfen und wo notwendig zu verschärfen.

Nach Einschätzung des BSI birgt die Sicherheitslücke “ein hohes Risikopotenzial”. Prüfungen der Bonner hatten nach SPIEGEL-Informationen zuvor ergeben, dass zahlreiche öffentliche Einrichtungen und Unternehmen für denselben Angriff anfällig sein könnten – offenbar mehrere Hundert.

Eine längst bekannte Schwachstelle

Hintergrund sind neue Erkenntnisse darüber, wie die Attacke in Düsseldorf abgelaufen ist. Offenbar nutzten die Täter eine Sicherheitslücke in einer kommerziellen Software für den Fernzugriff auf lokale Netzwerke, die in Unternehmen und Einrichtungen des öffentlichen Lebens weitverbreitet ist. Das gefährliche Einfallstor ist schon seit Dezember 2019 bekannt.

Die “AG Kritis” hatte im Januar bereits darauf hingewiesen, dass diese Software auch in Leitstellen von Polizei und Feuerwehr sowie in Krankenhäusern eingesetzt werde und somit Gefahr im Verzug sei. Damals kursierten im Netz Anleitungen, wie sich die Sicherheitslücke missbrauchen lässt – vertiefte Hackerkenntnisse waren dafür nicht notwendig, was die Sache umso gefährlicher machte. Auch das BSI warnte damals und empfahl den Einsatz eines Sicherheitsupdates, das bereits seit Januar zur Verfügung steht.

Die Gefahr ist damit indes nicht gebannt. Zum einen haben, wie üblich, nicht alle Anwender der anfälligen Software das Sicherheitsupdate installiert. Zum anderen hatten die Täter einige Wochen Zeit, anfällige Systeme zu infiltrieren und dort Schadprogramme “als Schläfer” zu hinterlassen – die nun nach und nach aktiviert und genutzt werden können, und offenbar auch genutzt werden.

“Nicht aufschieben oder ignorieren”

“Das Beispiel Düsseldorf zeigt, wie real die Gefahr ist und wie ernst gerade Betreiber kritischer Infrastrukturen die Risiken nehmen müssen”, sagt BSI-Präsident Arne Schönbohm dem SPIEGEL. Seine Behörde gibt Anwendern der betroffenen Software in ihrer Warnung konkrete Hinweise für Sofortmaßnahmen.

Dabei geht es unter anderem darum, die Netzwerke zu segmentieren, sodass mögliche Angreifer sich darin nicht frei bewegen und die IT-Infrastruktur großflächig lahmlegen können. Zudem erläutert sie Möglichkeiten, wie mögliche Betroffene herausfinden können, ob Angreifer sich bereits eingenistet haben. “Die Handlungsempfehlungen sind vorhanden, nun geht es darum, sie schnell umzusetzen”, so Schönbohm. Er appelliere mit Nachdruck an alle Verantwortlichen, das nicht aufzuschieben oder zu ignorieren. Betreiber sollten ihre Netzwerke intensiv beobachten und auf Anomalien achten.

Professionelle Arbeitsteilung bei den Tätern

Im Fall Düsseldorf handelte es sich offenbar um ein weit verbreitetes kriminelles “Geschäftsmodell” – eine sogenannte Ransomware-Attacke mittels Verschlüsselungstrojaner. Dabei verschlüsseln die Täter die IT-Systeme von Unternehmen und öffentlichen Einrichtungen und legen sie damit lahm. Für die “Schlüssel”, die man braucht, um wieder Zugang zu erlangen, verlangen sie ein Lösegeld – meist in Form von Kryptowährungen wie Bitcoin.

Das Modell ist einträglich, die Täter werden immer professioneller. Einige Gruppierungen gehen inzwischen arbeitsteilig vor – ein Team dringt in die fremden Netze ein, ein weiteres übernimmt die eigentliche Erpressung.

Im Fall der Uniklinik in Düsseldorf schickten die Täter ihr Erpresserschreiben allerdings an die Heinrich-Heine-Universität. Auf den Hinweis, dass sie eine Klinik getroffen und lahmgelegt hatten und damit Patienten gefährdeten, schickten sie die notwendigen digitalen Zugangsschlüssel – ohne Lösegeldzahlung.

Vor Strafverfolgung wird sie das kaum schützen – die Staatsanwaltschaft hat mittlerweile Verfahren wegen fahrlässiger Tötung eingeleitet.

Icon: Der Spiegel