Eine Patientin stirbt, nachdem ihr Rettungswagen wegen einer Cyberattacke umgeleitet werden musste. Der Fall illustriert die wachsenden IT-Risiken.

Düsseldorf Seit Jahren warnen IT-Experten davor, dass Hackerangriffe Menschenleben bedrohen – etwa wenn dadurch plötzlich der Strom ausfällt. In der Nacht von Donnerstag auf Freitag vergangener Woche könnte die abstrakte Gefahr mitten in Deutschland Wirklichkeit geworden sein. 

Die Crew eines Rettungswagens kämpfte um das Leben einer schwer erkrankten Patientin. Die Uniklinik in Düsseldorf musste die Ambulanz jedoch abweisen, weil Hacker die IT der Klinik lahmgelegt hatten. Der Rettungswagen fuhr deshalb weiter nach Wuppertal.

Das habe eine halbe Stunde länger gedauert, teilte der Wuppertaler Oberstaatsanwalt Wolf-Tilman Baumert mit. „Leider ist die Patientin unmittelbar nach Einlieferung in das Krankenhaus in Wuppertal verstorben“, sagte Baumert. Wenn sich die Mitschuld der Hacker an dem Todesfall nachweisen lasse, könnte der Vorwurf auf fahrlässige Tötung oder sogar auf Mord lauten, erklärte der Jurist. 

Dabei hat sich der Angriff nach ersten Erkenntnissen offenbar nicht direkt gegen die Klinik gerichtet. Zwar seien dort 30 Server verschlüsselt worden, das Erpresserschreiben habe sich jedoch an die Heinrich-Heine-Universität in der Landeshauptstadt gerichtet, erklärte der nordrhein-westfälische Justizminister Peter Biesenbach (CDU). Eine konkrete Lösegeldforderung gab es nicht.

Der Polizei gelang es offenbar, mit den Erpressern zu kommunizieren und diese zu warnen, dass sie Menschenleben gefährdeten. Die Täter hätten daraufhin den digitalen Schlüssel ausgehändigt. Inzwischen soll der Kontakt abgerissen sein.

Die Wiederherstellung der IT-Systeme kommt jedoch nur langsam voran, die Klinik ist nach einer Mitteilung vom Donnerstag weiter von der Notfallversorgung abgemeldet. „Aufgrund des Umfangs des IT-Systems und der Fülle an Daten können wir noch nicht abschätzen, wann dieser Prozess abgeschlossen sein wird“, sagte der kaufmännische Direktor Ekkehard Zimmer. Es gebe keine Anhaltspunkte, dass Daten unwiederbringlich zerstört oder abgefischt worden sind.

Der Computer als Tatwaffe

Cyberkriminalität zählt zu einer der größten Bedrohungen für die Wirtschaft. Der Fall zeigt, dass sie inzwischen eine neue Dimension erreicht hat. Der Einsatz des Computers als Tatwaffe begann in den 1980er-Jahren mit ersten Viren auf Disketten, verbreitete sich rasant mit E-Mail und Internet und weitete sich auf immer mehr Delikttypen aus: Banden, die Bankdaten stehlen, Hochstapler, die sich als nigerianische Prinzen ausgeben, Gelegenheitskriminelle, die mit falschen Namen Smartphones bestellen, Auftragsspione, die Konkurrenten ausforschen.

Zuletzt dominierten digitale Erpressungen von Firmen die Schlagzeilen über Hackerangriffe. Bei dieser Masche infizieren die Täter einen Computer mit Schadsoftware, die sie zum Beispiel in manipulierten E-Mails verstecken. 

Dann verschlüsseln sie wichtige Firmendaten und stellen eine Lösegeldforderung – diese bezeichnet man im Englischen als „ransom“, daher sprechen IT-Experten von Ransomware. Dahinter stecken häufig professionelle Banden. Allerdings müssen Hacker dafür nicht unbedingt programmieren können: In speziellen Untergrundforen des Internets lässt sich Erpressungssoftware mieten.

Unzählige Angriffe nach dieser Methode sind bekannt. Es traf die Stadtwerke Langenfeld, die keine Abschläge der Kunden mehr buchen konnten. Die Stadtverwaltung Frankfurt am Main musste nach einem Cyberangriff ihre IT-Systeme offline nehmen, ebenso die Justus-Liebig-Universität in Gießen. In Berlin befürchten Politiker und Behörden, dass Hacker sensible Daten des Kammergerichts erbeutet haben. Beim Württembergischen Staatstheater Stuttgart deaktivierten die Erpresser schlicht den Online-Ticketverkauf.

Auch die Liste der Firmen, die Angriffe erlitten haben, ist lang. Sie reicht vom Hamburger Edeljuwelier Wempe über den Heise-Verlag in Hannover bis zum Automationsspezialisten Pilz aus dem schwäbischen Ostfildern. Die Sicherheitsbehörden warnen, bloß kein Lösegeld zu zahlen. Doch sagen Insider, dass viele Unternehmen weich werden, wenn die Firmenexistenz auf dem Spiel stehe.

Auch Krankenhäuser gerieten schon früher in das Visier der Hacker: So wies das Klinikum Fürth nach einem Angriff im vergangenen Dezember zeitweise neue Patienten ab. Vor möglichen Todesfällen warnen Experten wie der Technikchef der Sicherheitsberater von Emsisoft, Fabian Wosar, schon lange. „Die Tatsache, dass es 2019 keine bestätigten Todesfälle im Zusammenhang mit Ransomware gab, ist einfach auf Glück zurückzuführen“, sagte er dem Handelsblatt Anfang des Jahres.

Wenn Krankenhäuser ihre IT herunterfahren müssen und nur mit Verzögerung Herzpatienten behandeln können, kommt es zu mehr Opfern. Das legt auch eine Studie der Vanderbilt-Universität aus Nashville, Tennessee, nahe. 

Lehrstück über Cyberkriminalität

Der Fall ist ein Lehrstück darüber, warum es in vielen Organisationen zu solchen Vorfällen kommt: Einerseits werden praktisch täglich Sicherheitslücken in Hardware- und Softwareprodukten bekannt, die die Hersteller nicht gleich schließen. Andererseits fehlt es Anwenderunternehmen an einer ganzheitlichen Strategie, um die größten Gefahren für den Geschäftsbetrieb abzuwenden. 

So verschafften sich die Cyberkriminellen offenbar über Produkte des Herstellers Citrix, die den Fernzugriff auf IT-Systeme ermöglichen, Zugang zum Netz der Uniklinik Düsseldorf. Das geht aus einer Mitteilung des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor. Eine Sicherheitslücke, die seit Dezember 2019 bekannt ist, ermöglicht es Angreifern, einen beliebigen Programmcode auszuführen und unter Umständen Zugangsdaten auszulesen. 

Kurz: Im schlimmsten Fall erhalten die Hacker vollen Zugriff und können Daten kopieren, mit den Rechenkapazitäten Bitcoins schürfen oder die Server verschlüsseln. Da das Produkt in zahlreichen Organisationen zum Einsatz kommt und die Gefahren groß sind, hat sich in IT-Sicherheitskreisen für das Problem ein Spitzname etabliert, der für den Anbieter Citrix wenig schmeichelhaft ist: Shitrix.

Seit Januar 2020 gibt es ein Update, allerdings schützt es nicht unbedingt. Dem BSI werden nach eigenen Angaben zunehmend Vorfälle bekannt, in denen Hacker sich bereits vor dem Bekanntwerden der Sicherheitslücke Zugriff auf die Systeme verschafft haben – und damit auch Monate später schalten und walten können. „Diese Möglichkeit wird aktuell vermehrt ausgenutzt, um Angriffe auf betroffene Organisationen durchzuführen“, warnt die Behörde. 

Allerdings reagieren viele IT-Abteilungen offenbar zu langsam. Bereits im Januar habe man vor der Schwachstelle gewarnt, erklärte BSI-Präsident Arne Schönbohm. „Ich kann nur mit Nachdruck appellieren, solche Warnungen nicht zu ignorieren oder aufzuschieben, sondern sofort entsprechende Maßnahmen zu ergreifen. Der Vorfall zeigt zum wiederholten Male, wie ernst man diese Gefahr nehmen muss.“

Quelle: Handelsblatt, 18.09.2020

Link: Klickmich