Der Vorfall sorgte international für Schlagzeilen: Erstmals hat ein Cyberangriff in Deutschland zumindest mittelbar zu einem Todesfall beigetragen. Die Ambulanz der Uniklinik Düsseldorf musste eine Notfall-Patientin abweisen, weil zuvor ein Hackerangriff die IT des Krankenhauses lahmgelegt hatte. Dieser Vorfall unterstreicht, dass obwohl das Krankenhaus gut vorbereitet war, noch viel mehr getan werden muss, um die zivile Resilienz im Cyberbereich zu erhöhen.
Was war passiert?
Am 10. September traf ein Cyber-Angriff das Universitätsklinikum Düsseldorf (UKD), der zu einem allmählichen Ausfall der Systeme und des Datenzugriffs führte. Das Krankenhaus wurde dadurch gezwungen, sich von der Notfallversorgung abzumelden und ankommende Patient*innen in andere Krankenhäuser umzuleiten, darunter auch eine Notfallpatientin, die den Umweg in ein 30 Kilometer entferntes Krankenhaus nicht überlebte. Das Krankenhaus benötigte fast zwei Wochen, um die Grundversorgung wiederherzustellen und die Wiederaufnahme der Notfallversorgung zu ermöglichen, und noch länger, um wieder voll funktionsfähig zu sein.
Leider sind Cyber-Angriffe auf Krankenhäuser kein Einzelfall, unabhängig davon, ob sie gezielt angegriffen oder unbeabsichtigt Opfer eines Cyber-Angriffs werden. Dies ist jedoch das erste Mal, dass ein virtueller Angriff zum Tod eines Menschen beigetragen hat. Was genau ist im Fall des Düsseldorfer Universitätsklinikum passiert und was bedeutet dies für die Zukunft?
Den Pressemitteilungen des Klinikums zufolge hatte der Angriff am 10. September 2020 die E-Mail- und Telefondienste gestört und andere IT-Dienste im Laufe der Zeit degradiert. Das Krankenhaus musste sich von der Notfallversorgung abmelden und geplante Operationen größtenteils verschieben. Computerexpert*innen machten sich auf die Fehlersuche und bemühten sich, die verschiedenen IT-Dienste so schnell wie möglich wiederherzustellen. Auch die Polizei wurde eingeschaltet und leitete Ermittlungen ein, die noch andauern.
Nicht die Uniklinik, sondern die Universität sollte attackiert werden
Fest steht, dass etwa 30 Server von den Angreifern verschlüsselt wurden, die mit einer Nachricht an die Heinrich-Heine-Universität - nicht an das Krankenhaus - adressiert waren. Darin hieß es, die Angreifer sollen kontaktiert werden, um Lösegeldbedingungen zu besprechen. Die Polizei tat dies und informierte die Angreifer, dass sie das „falsche“ Ziel getroffen hätten und Leben in Gefahr seien. Im Gegenzug wurde die Lösegeldforderung zurückgezogen und Entschlüsselungsschlüssel sollen zur Verfügung gestellt worden sein. Erste Hinweise deuten darauf hin, dass die so genannte „DoppelPaymer“-Ransomware eingesetzt wurde, die zu diesem Zeitpunkt bereits zahlreiche Unternehmen, Institutionen und Organisationen weltweit getroffen hatte. Die Malware baut stark auf einer anderen namens „BitPaymer“ auf, die der kriminellen Gruppe „Indrik Spider“ mit angeblichen Verbindungen zu Russland zugeschrieben wird.
Angriff auf die Gesundheitssysteme
In den vergangenen Jahren hatte es bereits weltweit eine Reihe von Cyber-Angriffen auf Krankenhäuser gegeben, einige davon waren gezielt ins Visier genommen worden, andere nicht. Etwa im Herbst 2019: Sieben Krankenhäuser in Australien und drei in den USA mussten damals nach Hackerangriffen ebenfalls Patient*innen abweisen und wurden aufgefordert Lösegeld zu zahlen. Im Jahr 2017 traf der wahllose „WannaCry“-Angriff den britischen National Health Service (NHS) schwer. Die Folge: Rund 20.000 Termine mussten abgesagt werden, Mitarbeiter*innen waren gezwungen, auf manuelle Verfahren zurückzugreifen und Notdienste wurden teilweise umgeleitet.
Ransomware nutzt häufig bekannte Schwachstellen eines Systems aus. Die Unvorsichtigkeit vieler Internetnutzer*innen, die auf Phishing-E-Mails hereinfallen, ist ein weiteres Einfallstor, um Computer zu infiltrieren. Viele Lösungen scheinen auf den ersten Blick einfach zu sein, wie z.B. die Behebung der Schwachstellen von Computersystemen, das sogenannte Patchen, gute Backups und eine stärkere Sensibilisierung der Mitarbeiter*innen. Doch das Patchen von Systemen in großen Organisationen wie der NHS ist nicht so einfach wie das Aktualisieren eines Smartphones, Laptops oder Heim-PCs. Es ist auch nicht nur eine Frage der Personalausstattung oder der Lizenzierung und den damit verbundenen Kosten. Es stellen sich Herausforderungen im Bereich der Organisationsgröße, der Systemausfallzeiten und der Interoperabilität, um nur einige der Dinge zu nennen. Darüber hinaus berichtete das Universitätsklinikum Düsseldorf, dass es in Bezug auf Sicherheitsmaßnahmen, einschließlich externer Penetrationstests, die in diesem Sommer durchgeführt wurden, auf dem neuesten Stand gewesen sei.
Spezifische Präventionsmaßnahmen
Außerdem ist zu bedenken, dass die Priorität der Krankenhäuser darin besteht, Leben zu retten. Das bedeutet, dass die Cyber-Sicherheit von den Bedürfnissen und Prozessen der Krankenhäuser geprägt sein muss und nicht einfach von anderen Industrien kopiert oder nachträglich hinzugefügt werden darf. ENISA, die EU-Agentur für Cybersicherheit, hat sich mit diesem Thema beschäftigt und einen Beschaffungsleitfaden veröffentlicht, der auf der Idee aufbaut, dass Prävention die beste Verteidigung ist.
Deutschland hat das KRITIS IT-Sicherheitsgesetz, das kritische Infrastrukturen, einschließlich Krankenhäuser, die eine Schwelle von 30.000 stationären Patienten pro Jahr erreichen, abdeckt und sektorspezifische Sicherheitsstandards definiert.
Die Corona-Pandemie setzt den Gesundheitssektor bereits jetzt teilweise stark unter Druck und treibt ihn mancherorts an seine Grenzen oder sogar darüber hinaus. Angriffe wie der auf das Düsseldorfer Klinikum stellen eine weitere Herausforderung dar. Der Vorfall hat gezeigt, dass manchmal auch die beste Vorsorge nicht ausreicht. Das bedeutet jedoch nicht, dass Cybersicherheit nicht wichtig ist. Im Gegenteil, dieser Fall sollte ein Grund sein, noch mehr als bislang zu tun. Auch wenn es von entscheidender Bedeutung ist, die allgemeine Resilienz der Systeme zu verbessern und Eindämmungsstrategien einzubeziehen, sollte dabei der Faktor Mensch nicht vergessen werden. Die häufig unzureichende digitale Kompetenz von Mitarbeiter*innen stellt eine zusätzliche Bedrohung von Unternehmen dar. Hier sind Ausbildungsinitiativen von entscheidender Bedeutung, nicht nur zur Unterstützung der gegenwärtigen, sondern auch der künftigen Generation.