Mittwoch , 28. Oktober 2020
Nach dem umfangreichen IT-Ausfall an der Uniklinik dauern die Ermittlungen zu dem mutmaßlichen Hackerangriff an. Quelle: Roland Weihrauch/dpa

Hackerangriff auf Uniklinik Düsseldorf: BSI warnte bereits im Januar vor Sicherheitslücke

Ein großangelegter Hackerangriff hat in der vergangenen Woche den Betrieb der Uniklinik Düsseldorf zum Stillstand gebracht. Die Unbekannten verschafften sich Zugang zu 30 Servern der Klinik und sperrten diese mit einem digitalen Schlüssel. Neben dem Ausfall von Telefonen und Computern war auch der Zugriffe auf Patientendaten nicht mehr möglich. In einem Schreiben forderten die Erpresser eine Kontaktaufnahme, eine konkrete Geldsumme wurde dabei nicht genannt.

Die Sicherheitslücke konnten die Uniklinik und Experten der staatsanwaltschaftlichen Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC) mittlerweile nachvollziehen. Sie stecke in einer handelsüblichen und weltweit verbreiteten Software, die in vielen Unternehmen zum Einsatz kommt. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) handelt es sich um ein Programm der Firma Citrix. “Bereits im Januar haben wir vor der Schwachstelle gewarnt und darauf hingewiesen, welche Folgen eine Ausnutzung haben kann. Angreifer verschaffen sich Zugang zu den internen Netzen und Systemen und können diese auch Monate später noch lahmlegen”, erklärt BSI-Präsident Arne Schönbohm in einer Pressemitteilung.

Schadsoftware Emotet wird über VPN-Programme verbreitet

“Ich kann nur mit Nachdruck appellieren, solche Warnungen nicht zu ignorieren oder aufzuschieben, sondern sofort entsprechende Maßnahmen zu ergreifen. Der Vorfall zeigt zum wiederholten Male, wie ernst man diese Gefahr nehmen muss”, heißt es in der Mitteilung weiter. Zwar seien im Januar entsprechende Sicherheitsupdates der Firma bereitgestellt worden. Dennoch sind dem BSI mehrere Fälle bekannt, bei denen sich Hacker bereits vor diesen Patches Zugriff zu den Systemen verschaffen konnten. “Diese Möglichkeit wird aktuell vermehrt ausgenutzt, um Angriffe auf betroffene Organisationen durchzuführen.”

Einiges spricht dafür, dass es sich bei dem Programm der Angreifer um Emotet gehandelt haben könnte, das vom BSI unlängst als “König der Schadsoftware” bezeichnet wurde. Die Software wird unter anderem über VPN-Programme verbreitet, über die zu Corona-Zeiten viele Menschen im Homeoffice Zugang zu den firmeneigenen Systemen herstellen. Emotet ist zunächst darauf ausgerichtet, die infizierten Unternehmensnetze auszuspionieren. Das Programm kann dann weitere Schadsoftware nachladen – und sämtliche Daten wegsperren.

Hacker ziehen ihre Erpressung zurück

Laut der Uniklinik sind bei dem Hackerangriff nach bisherigen Erkenntnissen keine Daten gestohlen oder unwiederbringlich gelöscht worden. Die Klinik rechnet allerdings damit, dass es noch einige Zeit dauern wird, bis Patienten wieder normal behandelt werden können. Aktuell unterstützt das BSI die Uniklinik mit einem Einsatzteam bei der Analyse des Vorfalls.

Die Polizei hatte die Hacker über den angebotenen Kanal kontaktiert und darüber informiert, welche Gefahren aus dem Angriff resultierten. Die Unbekannten hatten daraufhin ihre Erpressung zurückgezogen und den Schlüssel geschickt, um die Daten wieder zu entsperren. Die Ermittler gehen davon aus, dass die Klinik nur zufällig zum Opfer wurde, sagte ein ZAC-Sprecher.

Gegen die Hacker wird nun auch wegen fahrlässiger Tötung ermittelt. Eine Patientin, die in Lebensgefahr schwebte, hätte ursprünglich in die Uniklinik gebracht werden sollen. Wegen des Ausfalls musste sie in ein Krankenhaus in Wuppertal eingeliefert werden. Ihre Behandlung konnte so erst eine Stunde später erfolgen. Sie starb wenig später, heißt es in einem Bericht des Justizministeriums.

RND/mkr/dpa