Irgendwann an diesem 16. Juli 2019 wickelte sich die Nabelschnur um den Hals von Nicko S.. Noch bevor das Baby den Geburtskanal erreichte, nahm die Sauerstoffversorgung in seinem Gehirn ab. Sein Puls veränderte sich, die Unterversorgung bereitete ihm Stress. Als das Kind schließlich geboren wurde, war es halb erstickt. Der Sauerstoffmangel hatte einen erheblichen Gehirnschaden verursacht, den das Baby nur neun Monate überlebte.

Das alles hätte nicht passieren dürfen, schon aus rein technischen Gründen: Nicko wurde in einem regulären Kreißsaal geboren, Ärzte und Krankenschwestern überwachten seine Lebensfunktionen. Normalerweise hätten sie die Stresssignale des Kindes wahrnehmen müssen, ein Monitor hätte die Veränderung seiner Werte gezeigt, Ansteigen und Abfallen seines Pulses. Vielleicht hätte es einen akustischen Alarm gegeben. Normalerweise hätte die Ärztin vor Ort einen Kaiserschnitt eingeleitet und normalerweise wäre dann wohl alles gut verlaufen.

Das Problem: Es war nichts normal an diesem Julitag im Springhill Medical Center in Mobile, Alabama. Es gab keinen Monitor, kein Signal. Der größte Teil der IT des Krankenhauses war abgeschaltet, weil sie kurz davor von einer Ransomware befallen wurde. Darunter versteht man Schadprogramme, die eine Software – vorzugsweise das gesamte Betriebssystem – kapern und außer Betrieb setzen können. Wer seine Daten und Programmfunktionen wieder freibekommen möchte, soll ein Lösegeld zahlen.

Dazu war man im Springhill Medical Center noch nicht bereit gewesen, noch suchten die IT-Fachleute der Klinik nach anderen Lösungen. Sie schalteten das Netzwerk einfach ab. Die Krankenhausleitung sah trotzdem keinen Grund, auf Routine-OPs zu verzichten. Seit Donnerstag wird nun vor Gericht die Frage verhandelt, ob dieser Umstand Baby Nicko das Leben kostete – und wie viel Schuld an diesem Tod das medizinische Personal traf und wieviel die Kriminellen hinter dem Hack .

Kritische Infrastrukturen: Logische, fatale Ziele

Die Tragödie ist nicht die einzige ihrer Art. Am 10. September 2020 traf eine ähnliche Attacke die Uniklinik in Düsseldorf. Am Folgetag waren die meisten Computersysteme der Klinik außer Funktion, die Krankenhausleitung ließ die Notaufnahme schließen. Das führte dazu, dass ein dringender Krankentransport abgewiesen und zu einem Hospital im 32 Kilometer entfernten Wuppertal umgeleitet wurde. Die Patientin starb kurz darauf.

Auch in Deutschland wurde deshalb ermittelt, die Staatsanwaltschaft prüfte, ob sie ein Verfahren eröffnen könne. Im Dezember 2020 entschied sie sich dagegen: Die Obduktion hatte ergeben, dass die Patientin auf jeden Fall gestorben wäre. Damit gab es keine Kausalität zwischen der Hack-Attacke und dem Todesfall. Die Spur der Täter führte nach Russland, doch die Fahndung nach ihnen verlief wie meist im Sand.

Beide Fälle zeigen, dass solche »kollateralen« Todesfälle denkbar wären – und genau das scheint auch das Kalkül vieler Angriffe von Cyberkriminellen auf sogenannte kritische Infrastrukturen zu sein. Damit sind zunächst alle lebensnotwendigen Versorgungs-Infrastrukturen gemeint: Strom, Wasser, Gesundheit, Verkehr. Man braucht nicht viel Fantasie, um sich vorzustellen, dass Eingriffe in solche Systeme Leben kosten könnten.

Ob und wie oft das schon der Fall war, weiß im Grunde niemand. Allein in den USA soll es im ersten Covid-Jahr 2020 mehr als 750 gezielte Ransomware-Attacken auf Krankenhäuser gegeben haben. Mindestens sechs sollen zeitweilig komplett den Notfall-Betrieb eingestellt haben. Doch wie zählt man die Opfer einer nicht erfolgten Behandlung, wenn die – dort dann eventuell erfolglos – anderenorts erfolgte?

Die potenziellen Schäden sind erheblich und gehen deutlich über das Offensichtliche hinaus, den Ausfall von Geräten vor Ort und die Abweisung von Notfällen. Zahlreiche Krankenhäuser weltweit mussten schon erleben, dass durch Ransomware

• sie nicht auf digitale Krankenakten zugreifen konnten oder diese sogar permanent verloren

• sie notwendige Untersuchungen absagen oder verschieben mussten

• Termine verloren gingen, Patienten notwendige Behandlungen verpassten

• Adressdaten verloren gingen, Kommunikation unterbrochen wurde

• Notrufzentralen nicht mehr funktionierten oder diese ihre Einsatzkräfte mit Hilfe gedruckter Karten per Telefon dirigieren mussten.

Das sind keine Hacker, das ist die Mafia

Was öffentlich kaum mehr wahrgenommen wird ist, wie häufig solche Attacken sind. Als vor rund einem Jahrzehnt Ransomware massenhaft in Umlauf kam, traf es im Wortsinn noch Jedermann: auch private PC-Besitzer mussten erleben, wie ihre Rechner »einfroren« und ihnen obskure Cyberkriminelle das Angebot machten, sich für vergleichsweise kleines Geld den Zugang wieder freizukaufen. Gern per Western-Union-Überweisung oder per Money-Transfer auf ein Handykonto.

Heute sind Ransomware-Attacken häufiger und mächtiger denn je – aber erheblich zielgerichteter. »Lösegeld« wird gern in Bitcoin oder anderen Kryptowährungen verlangt, und das in erheblicher Höhe. Der bisher spektakulärste Fall dieses Jahres: Am 6. Mai 2021 kaperten Hacker die IT der Colonial Pipeline Company, die unter anderem Benzin-Pipelines unterhält. Der Betrieb kam komplett zum Erliegen. Sechs Tage später lief er wieder an – nachdem das Unternehmen mit Hilfe des FBI 75 Bitcoin bezahlt hatte, was damals 4,4 Millionen Dollar entsprach.

Der Fall wurde öffentlich, viele andere werden es nicht. Echte, belastbare Statistiken darüber, wie viele Attacken wirklich verübt werden und wie viel Geld Kriminelle damit verdienen, gibt es nicht. Manche wagen immerhin mutige Schätzungen: IT-Security-Unternehmen – die sich natürlich auch davon ernähren, vor solchen Gefahren zu warnen und zu schützen – beobachten seit Jahren etwa eine Verdoppelung der Fallzahlen pro Jahr. Die Kryptowährungs-Experten von Chainsecurity hielten 2020 den Daumen in den Wind und wagten auch eine Schätzung der Erpressungsgeldzahlungen: Sie gehen von jährlich 350 Millionen Dollar gezahlter Lösegelder aus. Tendenz steigend.

Hospitäler gehören zu den bevorzugten Zielen solcher Ransomware-Attacken. Auch hier fehlen belastbare Zahlen. Immerhin aber werden erfolgreiche Ransomware-Angriffe, die ein Hospital tatsächlich lahmlegen, häufiger öffentlich als in Branchen, die das besser verbergen können. Sie sind – gerade weil es im Hospital-Betrieb so oft um Leben und Tod geht – logische Ziele für skrupellose Kriminelle.

Zumal dort auch Schäden entstehen, selbst wenn kein Lösegeld gezahlt wird. Im Oktober 2020 kollabierte die IT des University of Vermont Medical Center. Statt ein Lösegeld zu zahlen, deaktivierte die Krankenhausleitung alle betroffenen Systeme. Terminplanungen, Krankenakten, Kommunikation – vieles kam zum Erliegen, der Betrieb erlebte vier Wochen Chaos. Am Ende zogen die Betreiber ein betriebswirtschaftliches Fazit der entstandenen Schäden: sie schätzen sie auf rund 50 Millionen Dollar. Lösegeld wäre billiger gewesen.