Nach dem Hacker-Angriff auf die Düsseldorfer Uni-Klinik führt eine mögliche Spur der Täter laut Justizministerium nach Russland. So hätten die Hacker eine Schadsoftware (englisch: Malware) namens „DoppelPaymer“ in das System eingebracht. Dieser sogenannte Verschlüsselungstrojaner sei bereits in zahlreichen anderen Fällen weltweit gegen Unternehmen und Institutionen von einer Hacker-Gruppe eingesetzt worden, die nach Einschätzung privater Sicherheitsunternehmen in der Russischen Föderation beheimatet sein soll. Das teilte das Ministerium von Nordrhein-Westfalen am Dienstag in einem Bericht an den Rechtsausschuss mit.
Demnach wissen die Ermittler inzwischen, dass die Hacker zunächst einen sogenannten „Loader“ zum Nachladen des eigentlichen Schadprogramms ins System der Uni-Klinik einschmuggelten. Offen blieb in dem Bericht, wann das war. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hatte vergangene Woche mitgeteilt, dass die entsprechende Sicherheitslücke in einem weit verbreiteten Programm der Firma „Citrix“ bereits seit dem Jahreswechsel bekannt war.
Universität war eigentliches Ziel der Hacker
Der US-Software-Hersteller habe am 17. Dezember 2019 über eine Schwachstelle in mehreren Produkten gewarnt. Das BSI habe dies im Januar weiter getragen. Die Uni-Klinik hatte nach eigenen Angaben damals sofort reagiert. Zwei Spezialfirmen hätten das System noch einmal überprüft – ohne Hinweis auf eine Gefährdung durch die nun geschlossene Sicherheitslücke. Offenbar schlummerte der „Loader“ da aber bereits auf einem Server der Uni-Klinik. Der eigentliche Angriff durch die nachgeladene Verschlüsselungssoftware passierte erst in der Nacht vom 10. auf den 11. September.
Bei dem Hacker-Angriff vor zwei Wochen waren 30 Server der Uni-Klinik verschlüsselt worden – wobei die Erpresser offenbar eigentlich die Düsseldorfer Universität attackieren wollten. Als die Polizei den Hackern ihren mutmaßlichen Fehler mitteilten, schickten sie einen digitalen Schlüssel. Die IT der Uni-Klinik ist weiter nicht voll einsatzbereit.
Besteht Nachholbedarf beim Schutz von Krankenhäusern?
Die NRW-Landesregierung soll im Vorfeld des folgenreichen Hackerangriffs an der Düsseldorfer Uniklinik wiederholt auf das Thema IT-Sicherheit der Krankenhäuser hingewiesen worden sein. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe dem NRW-Gesundheitsministerium Anfang Oktober 2019 ein Gespräch angeboten, betätigte ein Sprecher der Behörde dem Wirtschaftsmagazin „Business Insider“.
Hintergrund für das Gesprächsangebot sei unter anderem ein zuvor erfolgter Hackerangriff auf das Lukaskrankenhaus in Neuss gewesen. Außerdem habe man über eine Entscheidung von NRW-Gesundheitsminister Karl-Josef Laumann (CDU) sprechen wollen, kein Geld für Investitionen in IT-Sicherheit aus dem Krankenhausstrukturfonds abzurufen, sagte der BSI-Sprecher dem Magazin.
Bislang zu wenig Geld in IT-Sicherheit investiert
Das Ministerium werde nun unverzüglich Kontakt zum BSI aufnehmen. Gesundheitsminister Laumann ist in der NRW-Landesregierung allerdings nicht für alle Krankenhäuser zuständig.
Die Unikliniken liegen im Ressort von Wissenschaftsministerin Isabel Pfeiffer-Poensgen (parteilos) – für die übrigen Kliniken ist Laumann verantwortlich. Pfeiffer-Poensgen hatte noch am Donnerstag in Düsseldorfer Landtag zugegeben, dass das Land bislang zu wenig Geld für die IT-Sicherheit der Unikliniken bereitgestellt habe. „Daran werden wir arbeiten“, versprach sie.
Eine Patientin starb – Ermittlung wegen fahrlässiger Tötung
Konkret kündigte sie an, dass von den 900 Millionen Euro aus dem Krankenhauszukunftsgesetz mindestens 15 Prozent in die IT-Sicherheit der Kliniken fließen müssten. Alle Krankenhäuser sollen unabhängig von der Patientenzahl Mittel bekommen.
Das Gesundheitsministerium verweist zudem auf ein Sonderinvestitionsprogramm, über das den Krankenhäusern im Land in diesem Jahr zusätzliche Fördermittel in Höhe von 750 Millionen zur Verfügung gestellt würden. Diese Fördermittel könnten die Krankenhausträger auch in die IT-Infrastruktur investieren.
Das IT-System der Düsseldorfer Uniklinik war in der Nacht zum 10. September nach einem Hackerangriff ausgefallen. Rettungswagen fahren die große Einrichtung in der nordrhein-westfälischen Landeshauptstadt seitdem nicht mehr an, Operationen wurden verschoben und geplante Behandlungstermine abgesagt. Eine Patientin, die mit dem Notarztwagen in eine Klinik nach Wuppertal umgeleitet werden musste, starb dort. Die Staatsanwaltschaft ermittelt deshalb wegen fahrlässiger Tötung.
dpa
