Nach Hacker-Angriff: Ermittlungen wegen fahrlässiger Tötung

Eine Patientin der Düsseldorfer Uniklinik ist laut einem Bericht des nordrhein-westfälischen Justizministers Peter Biesenbach (CDU) infolge eines Hacker-Angriffs auf das Krankenhaus gestorben. Die Patientin habe wegen des Angriffs in ein weiter entferntes Krankenhaus gebracht werden müssen, ihre Behandlung erst mit einstündiger Verspätung stattfinden können. Sie sei kurze Zeit später verstorben, heißt es in dem Bericht.

Die Staatsanwaltschaft ermittelt gegen die Hackergruppe wegen versuchter Erpressung, Computersabotage und fahrlässiger Tötung. Die Ermittlungen der Todesumstände hätten "einen Anfangsverdacht im Hinblick auf fahrlässige Tötung" begründet, teilte Staatsanwalt Christoph Hebbecke am Freitag mit.

Die IT der Uniklinik war nach einem Angriff einer Erpressergruppe am Donnerstag, dem 10. September 2020 gegen 3:00 Uhr, ausgefallen. Aus einem Bericht des Justizministers ging hervor, dass 30 Server des Klinikums verschlüsselt wurden. Auf einem Server wurde ein Erpresserschreiben hinterlassen, das allerdings an die Düsseldorfer Heinrich-Heine-Uni gerichtet war. In dem Schreiben forderte die Erpressergruppe zur Kontaktaufnahme auf - eine konkrete Summe wurde laut Bericht nicht genannt.

Die Düsseldorfer Polizei habe dann tatsächlich Kontakt aufgenommen und den Tätern mitgeteilt, dass von deren Hackerangriff ein Krankenhaus - und nicht die Uni - betroffen sei. Damit seien Patienten erheblich gefährdet. Die Täter hätten daraufhin die Erpressung zurückgezogen und einen Schlüssel ausgehändigt, mit dem die Daten wieder entschlüsselt werden können. Die Polizei vermute daher, dass das Uni-Klinikum nur zufällig betroffen war. Inzwischen seien die Täter nicht mehr erreichbar.

Klinikum kämpft weiterhin mit den Folgen des Angriffs

"Die Sicherheitslücke befand sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware. Bis zur endgültigen Schließung dieser Lücke durch die Softwarefirma war ein ausreichendes Zeitfenster gegeben, um in die Systeme einzudringen", teilte die Klinik mit.

Noch Tage nach dem Angriff war ein Normalbetrieb des IT-Netzes nicht möglich. Statt normalerweise etwa 1.000 Patienten in einer stationären Behandlung seien es durch die üblichen Entlassungen inzwischen nur noch etwa 550, sagte ein Kliniksprecher.

Die Zahl der Operationen am Uniklinikum Düsseldorf sei von normalerweise zwischen 70 und 120 pro Tag deutlich auf nur noch 10 bis maximal 15 gesunken. Bereits seit Tagen steuern Rettungswagen die große Einrichtung in der nordrhein-westfälischen Landeshauptstadt nicht mehr an, sondern fahren zu anderen Krankenhäusern.

Die CDU/FDP-Landesregierung will künftig mehr Geld für die Sicherheit der Computersysteme bereitstellen. Nordrhein-Westfalen bekomme aus dem Bund-Länder-Krankenhauszukunftsgesetz 2020/21 voraussichtlich Fördermittel in Höhe von 900 Millionen Euro, davon 630 Millionen aus Bundesmitteln, erklärte Wissenschaftsministerin Isabel Pfeiffer-Poensgen (parteilos). Mindestens 15 Prozent dieser Mittel müssten in die IT-Sicherheit fließen. Alle Krankenhäuser sollten unabhängig von der Patientenzahl Mittel bekommen. Das Antragsverfahren sei aber noch nicht angelaufen.

Krankenhäuser sind ein beliebtes Ziel

Ransomware-Banden nehmen mittlerweile gezielter Unternehmen ins Visier, von denen sie sich höhere Lösegeldzahlungen erhoffen als von Privatleuten. Im Sommer 2019 hatte eine Schadsoftware die IT-Infrastruktur mehrerer Krankenhäuser und Altenpflegeeinrichtungen im Saarland und in Rheinland-Pfalz infiziert. Ein Krankenhaus im US-Bundesstaat Indiana bezahlte 2018 trotz Backups ein Lösegeld von 60.000 US-Dollar an Ransomware-Erpresser, um seinen Betrieb schneller wieder aufnehmen zu können. 2016 infizierten sich mehrere Krankenhäuser in Nordrhein-Westfalen mit Schadsoftware.

Krankenhäuser nehmen es nicht immer so genau mit der Sicherheit: Eine Luxusklinik im Schweizer Bergpanorama ließ ihre Gebäudesteuerung ungesichert im Internet. Auch in medizinischen Geräten werden immer wieder Sicherheitslücken entdeckt. Erst kürzlich wurde auf Sicherheitslücken in Beatmungsgeräten hingewiesen, 2017 wurden 500.000 unsichere Herzschrittmacher zurückgerufen.

Nachtrag vom 17. September 2020, 14:30 Uhr

Details zum Vorgehen der Erpressergruppe ergänzt.

Nachtrag vom 17. September 2020, 16:45 Uhr

Berichtigung: Die Staatsanwaltschaft ermittelt derzeit noch die Todesumstände der Patientin und noch nicht wegen fahrlässiger Tötung, wie es ursprünglich im Artikel hieß. Der Vorwurf der fahrlässigen Tötung wird jedoch seitens der Staatsanwaltschaft geprüft.

Nachtrag vom 18. September 2020, 12:15 Uhr

Die Staatsanwaltschaft ermittelt nun auch wegen fahrlässiger Tötung, wie der Staatsanwalt Christoph Hebbecke mitteilte. Wir haben den Artikel entsprechend überarbeitet.