Uniklinik Düsseldorf
dpa

IT-Ausfall
Hacker haben Uniklinik Düsseldorf erpresst

Hinter dem IT-Ausfall am Düsseldorfer Uniklinikum steckte offenbar ein Hackerangriff. In der Folge wird nun auch in einem Todesfall ermittelt.

17.09.2020

Der IT-Ausfall an der Düsseldorfer Uniklinik beruht nach Angaben der Landesregierung auf einem Hackerangriff mit Erpressung. Die Wissenschaftsministerin von Nordrhein-Westfalen, Isabel Pfeiffer-Poensgen (parteilos), sagte am Donnerstag im Landtag, die Täter hätten die Erpressung nach Kontakt zur Polizei zurückgezogen.

Die Staatsanwaltschaft Wuppertal ermittelt in diesem Zusammenhang nun auch in einem Todesfall. Laut einem Bericht des NRW-Justizministers vom Donnerstag starb eine Patientin, die wegen des Angriffs auf die Server der Klinik in ein weiter entferntes Krankenhaus in Wuppertal gebracht werden musste und dort starb.

Dem Bericht zufolge hatten die Angreifer 30 Server des Klinikums verschlüsselt und auf einem Server ein Erpresserschreiben hinterlassen, das allerdings an die Düsseldorfer Heinrich Heine-Uni gerichtet war. In dem Schreiben forderten die Erpresser zur Kontaktaufnahme auf – eine konkrete Summe nannten sie nicht.

Die Düsseldorfer Polizei habe daraufhin den Tätern mitgeteilt, dass durch ihren Hackerangriff ein Krankenhaus – und nicht die Uni – betroffen sei. Damit seien Patienten erheblich gefährdet. Die Täter hätten daraufhin die Erpressung zurückgezogen und einen digitalen Schlüssel ausgehändigt, mit dem die Daten wieder entschlüsselt werden können. Inzwischen seien die Täter nicht mehr erreichbar.

Keine Daten verloren

Nach bisherigen Erkenntnissen sind bei dem Hackerangriff keine Daten gestohlen oder unwiederbringlich gelöscht worden. Das hätten Untersuchungen von IT-Experten ergeben, teilte die Klinik am Donnerstag mit.

Die Hacker hätten eine Schwachstelle in einer Anwendung ausgenutzt. "Die Sicherheitslücke befand sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware. Bis zur endgültigen Schließung dieser Lücke durch die Softwarefirma war ein ausreichendes Zeitfenster gegeben, um in die Systeme einzudringen", teilte die Klinik mit. Die Angreifer hätten dafür gesorgt, dass nach und nach Systeme ausfielen und ein Zugriff auf gespeicherte Daten nicht mehr möglich war.

Vergangenen Donnerstag war nachts das Computer- und Informationssystem des Universitätsklinikums Düsseldorf weitgehend ausgefallen. Seither ist das Uniklinkum von der Notfallversorgung abgemeldet: Rettungswagen fahren die große Einrichtung in der nordrhein-westfälischen Landeshauptstadt nicht mehr an, Operationen wurden verschoben und geplante Behandlungstermine abgesagt. Die Klinik rechnet damit, dass es noch einige Zeit dauern wird, bis Patienten wieder normal behandelt werden können.

Die Zentral- und Ansprechstelle Cybercrime des Landes Nordrhein-Westfalen (ZAC) hatte vergangene Woche wegen Hinweisen auf ein strafrechtlich relevantes Verhalten ein Ermittlungsverfahren eingeleitet. Die Behörde prüft laut dem Bericht an den Landtag noch, ob sie auch die Ermittlungen im Todesfall übernimmt – und das Verfahren gegebenfalls um den Vorwurf der fahrlässigen Tötung erweitert wird.

Ein Sprecher der ZAC bestätigte, dass die Hacker eine Sicherheitslücke in einer Software genutzt hätten, die bei vielen Unternehmen genutzt werde. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) handelte es sich um ein Programm der Firma "Citrix". Eine seit Januar bekannte Schwachstelle in VPN-Produkten der Firma werde für Cyber-Angriffe ausgenutzt. Dem BSI seien "zunehmend Vorfälle bekannt", bei denen Citrix-Systeme bereits vor der Installation der im Januar 2020 bereitgestellten Sicherheitsupdates gehackt wurden. "Dadurch haben Angreifer auch nach Schließung der Sicherheitslücke weiterhin Zugriff auf das System und dahinterliegende Netzwerke", teilte das BSI am Donnerstagnachmittag mit.

Land verspricht mehr Geld für IT-Schutz

In der Vergangenheit waren in NRW das Lukaskrankenhaus in Neuss, das Forschungszentrum Jülich sowie mehrere Unternehmen Ziele von Hackerangriffen.

Die Landesregierung stelle seit 2018 für jede Uniklinik zwei Millionen Euro für die IT-Sicherheit bereit, sagte Pfeiffer-Poensgen am Donnerstag. "Das ist in der Tat zu wenig, daran werden wir arbeiten." NRW bekomme aus dem Bund-Länder-Krankenhauszukunftsgesetz 2020/21 voraussichtlich Fördermittel in Höhe von 900 Millionen Euro, davon 630 Millionen aus Bundesmitteln. Mindestens 15 Prozent dieser Mittel müssten künftig in die IT-Sicherheit fließen.

Grund für die Anfälligkeit der Kliniken für Hackerangriffe ist nach Ansicht der Grünen nicht nur das fehlende Geld. Es seien auch "solide rechtliche Standards" nötig, sagte der Grünen-Fachpolitiker Matthi Bolte-Richter in der Aktuellen Stunde des Landtags zum Hackerangriff auf die Düsseldorfer Uniklinik. Der Bund müsse hier klare Vorgaben machen. Viele Hochschulen und Kliniken hätten immer noch keine Vollzeit-IT-Sicherheitsbeauftragten.

zuletzt aktualisiert am 17.09.2020 um 16:44 Uhr, zuerst veröffentlicht um 11:25 Uhr

Korrektur: Die Staatsanwaltschaft führt ein Todesermittlungsverfahren, derzeit kein Verfahren wegen fahrlässiger Tötung.

dpa/ckr