Hacker
Hacker greifen immer öfter Klini­ken an und legen den Betrieb lahm

Hacker greifen an

Es herrscht an diesem Sommer­tag Alarm­stufe Dunkel­rot im Univer­si­täts­kli­ni­kum einer kleine­ren Großstadt, gelegen in der Mitte Deutsch­lands. Vor dem Haupt­haus des Kranken­hau­ses, das mit seinen medizi­ni­schen Spezi­al­ge­bie­ten und seiner hohen Betten­ka­pa­zi­tät ein riesi­ges Einzugs­ge­biet versorgt, sind Kranken‑, Notarzt- und Rettungs­wa­gen aufge­fah­ren.

Von überall her hört man Martins­hör­ner. Panische Schreie und ein Stimmen­ge­wirr dringen aus dem Innern des Gebäu­des. Die Bevöl­ke­rung wird über Radio und Lautspre­cher­wa­gen dazu aufge­ru­fen, das Gebiet rund ums Unikli­ni­kum großräu­mig zu meiden, um die Rettungs­kräfte nicht zu behin­dern.

Viele Hundert Patien­ten gilt es zu evaku­ie­ren und auf andere Kranken­häu­ser in der Großre­gion zu vertei­len. Sogar über einen Abtrans­port per Hubschrau­ber in andere medizi­ni­sche Spitzen­ein­rich­tun­gen Deutsch­lands wird für die dringends­ten Fälle, die eine hochspe­zia­li­sierte Behand­lung benöti­gen, nachge­dacht. Rette sich wer kann, ist die Devise. Nur heraus aus dem Gebäude!

Denn um ihrer Lösegeld-Forde­rung Nachdruck zu verlei­hen, hatten die anony­men Hacker um die Mittags­zeit sämtli­che Rechner und Appara­tu­ren des Klini­kums auf einen Schlag außer Funktion gesetzt. Mehrere Patien­ten verstar­ben auf der Inten­siv­sta­tion oder im Opera­ti­ons­saal noch auf dem Behand­lungs­tisch; das Leben vieler weite­rer steht derzeit auf der Kippe. Einhei­ten der Bundes­wehr bahnen sich mit Schein­wer­fern und schwe­rem Gerät einen Weg ins Gebäude – denn sämtli­che Türen sind wie von Geister­hand verrie­gelt.

Kein Licht brennt mehr auf den langen Korri­do­ren des Gebäu­des, und vor allem in den Kellern, mit seinen EDV- und Haustech­nik-Einrich­tun­gen. Zu allem Überfluss sind die Sprink­ler-Anlagen in Gang gesetzt und überschwem­men mit ihrem Lösch­was­ser die Räume und Flure.

Auf dem mittler­weile leeren Parkplatz haben Rotes Kreuz und Techni­sches Hilfs­werk notdürf­tige Behand­lungs- und Erste-Hilfe-Zelte aufge­baut, um die Patien­ten bis zum Abtrans­port zu stabi­li­sie­ren. Wie hoch die Zahl der Todes­op­fer am Ende des Tages sein wird, ist zu diesem Zeitpunkt noch nicht einmal näherungs­weise zu bezif­fern. Und Ursache allen Übels wären diese Hacker.

Troja­ni­sche Pferde ermög­li­chen Zugang

Das furcht­bare Gesche­hen hatte vor wenigen Tagen seinen Anfang genom­men – auf ganz unauf­fäl­lige Art und Weise. Eine Reihe von Beschäf­tig­ten der Kranken­haus­ver­wal­tung hatte unver­däch­tige E‑Mails mit Datei­an­hän­gen bekom­men – und Betreff­zei­len wie „Anamnese Patient Peter Schmidt“ oder „GKV-Unter­la­gen Frau Meier, * 31.01.1962“. Tatsäch­lich verbar­gen sich in den Datei­an­hän­gen troja­ni­sche Pferde, umgangs­sprach­lich „Troja­ner“ – Schad­pro­gramme, mit denen sich die Angrei­fer Zugang zur Kranken­haus-EDV verschaff­ten. Fast niemand schöpfte Verdacht, denn die E‑Mails hatten persön­li­che Anreden der Mitar­bei­ter, Betriebs­an­ge­hö­rige des Klini­kums als angeb­li­che Verfas­ser; sogar die insti­tuts­ei­ge­nen Absen­der-E-Mails stimm­ten schein­bar – die Adress­zei­len waren manipu­liert.

Nach der System-Infil­tra­tion melde­ten sich die Cyber-Erpres­ser mit einer Forde­rung von drei Millio­nen US-Dollar bei der Klinik­lei­tung, zahlbar binnen 48 Stunden in digita­ler Bitcoin-Währung. Das Klini­kum entschied sich dafür, den Fall zunächst nicht in die Öffent­lich­keit zu tragen, und verstän­digte die Polizei. Zugleich begann in der IT-Abtei­lung ein fieber­haf­ter Wettlauf gegen die Zeit. Doch die Hacker hatten das System bereits komplett in der Hand.

Hacker
Niemand bemerkt zunächst, wie sich Hacker in die Systeme einschlei­chen

Nach Ablauf des Ultima­tums melde­ten sich die Hacker zurück. Ihre Forde­rung betrug nun sechs Millio­nen Dollar. Zugleich begann das Gebäude verrückt zu spielen: Die Lichter in mehre­ren Räumen schal­te­ten sich immer wieder an und aus. Die Klima­an­la­gen auf diver­sen Statio­nen stell­ten ihren Dienst ein, statt­des­sen spran­gen die Heizun­gen an. Die Öffent­lich­keit und die Presse began­nen Notiz von den seltsa­men Vorkomm­nis­sen zu nehmen.

Wenn man der Zahlungs­auf­for­de­rung inner­halb der nächs­ten 24 Stunden immer noch nicht nachkomme, hieß es in der zweiten E‑Mail an die Klinik­lei­tung, werde dies Menschen­le­ben kosten. Einen Tag später eröff­ne­ten die Erpres­ser dann die „heiße Phase“ ihres Angriffs. Schnell wurde klar: Um ihre Forde­rung durch­zu­set­zen, nehmen die Cyber-Krimi­nel­len tatsäch­lich den Tod von Patien­ten billi­gend in Kauf. Sie gehen buchstäb­lich „über Leichen“.

Ein fikti­ves Szena­rio, aber wahrschein­lich

Diese Geschichte hier ist ein extre­mes Albtraum-Szena­rio, das hoffent­lich niemals wahr werden wird. Wahrschein­li­cher jedoch ist es, dass es in den nächs­ten Jahren in dieser oder ähnli­cher Form tatsäch­lich eintritt. Denn im Rahmen des Kranken­haus­zu­kunfts-Geset­zes wird die Digita­li­sie­rung und Vernet­zung der etwas mehr als 1.900 Kranken­häu­ser in Deutsch­land massiv voran­ge­trie­ben. Mit insge­samt rund vier Milli­ar­den Euro Bundes- und Landes­mit­teln sollen die Klini­ken digital aufge­rüs­tet werden, unter anderem für die elektro­ni­sche Dokumen­ta­tion von Pflege- und Behand­lungs­leis­tun­gen, dem digita­len Medika­ti­ons­ma­nage­ment, sowie sektoren­über­grei­fen­den teleme­di­zi­ni­schen Netzwerk­struk­tu­ren.

Auch Maßnah­men zur IT-Sicher­heit sind zwar durch den Fonds förder­bar – doch anhand der bishe­ri­gen Erfah­run­gen zu befürch­ten ist, dass in einigen Fällen bei der digita­len Aufrüs­tung Schnel­lig­keit vor Sorgfalt gehen wird. Hinzu kommt der Trend, neben der Kern-EDV auch die Haustech­nik – etwa Licht, Wärme- und Kälte­ver­sor­gung, Zutritts­sys­teme – zu digita­li­sie­ren, damit sie sich zentral steuern lassen.

Damit aber wird sie ebenfalls angreif­bar. 2017, als der Cyber­an­griff mit der „WannaCry“-Verschlüsselungs-Software weltweit für Chaos und Aufse­hen sorgte, gehörte der briti­sche Natio­nal Health Service (NHS), der etliche Kranken­häu­ser betreibt, zu den Haupt-Betrof­fe­nen. Kranken­häu­ser mussten schlie­ßen, Patien­ten- und Behand­lungs­da­ten waren nicht abruf­bar.

Hacker
Wegen Sicher­heits­män­gel durch Cyber­kri­mi­nelle mussten Klini­ken schon Patien­ten abwei­sen

Attacken gegen deutsche Kranken­häu­ser

Und in jünge­rer Zeit hat es bereits einige ganz reale Fälle von Cyber­at­ta­cken gegen deutsche Kranken­häu­ser gegeben: So musste das Klini­kum im mittel­frän­ki­schen Fürth im Dezem­ber 2019 nach einem Angriff auf die Haus-IT kurzzei­tig Patien­ten abwei­sen. Anfang Septem­ber 2020 wurde das Univer­si­täts­kli­ni­kum Düssel­dorf Opfer einer „Ransomware“-Attacke. Die Angrei­fer hatten System­da­ten verschlüs­selt und Lösegeld für deren Wieder­frei­gabe gefor­dert.

In der Folge musste sich das Klini­kum von der Notfall­ver­sor­gung abmel­den, planbare und ambulante Behand­lun­gen verschie­ben sowie bereits verein­barte Patien­ten­ter­mine und Aufnah­men absagen. Erst nach mehre­ren Tagen beruhigte sich die Lage wieder. Der Angriff hatte sogar einen – indirek­ten – Todes­fall zur Folge: Eine Notpa­ti­en­tin, die das Unikli­ni­kum Düssel­dorf wegen des Cyber­an­griffs abwei­sen musste, wurde ins Klini­kum Wupper­tal umgelei­tet. Unmit­tel­bar nach der Ankunft dort verstarb die Frau jedoch. Vermut­lich wurden ihr die 30 zusätz­li­chen Minuten Fahrzeit zum Verhäng­nis.

Auf Anfrage der „Rechts­de­pe­sche für das Gesund­heits­we­sen“ wollte das Düssel­dor­fer Unikli­ni­kum das Themen­ge­biet IT-Sicher­heit nicht kommen­tie­ren. Wie es jedoch in den Medien laut Polizei­an­ga­ben hieß, hätten die Hacker ursprüng­lich die Univer­si­tät Düssel­dorf treffen wollen, nicht das Unikli­ni­kum. Als sie erfah­ren hatten, dass Patien­ten wegen ihrer Attacke erheb­lich gefähr­det seien, hätten sie dem Klini­kum den digita­len Schlüs­sel ausge­hän­digt, mit dem die Daten wieder entschlüs­selt werden können. Dass die Täter solche Skrupel zeigten und den Angriff von sich aus abbra­chen, kann man im Nachhin­ein nur als geradezu unvor­stell­ba­res Glück im Unglück werten.

Erst Mitte Juli 2021 dann der nächste spekta­ku­läre Angriff, diesmal aufs Städti­sche Klini­kum im nieder­säch­si­schen Wolfen­büt­tel bei Braun­schweig. Auch hier hatten Hacker die Kranken­haus-EDV mit Schad­soft­ware infil­triert und Lösegeld gefor­dert. Durch eine Schnell­ab­schal­tung des Inter­net­zu­gangs konnte die Einrich­tung jedoch offen­bar Schlim­me­res verhin­dern und die Systeme mittler­weile wieder­her­stel­len.

Dennoch scheint klar: Die Serie von Cyber­an­grif­fen gegen Gesund­heits-Einrich­tun­gen scheint erst an ihrem Anfang zu stehen. „Die Fälle Fürth, Düssel­dorf und Wolfen­büt­tel unter­strei­chen eindrucks­voll, dass die Gefah­ren, die aus Cyber­at­ta­cken erwach­sen können, durch­aus real sind“, konsta­tiert Michael Schanz, Chefre­dak­teur der „Rechts­de­pe­sche für das Gesund­heits­we­sen“.

Hacker
Der einzige Ausweg: digital aufrüs­ten?

Kranken­häu­ser rüsten digital auf

Bereits 2017 hatte die Unter­neh­mungs­be­ra­tung Roland Berger, im Rahmen ihrer jährli­chen Kranken­haus­stu­die, 500 Kranken­häu­ser befragt, ob sie schon mal Ziel von Hacker­an­grif­fen gewor­den seien. Dies bejah­ten schon damals 64 Prozent der Klini­ken. Als Konse­quenz reagier­ten fast alle betrof­fe­nen Insti­tute mit der Verbes­se­rung ihres Firewall-Schut­zes (98 Prozent), ferner mehrheit­lich mit der Ausar­bei­tung von Notfall­plä­nen, Mitar­bei­ter-Schulun­gen zur System­si­cher­heit und der Begren­zung des Zugriffs auf externe Inhalte. Knapp jedes dritte Kranken­haus (31 Prozent) verstärkte seine IT-Abtei­lung auch perso­nell. Alles zum Schutz gegen die aggres­si­ven Hacker.

„Hacker, die sich von außer­halb Zutritt in ein Klinik­sys­tem verschaf­fen, können im Prinzip alles kontrol­lie­ren – einschließ­lich der Haustech­nik“, erläu­tert Robert Nussholz. Der selbst­stän­dige IT-Fachmann aus Köln ist mit seiner Firma work4med GmbH auf EDV-Systeme und Netzwerk-/Sicher­heits­tech­nik im Gesund­heits­we­sen, etwa für Arztpra­xen, spezia­li­siert. „Die Täter gehen sehr geschickt vor. Oft forschen sie das Umfeld ihres Angriffs­ziels lange im Voraus aus.“ Auch der zweite Schritt, nachdem ein Beschäf­tig­ter einen Datei­an­hang mit dem Schad­pro­gramm geöff­net hat, läuft sehr perfide ab.

„Dabei spielt es keine Rolle, wenn der einzelne Mitar­bei­ter keine Adminis­tra­tor-Rechte besitzt. Diese erschlei­chen sich die Täter, in dem sie beispiels­weise den Drucker am Arbeits­platz des Mitar­bei­ters lahmle­gen – das ist von der Ferne aus möglich. Der Betrof­fene ruft dann die EDV oder System­tech­nik des Hauses zur Hilfe, die dann am Rechner des Mitar­bei­ters ihr Admin-Passwort, um den Drucker neu zu instal­lie­ren, einge­ben. Auf diese Eingabe wartet die im Hinter­grund aktive Schad­soft­ware und schon haben es die Hacker in den Händen, und können fortan schal­ten und walten, wie sie wollen.“