Anzei­ge
Jetzt besuchen
Hacker
Hacker grei­fen immer öfter Kli­ni­ken an und legen den Betrieb lahm

Hacker greifen an

Es herrscht an die­sem Som­mer­tag Alarm­stu­fe Dun­kel­rot im Uni­ver­si­täts­kli­ni­kum einer klei­ne­ren Groß­stadt, gele­gen in der Mit­te Deutsch­lands. Vor dem Haupt­haus des Kran­ken­hau­ses, das mit sei­nen medi­zi­ni­schen Spe­zi­al­ge­bie­ten und sei­ner hohen Bet­ten­ka­pa­zi­tät ein rie­si­ges Ein­zugs­ge­biet ver­sorgt, sind Kranken‑, Not­arzt- und Ret­tungs­wa­gen aufgefahren.

Von über­all her hört man Mar­tins­hör­ner. Pani­sche Schreie und ein Stim­men­ge­wirr drin­gen aus dem Innern des Gebäu­des. Die Bevöl­ke­rung wird über Radio und Laut­spre­cher­wa­gen dazu auf­ge­ru­fen, das Gebiet rund ums Uni­kli­ni­kum groß­räu­mig zu mei­den, um die Ret­tungs­kräf­te nicht zu behindern.

Vie­le Hun­dert Pati­en­ten gilt es zu eva­ku­ie­ren und auf ande­re Kran­ken­häu­ser in der Groß­re­gi­on zu ver­tei­len. Sogar über einen Abtrans­port per Hub­schrau­ber in ande­re medi­zi­ni­sche Spit­zen­ein­rich­tun­gen Deutsch­lands wird für die drin­gends­ten Fäl­le, die eine hoch­spe­zia­li­sier­te Behand­lung benö­ti­gen, nach­ge­dacht. Ret­te sich wer kann, ist die Devi­se. Nur her­aus aus dem Gebäude!

Denn um ihrer Löse­geld-For­de­rung Nach­druck zu ver­lei­hen, hat­ten die anony­men Hacker um die Mit­tags­zeit sämt­li­che Rech­ner und Appa­ra­tu­ren des Kli­ni­kums auf einen Schlag außer Funk­ti­on gesetzt. Meh­re­re Pati­en­ten ver­star­ben auf der Inten­siv­sta­ti­on oder im Ope­ra­ti­ons­saal noch auf dem Behand­lungs­tisch; das Leben vie­ler wei­te­rer steht der­zeit auf der Kip­pe. Ein­hei­ten der Bun­des­wehr bah­nen sich mit Schein­wer­fern und schwe­rem Gerät einen Weg ins Gebäu­de – denn sämt­li­che Türen sind wie von Geis­ter­hand verriegelt.

Kein Licht brennt mehr auf den lan­gen Kor­ri­do­ren des Gebäu­des, und vor allem in den Kel­lern, mit sei­nen EDV- und Haus­tech­nik-Ein­rich­tun­gen. Zu allem Über­fluss sind die Sprink­ler-Anla­gen in Gang gesetzt und über­schwem­men mit ihrem Lösch­was­ser die Räu­me und Flure.

Auf dem mitt­ler­wei­le lee­ren Park­platz haben Rotes Kreuz und Tech­ni­sches Hilfs­werk not­dürf­ti­ge Behand­lungs- und Ers­te-Hil­fe-Zel­te auf­ge­baut, um die Pati­en­ten bis zum Abtrans­port zu sta­bi­li­sie­ren. Wie hoch die Zahl der Todes­op­fer am Ende des Tages sein wird, ist zu die­sem Zeit­punkt noch nicht ein­mal nähe­rungs­wei­se zu bezif­fern. Und Ursa­che allen Übels wären die­se Hacker.

Trojanische Pferde ermöglichen Zugang

Das furcht­ba­re Gesche­hen hat­te vor weni­gen Tagen sei­nen Anfang genom­men – auf ganz unauf­fäl­li­ge Art und Wei­se. Eine Rei­he von Beschäf­tig­ten der Kran­ken­haus­ver­wal­tung hat­te unver­däch­ti­ge E‑Mails mit Datei­an­hän­gen bekom­men – und Betreff­zei­len wie „Ana­mne­se Pati­ent Peter Schmidt“ oder „GKV-Unter­la­gen Frau Mei­er, * 31.01.1962“. Tat­säch­lich ver­bar­gen sich in den Datei­an­hän­gen tro­ja­ni­sche Pfer­de, umgangs­sprach­lich „Tro­ja­ner“ – Schad­pro­gram­me, mit denen sich die Angrei­fer Zugang zur Kran­ken­haus-EDV ver­schaff­ten. Fast nie­mand schöpf­te Ver­dacht, denn die E‑Mails hat­ten per­sön­li­che Anre­den der Mit­ar­bei­ter, Betriebs­an­ge­hö­ri­ge des Kli­ni­kums als angeb­li­che Ver­fas­ser; sogar die insti­tuts­ei­ge­nen Absen­der-E-Mails stimm­ten schein­bar – die Adress­zei­len waren manipuliert.

Nach der Sys­tem-Infil­tra­ti­on mel­de­ten sich die Cyber-Erpres­ser mit einer For­de­rung von drei Mil­lio­nen US-Dol­lar bei der Kli­nik­lei­tung, zahl­bar bin­nen 48 Stun­den in digi­ta­ler Bit­coin-Wäh­rung. Das Kli­ni­kum ent­schied sich dafür, den Fall zunächst nicht in die Öffent­lich­keit zu tra­gen, und ver­stän­dig­te die Poli­zei. Zugleich begann in der IT-Abtei­lung ein fie­ber­haf­ter Wett­lauf gegen die Zeit. Doch die Hacker hat­ten das Sys­tem bereits kom­plett in der Hand.

Hacker
Nie­mand bemerkt zunächst, wie sich Hacker in die Sys­te­me einschleichen

Nach Ablauf des Ulti­ma­tums mel­de­ten sich die Hacker zurück. Ihre For­de­rung betrug nun sechs Mil­lio­nen Dol­lar. Zugleich begann das Gebäu­de ver­rückt zu spie­len: Die Lich­ter in meh­re­ren Räu­men schal­te­ten sich immer wie­der an und aus. Die Kli­ma­an­la­gen auf diver­sen Sta­tio­nen stell­ten ihren Dienst ein, statt­des­sen spran­gen die Hei­zun­gen an. Die Öffent­lich­keit und die Pres­se began­nen Notiz von den selt­sa­men Vor­komm­nis­sen zu nehmen.

Wenn man der Zah­lungs­auf­for­de­rung inner­halb der nächs­ten 24 Stun­den immer noch nicht nach­kom­me, hieß es in der zwei­ten E‑Mail an die Kli­nik­lei­tung, wer­de dies Men­schen­le­ben kos­ten. Einen Tag spä­ter eröff­ne­ten die Erpres­ser dann die „hei­ße Pha­se“ ihres Angriffs. Schnell wur­de klar: Um ihre For­de­rung durch­zu­set­zen, neh­men die Cyber-Kri­mi­nel­len tat­säch­lich den Tod von Pati­en­ten bil­li­gend in Kauf. Sie gehen buch­stäb­lich „über Leichen“.

Ein fiktives Szenario, aber wahrscheinlich

Die­se Geschich­te hier ist ein extre­mes Alb­traum-Sze­na­rio, das hof­fent­lich nie­mals wahr wer­den wird. Wahr­schein­li­cher jedoch ist es, dass es in den nächs­ten Jah­ren in die­ser oder ähn­li­cher Form tat­säch­lich ein­tritt. Denn im Rah­men des Kran­ken­haus­zu­kunfts-Geset­zes wird die Digi­ta­li­sie­rung und Ver­net­zung der etwas mehr als 1900 Kran­ken­häu­ser in Deutsch­land mas­siv vor­an­ge­trie­ben. Mit ins­ge­samt rund vier Mil­li­ar­den Euro Bun­des- und Lan­des­mit­teln sol­len die Kli­ni­ken digi­tal auf­ge­rüs­tet wer­den, unter ande­rem für die elek­tro­ni­sche Doku­men­ta­ti­on von Pfle­ge- und Behand­lungs­leis­tun­gen, dem digi­ta­len Medi­ka­ti­ons­ma­nage­ment, sowie sek­to­ren­über­grei­fen­den tele­me­di­zi­ni­schen Netzwerkstrukturen.

Auch Maß­nah­men zur IT-Sicher­heit sind zwar durch den Fonds för­der­bar – doch anhand der bis­he­ri­gen Erfah­run­gen zu befürch­ten ist, dass in eini­gen Fäl­len bei der digi­ta­len Auf­rüs­tung Schnel­lig­keit vor Sorg­falt gehen wird. Hin­zu kommt der Trend, neben der Kern-EDV auch die Haus­tech­nik – etwa Licht, Wär­me- und Käl­te­ver­sor­gung, Zutritts­sys­te­me – zu digi­ta­li­sie­ren, damit sie sich zen­tral steu­ern lassen.

Damit aber wird sie eben­falls angreif­bar. 2017, als der Cyber­an­griff mit der „WannaCry“-Verschlüsselungs-Software welt­weit für Cha­os und Auf­se­hen sorg­te, gehör­te der bri­ti­sche Natio­nal Health Ser­vice (NHS), der etli­che Kran­ken­häu­ser betreibt, zu den Haupt-Betrof­fe­nen. Kran­ken­häu­ser muss­ten schlie­ßen, Pati­en­ten- und Behand­lungs­da­ten waren nicht abrufbar.

Hacker
Wegen Sicher­heits­män­gel durch Cyber­kri­mi­nel­le muss­ten Kli­ni­ken schon Pati­en­ten abweisen

Attacken gegen deutsche Krankenhäuser

Und in jün­ge­rer Zeit hat es bereits eini­ge ganz rea­le Fäl­le von Cyber­at­ta­cken gegen deut­sche Kran­ken­häu­ser gege­ben: So muss­te das Kli­ni­kum im mit­tel­frän­ki­schen Fürth im Dezem­ber 2019 nach einem Angriff auf die Haus-IT kurz­zei­tig Pati­en­ten abwei­sen. Anfang Sep­tem­ber 2020 wur­de das Uni­ver­si­täts­kli­ni­kum Düs­sel­dorf Opfer einer „Ransomware“-Attacke. Die Angrei­fer hat­ten Sys­tem­da­ten ver­schlüs­selt und Löse­geld für deren Wie­der­frei­ga­be gefordert.

In der Fol­ge muss­te sich das Kli­ni­kum von der Not­fall­ver­sor­gung abmel­den, plan­ba­re und ambu­lan­te Behand­lun­gen ver­schie­ben sowie bereits ver­ein­bar­te Pati­en­ten­ter­mi­ne und Auf­nah­men absa­gen. Erst nach meh­re­ren Tagen beru­hig­te sich die Lage wie­der. Der Angriff hat­te sogar einen – indi­rek­ten – Todes­fall zur Fol­ge: Eine Not­pa­ti­en­tin, die das Uni­kli­ni­kum Düs­sel­dorf wegen des Cyber­an­griffs abwei­sen muss­te, wur­de ins Kli­ni­kum Wup­per­tal umge­lei­tet. Unmit­tel­bar nach der Ankunft dort ver­starb die Frau jedoch. Ver­mut­lich wur­den ihr die 30 zusätz­li­chen Minu­ten Fahr­zeit zum Verhängnis.

Auf Anfra­ge der „Rechts­de­pe­sche für das Gesund­heits­we­sen“ woll­te das Düs­sel­dor­fer Uni­kli­ni­kum das The­men­ge­biet IT-Sicher­heit nicht kom­men­tie­ren. Wie es jedoch in den Medi­en laut Poli­zei­an­ga­ben hieß, hät­ten die Hacker ursprüng­lich die Uni­ver­si­tät Düs­sel­dorf tref­fen wol­len, nicht das Uni­kli­ni­kum. Als sie erfah­ren hat­ten, dass Pati­en­ten wegen ihrer Atta­cke erheb­lich gefähr­det sei­en, hät­ten sie dem Kli­ni­kum den digi­ta­len Schlüs­sel aus­ge­hän­digt, mit dem die Daten wie­der ent­schlüs­selt wer­den kön­nen. Dass die Täter sol­che Skru­pel zeig­ten und den Angriff von sich aus abbra­chen, kann man im Nach­hin­ein nur als gera­de­zu unvor­stell­ba­res Glück im Unglück werten.

Erst Mit­te Juli 2021 dann der nächs­te spek­ta­ku­lä­re Angriff, dies­mal aufs Städ­ti­sche Kli­ni­kum im nie­der­säch­si­schen Wol­fen­büt­tel bei Braun­schweig. Auch hier hat­ten Hacker die Kran­ken­haus-EDV mit Schad­soft­ware infil­triert und Löse­geld gefor­dert. Durch eine Schnell­ab­schal­tung des Inter­net­zu­gangs konn­te die Ein­rich­tung jedoch offen­bar Schlim­me­res ver­hin­dern und die Sys­te­me mitt­ler­wei­le wiederherstellen.

Den­noch scheint klar: Die Serie von Cyber­an­grif­fen gegen Gesund­heits-Ein­rich­tun­gen scheint erst an ihrem Anfang zu ste­hen. „Die Fäl­le Fürth, Düs­sel­dorf und Wol­fen­büt­tel unter­strei­chen ein­drucks­voll, dass die Gefah­ren, die aus Cyber­at­ta­cken erwach­sen kön­nen, durch­aus real sind“, kon­sta­tiert Micha­el Schanz, Chef­re­dak­teur der „Rechts­de­pe­sche für das Gesundheitswesen“.

Hacker
Der ein­zi­ge Aus­weg: digi­tal aufrüsten?

Krankenhäuser rüsten digital auf

Bereits 2017 hat­te die Unter­neh­mungs­be­ra­tung Roland Ber­ger, im Rah­men ihrer jähr­li­chen Kran­ken­haus­stu­die, 500 Kran­ken­häu­ser befragt, ob sie schon mal Ziel von Hacker­an­grif­fen gewor­den sei­en. Dies bejah­ten schon damals 64 Pro­zent der Kli­ni­ken. Als Kon­se­quenz reagier­ten fast alle betrof­fe­nen Insti­tu­te mit der Ver­bes­se­rung ihres Fire­wall-Schut­zes (98 Pro­zent), fer­ner mehr­heit­lich mit der Aus­ar­bei­tung von Not­fall­plä­nen, Mit­ar­bei­ter-Schu­lun­gen zur Sys­tem­si­cher­heit und der Begren­zung des Zugriffs auf exter­ne Inhal­te. Knapp jedes drit­te Kran­ken­haus (31 Pro­zent) ver­stärk­te sei­ne IT-Abtei­lung auch per­so­nell. Alles zum Schutz gegen die aggres­si­ven Hacker.

„Hacker, die sich von außer­halb Zutritt in ein Kli­nik­sys­tem ver­schaf­fen, kön­nen im Prin­zip alles kon­trol­lie­ren – ein­schließ­lich der Haus­tech­nik“, erläu­tert Robert Nuss­holz. Der selbst­stän­di­ge IT-Fach­mann aus Köln ist mit sei­ner Fir­ma work4med GmbH auf EDV-Sys­te­me und Netz­werk-/Si­cher­heits­tech­nik im Gesund­heits­we­sen, etwa für Arzt­pra­xen, spe­zia­li­siert. „Die Täter gehen sehr geschickt vor. Oft for­schen sie das Umfeld ihres Angriffs­ziels lan­ge im Vor­aus aus.“ Auch der zwei­te Schritt, nach­dem ein Beschäf­tig­ter einen Datei­an­hang mit dem Schad­pro­gramm geöff­net hat, läuft sehr per­fi­de ab.

„Dabei spielt es kei­ne Rol­le, wenn der ein­zel­ne Mit­ar­bei­ter kei­ne Admi­nis­tra­tor-Rech­te besitzt. Die­se erschlei­chen sich die Täter, in dem sie bei­spiels­wei­se den Dru­cker am Arbeits­platz des Mit­ar­bei­ters lahm­le­gen – das ist von der Fer­ne aus mög­lich. Der Betrof­fe­ne ruft dann die EDV oder Sys­tem­tech­nik des Hau­ses zur Hil­fe, die dann am Rech­ner des Mit­ar­bei­ters ihr Admin-Pass­wort, um den Dru­cker neu zu instal­lie­ren, ein­ge­ben. Auf die­se Ein­ga­be war­tet die im Hin­ter­grund akti­ve Schad­soft­ware und schon haben es die Hacker in den Hän­den, und kön­nen fort­an schal­ten und wal­ten, wie sie wollen.“