Anzeige
ConvaTec AquacelFoam
Hacker
Hacker greifen immer öfter Klini­ken an und legen den Betrieb lahm

Hacker greifen an

Es herrscht an diesem Sommer­tag Alarm­stufe Dunkel­rot im Univer­si­täts­kli­ni­kum einer kleine­ren Großstadt, gelegen in der Mitte Deutsch­lands. Vor dem Haupt­haus des Kranken­hau­ses, das mit seinen medizi­ni­schen Spezi­al­ge­bie­ten und seiner hohen Betten­ka­pa­zi­tät ein riesi­ges Einzugs­ge­biet versorgt, sind Kranken‑, Notarzt- und Rettungs­wa­gen aufgefahren.

Von überall her hört man Martins­hör­ner. Panische Schreie und ein Stimmen­ge­wirr dringen aus dem Innern des Gebäu­des. Die Bevöl­ke­rung wird über Radio und Lautspre­cher­wa­gen dazu aufge­ru­fen, das Gebiet rund ums Unikli­ni­kum großräu­mig zu meiden, um die Rettungs­kräfte nicht zu behindern.

Viele Hundert Patien­ten gilt es zu evaku­ie­ren und auf andere Kranken­häu­ser in der Großre­gion zu vertei­len. Sogar über einen Abtrans­port per Hubschrau­ber in andere medizi­ni­sche Spitzen­ein­rich­tun­gen Deutsch­lands wird für die dringends­ten Fälle, die eine hochspe­zia­li­sierte Behand­lung benöti­gen, nachge­dacht. Rette sich wer kann, ist die Devise. Nur heraus aus dem Gebäude!

Denn um ihrer Lösegeld-Forde­rung Nachdruck zu verlei­hen, hatten die anony­men Hacker um die Mittags­zeit sämtli­che Rechner und Appara­tu­ren des Klini­kums auf einen Schlag außer Funktion gesetzt. Mehrere Patien­ten verstar­ben auf der Inten­siv­sta­tion oder im Opera­ti­ons­saal noch auf dem Behand­lungs­tisch; das Leben vieler weite­rer steht derzeit auf der Kippe. Einhei­ten der Bundes­wehr bahnen sich mit Schein­wer­fern und schwe­rem Gerät einen Weg ins Gebäude – denn sämtli­che Türen sind wie von Geister­hand verriegelt.

Kein Licht brennt mehr auf den langen Korri­do­ren des Gebäu­des, und vor allem in den Kellern, mit seinen EDV- und Haustech­nik-Einrich­tun­gen. Zu allem Überfluss sind die Sprink­ler-Anlagen in Gang gesetzt und überschwem­men mit ihrem Lösch­was­ser die Räume und Flure.

Auf dem mittler­weile leeren Parkplatz haben Rotes Kreuz und Techni­sches Hilfs­werk notdürf­tige Behand­lungs- und Erste-Hilfe-Zelte aufge­baut, um die Patien­ten bis zum Abtrans­port zu stabi­li­sie­ren. Wie hoch die Zahl der Todes­op­fer am Ende des Tages sein wird, ist zu diesem Zeitpunkt noch nicht einmal näherungs­weise zu bezif­fern. Und Ursache allen Übels wären diese Hacker.

Troja­ni­sche Pferde ermög­li­chen Zugang

Das furcht­bare Gesche­hen hatte vor wenigen Tagen seinen Anfang genom­men – auf ganz unauf­fäl­lige Art und Weise. Eine Reihe von Beschäf­tig­ten der Kranken­haus­ver­wal­tung hatte unver­däch­tige E‑Mails mit Datei­an­hän­gen bekom­men – und Betreff­zei­len wie „Anamnese Patient Peter Schmidt“ oder „GKV-Unter­la­gen Frau Meier, * 31.01.1962“. Tatsäch­lich verbar­gen sich in den Datei­an­hän­gen troja­ni­sche Pferde, umgangs­sprach­lich „Troja­ner“ – Schad­pro­gramme, mit denen sich die Angrei­fer Zugang zur Kranken­haus-EDV verschaff­ten. Fast niemand schöpfte Verdacht, denn die E‑Mails hatten persön­li­che Anreden der Mitar­bei­ter, Betriebs­an­ge­hö­rige des Klini­kums als angeb­li­che Verfas­ser; sogar die insti­tuts­ei­ge­nen Absen­der-E-Mails stimm­ten schein­bar – die Adress­zei­len waren manipuliert.

Nach der System-Infil­tra­tion melde­ten sich die Cyber-Erpres­ser mit einer Forde­rung von drei Millio­nen US-Dollar bei der Klinik­lei­tung, zahlbar binnen 48 Stunden in digita­ler Bitcoin-Währung. Das Klini­kum entschied sich dafür, den Fall zunächst nicht in die Öffent­lich­keit zu tragen, und verstän­digte die Polizei. Zugleich begann in der IT-Abtei­lung ein fieber­haf­ter Wettlauf gegen die Zeit. Doch die Hacker hatten das System bereits komplett in der Hand.

Hacker
Niemand bemerkt zunächst, wie sich Hacker in die Systeme einschleichen

Nach Ablauf des Ultima­tums melde­ten sich die Hacker zurück. Ihre Forde­rung betrug nun sechs Millio­nen Dollar. Zugleich begann das Gebäude verrückt zu spielen: Die Lichter in mehre­ren Räumen schal­te­ten sich immer wieder an und aus. Die Klima­an­la­gen auf diver­sen Statio­nen stell­ten ihren Dienst ein, statt­des­sen spran­gen die Heizun­gen an. Die Öffent­lich­keit und die Presse began­nen Notiz von den seltsa­men Vorkomm­nis­sen zu nehmen.

Wenn man der Zahlungs­auf­for­de­rung inner­halb der nächs­ten 24 Stunden immer noch nicht nachkomme, hieß es in der zweiten E‑Mail an die Klinik­lei­tung, werde dies Menschen­le­ben kosten. Einen Tag später eröff­ne­ten die Erpres­ser dann die „heiße Phase“ ihres Angriffs. Schnell wurde klar: Um ihre Forde­rung durch­zu­set­zen, nehmen die Cyber-Krimi­nel­len tatsäch­lich den Tod von Patien­ten billi­gend in Kauf. Sie gehen buchstäb­lich „über Leichen“.

Ein fikti­ves Szena­rio, aber wahrscheinlich

Diese Geschichte hier ist ein extre­mes Albtraum-Szena­rio, das hoffent­lich niemals wahr werden wird. Wahrschein­li­cher jedoch ist es, dass es in den nächs­ten Jahren in dieser oder ähnli­cher Form tatsäch­lich eintritt. Denn im Rahmen des Kranken­haus­zu­kunfts-Geset­zes wird die Digita­li­sie­rung und Vernet­zung der etwas mehr als 1900 Kranken­häu­ser in Deutsch­land massiv voran­ge­trie­ben. Mit insge­samt rund vier Milli­ar­den Euro Bundes- und Landes­mit­teln sollen die Klini­ken digital aufge­rüs­tet werden, unter anderem für die elektro­ni­sche Dokumen­ta­tion von Pflege- und Behand­lungs­leis­tun­gen, dem digita­len Medika­ti­ons­ma­nage­ment, sowie sekto­ren­über­grei­fen­den teleme­di­zi­ni­schen Netzwerkstrukturen.

Auch Maßnah­men zur IT-Sicher­heit sind zwar durch den Fonds förder­bar – doch anhand der bishe­ri­gen Erfah­run­gen zu befürch­ten ist, dass in einigen Fällen bei der digita­len Aufrüs­tung Schnel­lig­keit vor Sorgfalt gehen wird. Hinzu kommt der Trend, neben der Kern-EDV auch die Haustech­nik – etwa Licht, Wärme- und Kälte­ver­sor­gung, Zutritts­sys­teme – zu digita­li­sie­ren, damit sie sich zentral steuern lassen.

Damit aber wird sie ebenfalls angreif­bar. 2017, als der Cyber­an­griff mit der „WannaCry“-Verschlüsselungs-Software weltweit für Chaos und Aufse­hen sorgte, gehörte der briti­sche Natio­nal Health Service (NHS), der etliche Kranken­häu­ser betreibt, zu den Haupt-Betrof­fe­nen. Kranken­häu­ser mussten schlie­ßen, Patien­ten- und Behand­lungs­da­ten waren nicht abrufbar.

Hacker
Wegen Sicher­heits­män­gel durch Cyber­kri­mi­nelle mussten Klini­ken schon Patien­ten abweisen

Attacken gegen deutsche Krankenhäuser

Und in jünge­rer Zeit hat es bereits einige ganz reale Fälle von Cyber­at­ta­cken gegen deutsche Kranken­häu­ser gegeben: So musste das Klini­kum im mittel­frän­ki­schen Fürth im Dezem­ber 2019 nach einem Angriff auf die Haus-IT kurzzei­tig Patien­ten abwei­sen. Anfang Septem­ber 2020 wurde das Univer­si­täts­kli­ni­kum Düssel­dorf Opfer einer „Ransomware“-Attacke. Die Angrei­fer hatten System­da­ten verschlüs­selt und Lösegeld für deren Wieder­frei­gabe gefordert.

In der Folge musste sich das Klini­kum von der Notfall­ver­sor­gung abmel­den, planbare und ambulante Behand­lun­gen verschie­ben sowie bereits verein­barte Patien­ten­ter­mine und Aufnah­men absagen. Erst nach mehre­ren Tagen beruhigte sich die Lage wieder. Der Angriff hatte sogar einen – indirek­ten – Todes­fall zur Folge: Eine Notpa­ti­en­tin, die das Unikli­ni­kum Düssel­dorf wegen des Cyber­an­griffs abwei­sen musste, wurde ins Klini­kum Wupper­tal umgelei­tet. Unmit­tel­bar nach der Ankunft dort verstarb die Frau jedoch. Vermut­lich wurden ihr die 30 zusätz­li­chen Minuten Fahrzeit zum Verhängnis.

Auf Anfrage der „Rechts­de­pe­sche für das Gesund­heits­we­sen“ wollte das Düssel­dor­fer Unikli­ni­kum das Themen­ge­biet IT-Sicher­heit nicht kommen­tie­ren. Wie es jedoch in den Medien laut Polizei­an­ga­ben hieß, hätten die Hacker ursprüng­lich die Univer­si­tät Düssel­dorf treffen wollen, nicht das Unikli­ni­kum. Als sie erfah­ren hatten, dass Patien­ten wegen ihrer Attacke erheb­lich gefähr­det seien, hätten sie dem Klini­kum den digita­len Schlüs­sel ausge­hän­digt, mit dem die Daten wieder entschlüs­selt werden können. Dass die Täter solche Skrupel zeigten und den Angriff von sich aus abbra­chen, kann man im Nachhin­ein nur als geradezu unvor­stell­ba­res Glück im Unglück werten.

Erst Mitte Juli 2021 dann der nächste spekta­ku­läre Angriff, diesmal aufs Städti­sche Klini­kum im nieder­säch­si­schen Wolfen­büt­tel bei Braun­schweig. Auch hier hatten Hacker die Kranken­haus-EDV mit Schad­soft­ware infil­triert und Lösegeld gefor­dert. Durch eine Schnell­ab­schal­tung des Inter­net­zu­gangs konnte die Einrich­tung jedoch offen­bar Schlim­me­res verhin­dern und die Systeme mittler­weile wiederherstellen.

Dennoch scheint klar: Die Serie von Cyber­an­grif­fen gegen Gesund­heits-Einrich­tun­gen scheint erst an ihrem Anfang zu stehen. „Die Fälle Fürth, Düssel­dorf und Wolfen­büt­tel unter­strei­chen eindrucks­voll, dass die Gefah­ren, die aus Cyber­at­ta­cken erwach­sen können, durch­aus real sind“, konsta­tiert Michael Schanz, Chefre­dak­teur der „Rechts­de­pe­sche für das Gesundheitswesen“.

Hacker
Der einzige Ausweg: digital aufrüsten?

Kranken­häu­ser rüsten digital auf

Bereits 2017 hatte die Unter­neh­mungs­be­ra­tung Roland Berger, im Rahmen ihrer jährli­chen Kranken­haus­stu­die, 500 Kranken­häu­ser befragt, ob sie schon mal Ziel von Hacker­an­grif­fen gewor­den seien. Dies bejah­ten schon damals 64 Prozent der Klini­ken. Als Konse­quenz reagier­ten fast alle betrof­fe­nen Insti­tute mit der Verbes­se­rung ihres Firewall-Schut­zes (98 Prozent), ferner mehrheit­lich mit der Ausar­bei­tung von Notfall­plä­nen, Mitar­bei­ter-Schulun­gen zur System­si­cher­heit und der Begren­zung des Zugriffs auf externe Inhalte. Knapp jedes dritte Kranken­haus (31 Prozent) verstärkte seine IT-Abtei­lung auch perso­nell. Alles zum Schutz gegen die aggres­si­ven Hacker.

„Hacker, die sich von außer­halb Zutritt in ein Klinik­sys­tem verschaf­fen, können im Prinzip alles kontrol­lie­ren – einschließ­lich der Haustech­nik“, erläu­tert Robert Nussholz. Der selbst­stän­dige IT-Fachmann aus Köln ist mit seiner Firma work4med GmbH auf EDV-Systeme und Netzwerk-/Sicher­heits­tech­nik im Gesund­heits­we­sen, etwa für Arztpra­xen, spezia­li­siert. „Die Täter gehen sehr geschickt vor. Oft forschen sie das Umfeld ihres Angriffs­ziels lange im Voraus aus.“ Auch der zweite Schritt, nachdem ein Beschäf­tig­ter einen Datei­an­hang mit dem Schad­pro­gramm geöff­net hat, läuft sehr perfide ab.

„Dabei spielt es keine Rolle, wenn der einzelne Mitar­bei­ter keine Adminis­tra­tor-Rechte besitzt. Diese erschlei­chen sich die Täter, in dem sie beispiels­weise den Drucker am Arbeits­platz des Mitar­bei­ters lahmle­gen – das ist von der Ferne aus möglich. Der Betrof­fene ruft dann die EDV oder System­tech­nik des Hauses zur Hilfe, die dann am Rechner des Mitar­bei­ters ihr Admin-Passwort, um den Drucker neu zu instal­lie­ren, einge­ben. Auf diese Eingabe wartet die im Hinter­grund aktive Schad­soft­ware und schon haben es die Hacker in den Händen, und können fortan schal­ten und walten, wie sie wollen.“