Hacker greifen an
Es herrscht an diesem Sommertag Alarmstufe Dunkelrot im Universitätsklinikum einer kleineren Großstadt, gelegen in der Mitte Deutschlands. Vor dem Haupthaus des Krankenhauses, das mit seinen medizinischen Spezialgebieten und seiner hohen Bettenkapazität ein riesiges Einzugsgebiet versorgt, sind Kranken‑, Notarzt- und Rettungswagen aufgefahren.
Von überall her hört man Martinshörner. Panische Schreie und ein Stimmengewirr dringen aus dem Innern des Gebäudes. Die Bevölkerung wird über Radio und Lautsprecherwagen dazu aufgerufen, das Gebiet rund ums Uniklinikum großräumig zu meiden, um die Rettungskräfte nicht zu behindern.
Viele Hundert Patienten gilt es zu evakuieren und auf andere Krankenhäuser in der Großregion zu verteilen. Sogar über einen Abtransport per Hubschrauber in andere medizinische Spitzeneinrichtungen Deutschlands wird für die dringendsten Fälle, die eine hochspezialisierte Behandlung benötigen, nachgedacht. Rette sich wer kann, ist die Devise. Nur heraus aus dem Gebäude!
Denn um ihrer Lösegeld-Forderung Nachdruck zu verleihen, hatten die anonymen Hacker um die Mittagszeit sämtliche Rechner und Apparaturen des Klinikums auf einen Schlag außer Funktion gesetzt. Mehrere Patienten verstarben auf der Intensivstation oder im Operationssaal noch auf dem Behandlungstisch; das Leben vieler weiterer steht derzeit auf der Kippe. Einheiten der Bundeswehr bahnen sich mit Scheinwerfern und schwerem Gerät einen Weg ins Gebäude – denn sämtliche Türen sind wie von Geisterhand verriegelt.
Kein Licht brennt mehr auf den langen Korridoren des Gebäudes, und vor allem in den Kellern, mit seinen EDV- und Haustechnik-Einrichtungen. Zu allem Überfluss sind die Sprinkler-Anlagen in Gang gesetzt und überschwemmen mit ihrem Löschwasser die Räume und Flure.
Auf dem mittlerweile leeren Parkplatz haben Rotes Kreuz und Technisches Hilfswerk notdürftige Behandlungs- und Erste-Hilfe-Zelte aufgebaut, um die Patienten bis zum Abtransport zu stabilisieren. Wie hoch die Zahl der Todesopfer am Ende des Tages sein wird, ist zu diesem Zeitpunkt noch nicht einmal näherungsweise zu beziffern. Und Ursache allen Übels wären diese Hacker.
Trojanische Pferde ermöglichen Zugang
Das furchtbare Geschehen hatte vor wenigen Tagen seinen Anfang genommen – auf ganz unauffällige Art und Weise. Eine Reihe von Beschäftigten der Krankenhausverwaltung hatte unverdächtige E‑Mails mit Dateianhängen bekommen – und Betreffzeilen wie „Anamnese Patient Peter Schmidt“ oder „GKV-Unterlagen Frau Meier, * 31.01.1962“. Tatsächlich verbargen sich in den Dateianhängen trojanische Pferde, umgangssprachlich „Trojaner“ – Schadprogramme, mit denen sich die Angreifer Zugang zur Krankenhaus-EDV verschafften. Fast niemand schöpfte Verdacht, denn die E‑Mails hatten persönliche Anreden der Mitarbeiter, Betriebsangehörige des Klinikums als angebliche Verfasser; sogar die institutseigenen Absender-E-Mails stimmten scheinbar – die Adresszeilen waren manipuliert.
Nach der System-Infiltration meldeten sich die Cyber-Erpresser mit einer Forderung von drei Millionen US-Dollar bei der Klinikleitung, zahlbar binnen 48 Stunden in digitaler Bitcoin-Währung. Das Klinikum entschied sich dafür, den Fall zunächst nicht in die Öffentlichkeit zu tragen, und verständigte die Polizei. Zugleich begann in der IT-Abteilung ein fieberhafter Wettlauf gegen die Zeit. Doch die Hacker hatten das System bereits komplett in der Hand.
Nach Ablauf des Ultimatums meldeten sich die Hacker zurück. Ihre Forderung betrug nun sechs Millionen Dollar. Zugleich begann das Gebäude verrückt zu spielen: Die Lichter in mehreren Räumen schalteten sich immer wieder an und aus. Die Klimaanlagen auf diversen Stationen stellten ihren Dienst ein, stattdessen sprangen die Heizungen an. Die Öffentlichkeit und die Presse begannen Notiz von den seltsamen Vorkommnissen zu nehmen.
Wenn man der Zahlungsaufforderung innerhalb der nächsten 24 Stunden immer noch nicht nachkomme, hieß es in der zweiten E‑Mail an die Klinikleitung, werde dies Menschenleben kosten. Einen Tag später eröffneten die Erpresser dann die „heiße Phase“ ihres Angriffs. Schnell wurde klar: Um ihre Forderung durchzusetzen, nehmen die Cyber-Kriminellen tatsächlich den Tod von Patienten billigend in Kauf. Sie gehen buchstäblich „über Leichen“.
Ein fiktives Szenario, aber wahrscheinlich
Diese Geschichte hier ist ein extremes Albtraum-Szenario, das hoffentlich niemals wahr werden wird. Wahrscheinlicher jedoch ist es, dass es in den nächsten Jahren in dieser oder ähnlicher Form tatsächlich eintritt. Denn im Rahmen des Krankenhauszukunfts-Gesetzes wird die Digitalisierung und Vernetzung der etwas mehr als 1900 Krankenhäuser in Deutschland massiv vorangetrieben. Mit insgesamt rund vier Milliarden Euro Bundes- und Landesmitteln sollen die Kliniken digital aufgerüstet werden, unter anderem für die elektronische Dokumentation von Pflege- und Behandlungsleistungen, dem digitalen Medikationsmanagement, sowie sektorenübergreifenden telemedizinischen Netzwerkstrukturen.
Auch Maßnahmen zur IT-Sicherheit sind zwar durch den Fonds förderbar – doch anhand der bisherigen Erfahrungen zu befürchten ist, dass in einigen Fällen bei der digitalen Aufrüstung Schnelligkeit vor Sorgfalt gehen wird. Hinzu kommt der Trend, neben der Kern-EDV auch die Haustechnik – etwa Licht, Wärme- und Kälteversorgung, Zutrittssysteme – zu digitalisieren, damit sie sich zentral steuern lassen.
Damit aber wird sie ebenfalls angreifbar. 2017, als der Cyberangriff mit der „WannaCry“-Verschlüsselungs-Software weltweit für Chaos und Aufsehen sorgte, gehörte der britische National Health Service (NHS), der etliche Krankenhäuser betreibt, zu den Haupt-Betroffenen. Krankenhäuser mussten schließen, Patienten- und Behandlungsdaten waren nicht abrufbar.
Attacken gegen deutsche Krankenhäuser
Und in jüngerer Zeit hat es bereits einige ganz reale Fälle von Cyberattacken gegen deutsche Krankenhäuser gegeben: So musste das Klinikum im mittelfränkischen Fürth im Dezember 2019 nach einem Angriff auf die Haus-IT kurzzeitig Patienten abweisen. Anfang September 2020 wurde das Universitätsklinikum Düsseldorf Opfer einer „Ransomware“-Attacke. Die Angreifer hatten Systemdaten verschlüsselt und Lösegeld für deren Wiederfreigabe gefordert.
In der Folge musste sich das Klinikum von der Notfallversorgung abmelden, planbare und ambulante Behandlungen verschieben sowie bereits vereinbarte Patiententermine und Aufnahmen absagen. Erst nach mehreren Tagen beruhigte sich die Lage wieder. Der Angriff hatte sogar einen – indirekten – Todesfall zur Folge: Eine Notpatientin, die das Uniklinikum Düsseldorf wegen des Cyberangriffs abweisen musste, wurde ins Klinikum Wuppertal umgeleitet. Unmittelbar nach der Ankunft dort verstarb die Frau jedoch. Vermutlich wurden ihr die 30 zusätzlichen Minuten Fahrzeit zum Verhängnis.
Auf Anfrage der „Rechtsdepesche für das Gesundheitswesen“ wollte das Düsseldorfer Uniklinikum das Themengebiet IT-Sicherheit nicht kommentieren. Wie es jedoch in den Medien laut Polizeiangaben hieß, hätten die Hacker ursprünglich die Universität Düsseldorf treffen wollen, nicht das Uniklinikum. Als sie erfahren hatten, dass Patienten wegen ihrer Attacke erheblich gefährdet seien, hätten sie dem Klinikum den digitalen Schlüssel ausgehändigt, mit dem die Daten wieder entschlüsselt werden können. Dass die Täter solche Skrupel zeigten und den Angriff von sich aus abbrachen, kann man im Nachhinein nur als geradezu unvorstellbares Glück im Unglück werten.
Erst Mitte Juli 2021 dann der nächste spektakuläre Angriff, diesmal aufs Städtische Klinikum im niedersächsischen Wolfenbüttel bei Braunschweig. Auch hier hatten Hacker die Krankenhaus-EDV mit Schadsoftware infiltriert und Lösegeld gefordert. Durch eine Schnellabschaltung des Internetzugangs konnte die Einrichtung jedoch offenbar Schlimmeres verhindern und die Systeme mittlerweile wiederherstellen.
Dennoch scheint klar: Die Serie von Cyberangriffen gegen Gesundheits-Einrichtungen scheint erst an ihrem Anfang zu stehen. „Die Fälle Fürth, Düsseldorf und Wolfenbüttel unterstreichen eindrucksvoll, dass die Gefahren, die aus Cyberattacken erwachsen können, durchaus real sind“, konstatiert Michael Schanz, Chefredakteur der „Rechtsdepesche für das Gesundheitswesen“.
Krankenhäuser rüsten digital auf
Bereits 2017 hatte die Unternehmungsberatung Roland Berger, im Rahmen ihrer jährlichen Krankenhausstudie, 500 Krankenhäuser befragt, ob sie schon mal Ziel von Hackerangriffen geworden seien. Dies bejahten schon damals 64 Prozent der Kliniken. Als Konsequenz reagierten fast alle betroffenen Institute mit der Verbesserung ihres Firewall-Schutzes (98 Prozent), ferner mehrheitlich mit der Ausarbeitung von Notfallplänen, Mitarbeiter-Schulungen zur Systemsicherheit und der Begrenzung des Zugriffs auf externe Inhalte. Knapp jedes dritte Krankenhaus (31 Prozent) verstärkte seine IT-Abteilung auch personell. Alles zum Schutz gegen die aggressiven Hacker.
„Hacker, die sich von außerhalb Zutritt in ein Kliniksystem verschaffen, können im Prinzip alles kontrollieren – einschließlich der Haustechnik“, erläutert Robert Nussholz. Der selbstständige IT-Fachmann aus Köln ist mit seiner Firma work4med GmbH auf EDV-Systeme und Netzwerk-/Sicherheitstechnik im Gesundheitswesen, etwa für Arztpraxen, spezialisiert. „Die Täter gehen sehr geschickt vor. Oft forschen sie das Umfeld ihres Angriffsziels lange im Voraus aus.“ Auch der zweite Schritt, nachdem ein Beschäftigter einen Dateianhang mit dem Schadprogramm geöffnet hat, läuft sehr perfide ab.
„Dabei spielt es keine Rolle, wenn der einzelne Mitarbeiter keine Administrator-Rechte besitzt. Diese erschleichen sich die Täter, in dem sie beispielsweise den Drucker am Arbeitsplatz des Mitarbeiters lahmlegen – das ist von der Ferne aus möglich. Der Betroffene ruft dann die EDV oder Systemtechnik des Hauses zur Hilfe, die dann am Rechner des Mitarbeiters ihr Admin-Passwort, um den Drucker neu zu installieren, eingeben. Auf diese Eingabe wartet die im Hintergrund aktive Schadsoftware und schon haben es die Hacker in den Händen, und können fortan schalten und walten, wie sie wollen.“