Nach Angriff auf Düsseldorfer Klinik kommt es zu erstem Todesfall durch Ransomware

Die Uniklinik Düsseldorf wurde von einer Ransomware befallen. Im Zuge des Systemausfalls verstarb eine Patientin, weil sie nicht rechtzeitig behandelt werden konnte. Die Spur zu den Hackern hinter diesem ersten Todesopfer der Ransomware führt nach Russland – die Systemadministratoren der Klinik bleiben ratlos zurück.

Es war schon lange absehbar, dass Ransomware einmal ein Todesopfer fordern wird. Vor gut zwei Wochen ist dies in Düsseldorf geschehen. Durch die Shitrix-Sicherheitslücke im Virtuellen Privaten Netzwerk der Uniklinik gelangte die Ransomware DoppelPaymer ins System und verschlüsselte die Daten auf rund 30 Servern. In der Folge kam es zu weitläufigen Systemausfällen in der Klinik.

Das größte Krankenhaus von Düsseldorf musste daraufhin hunderte von Operationen absagen und sich von der Notfallversorgung abmelden. Krankenwägen konnten die Klinik nicht anfahren, sondern mussten andere Krankenhäuser ansteuern. Eine Frau, die in lebensbedrohlichen Umständen schwebte, sollte zum Wuppertaler Klinikum gebracht werden. Auf dem Weg dorthin verstarb sie jedoch wegen der Verzögerung der Behandlung. Der Tod der Patientin erregt weltweit Aufmerksamkeit, da sie die erste ist, die an den Folgen eines Ransomware-Angriffs gestorben ist.

Dass die Hacker auf Krankenhäuser abzielen, ist längst keine Seltenheit mehr. Wenn die Ransomware die medizinischen Systeme außer Kraft setzt, bedroht sie Leben und erhöht damit den Druck, das Lösegeld zu bezahlen, um die Daten schnellstmöglich zu entschlüsseln. Es handelt sich mehr oder weniger um eine Erpressung mit Geiselnahme.

Beim Uniklinikum Düsseldorf scheint es sich aber vielmehr um ein Versehen gehandelt zu haben. Die Hacker wollten eigentlich die Universität selbst angreifen und hatten die Lösegeldforderung auch an diese adressiert. Nachdem die Polizei ihnen mitteilte, dass sie nicht die Server der Uni, sondern des Klinikums verschlüsselt hatten, zogen diese ihre Forderung zurück und sandten der Klinik den Schlüssel.

Die Klinik leidete jedoch noch einige Wochen an den Folgen des Angriffs; erst am 23. September konnte sie die Notaufnahme wieder eröffnen. Die IT-Administratoren der Klinik bleiben etwas ratlos zurück. Der Shitrix-Bug in der VPN-Software der Firma Citrix war bereits seit Dezember 2019 bekannt; der Hersteller hat die Lücke im Januar gefixt, und die Klinik hat sogar schon zuvor den von ihm empfohlenen Workaround umgesetzt. Was hätten sie mehr machen sollen?

Offenbar haben die Hacker den Bug noch vor dem Patch flächendeckend ausgenutzt. Auf den Servern der Uniklinik war bereits seit Dezember eine Malware installiert, die jedoch erst jetzt zuschlug. Ermittler vermuten, dass noch zahlreiche weitere Systeme still betroffen sind. In Nordrhein-Westfalen fielen schon zuvor das Lukaskrankenhaus in Neuss sowie das Forschungszentrum Jülich Opfer einem Ransomware-Angriff zum Opfer; im Zuge der Shitrix-Lücke traf es um Weihnachten 2019 herum die Universität Gießen.

Mit dem Todesfall verschärft sich natürlich die Ermittlung der Polizei. Die Staatsanwaltschaft von Wuppertal führt derzeit ein Todesermittlungsverfahren und prüft, ob die Anklage gegen die Hacker um den Vorwurf der fahrlässigen Tötung zu erweitern ist. Im Grunde ist dies aber eher egal, denn Ransomware-Hacker kommen in der Regel ungeschoren davon. Im Fall des Angriffs auf die Uniklinik führt die Spur nach Russland, was durch die Art der Ransomware zu vermuten ist: Die DoppelPaymer-Gang greift von Russland aus Institutionen und Unternehmen auf der ganzen Welt an.

Russland gilt als Ausgangspunkt eines Großteils der Ransomware-Angriffe. Dabei aber scheint sich die russische Regierung nicht zu sehr darum zu bemühen, die Hacker festzunehmen, solange diese ihre Energie auf Ziele im Ausland richten. Festnahmen von russischen Hackern kamen bisher nur zustande, wenn diese selbst ins Ausland reisten. Mehrere dieser Festnahmen durch die europäische oder US-amerikanische Polizei, etwa in Prag oder auf den Malediven, haben sogar zu kleinen Verstimmungen der diplomatischen Beziehungen zu Russland geführt.

Je stärker die Folgen von Ransomware-Angriffen werden, desto gravierender dürften die politischen Folgen sein. So hat die Regierung Trump Ransomware bereits als “Cyperterrorismus” tituliert, nachdem Hacker sensible Daten einer Anwaltskanzlei verschlüsselt und gestohlen haben. Zusammen mit der möglichen fahrlässigen Tötung durch den Angriff auf das Klinikum Düsseldorf könnte dies den juristischen Status von Ransomware prägen und verschärfen und generell die juristischen Grenzen zwischen Hackern und Terroristen verschwimmen lassen.

Für viele Unternehmen und Institutionen stellt Ransomware ein Problem dar, das man nicht mit der leichtfertigen Formulierung abhaken kann, die Firmen sollten eben mehr in ihre Cybersicherheit investieren. Gerade das Beispiel des Klinikums Düsseldorf zeigt, dass selbst das umsichtige und zeitnahe Agieren der Administratoren im Rahmen des für sie möglichen einen Angriff nicht ausschließen kann. Kliniken, Universitäten, Forschungszentren, Anwaltskanzleien und viele viele andere Firmen sind eben keine IT-Unternehmen, sondern investieren den Großteil ihrer Ressourcen in andere Tätigkeiten. Ein so kaum zu vermeidender Angriff verursacht ihnen enorme Kosten, und sei es nur wegen der Ausfallzeit. Im Falle von Krankenhäuser kann dies nun auch Leben kosten.