Ransomware-Angriff wütet im britischen Gesundheitswesen

London's Air Ambulance MD Helicopters MD-902 Explorer G-EHMS. Bild von Tony Hisgett via flickr.com. Lizenz: Creative Commons

Ein Ransomware-Angriff der russischen Gruppe Qilin hat Krankenhäuser im Südosten Londons getroffen. Die Folgen waren gestörte Abläufe und verschobene Termine. Zu allem Überfluss veröffentlichen die Hacker nun persönliche Patientendaten.

Am 3. Juni traf eine schwere Ransomware-Attacke mehrere Krankenhäuser im Südosten Londons. Das Gesundheitswesen war über zwei Wochen lang stark beeinträchtigt, mehr als tausend Operationen und noch mehr Sprechstunden wurden abgesagt.

Die Opfer des Angriffs war Synnovis, ein Pathologie-Dienstleister der NHS, des britischen Gesundheitssystems, der täglich rund 100.000 Blutproben analysiert. In der Folge waren zahlreiche Krankenhäuser in Londons Süden sowie Arztpraxen in der ganzen Stadt stark eingeschränkt. Laut internen Aussagen war es „ein kritischer Vorfall“, der verschiedene Dienstleistungen stark einschränkte, insbesondere Bluttransfusionen.

Mittlerweile laufen die Systeme wieder. Doch das dicke Ende kommt erst noch. Die Hacker der russischen Ransomware-Gang Qilin, auch Agenda genannt, haben 40 Millionen Pfund in Bitcoin gefordert, um sensible Daten unter Verschluss zu halten. Die Summe wurde offenbar nicht bezahlt, denn die Hacker haben nun 400 Gigabyte Patientendaten veröffentlicht, darunter Geburtsdaten und die Ergebnisse von Bluttests, auch für HIV und Krebs. Der NHS prüft derzeit die Authentizität der Daten, was aber wegen der komplexen Natur noch Wochen in Anspruch nehmen sollte. Da es von den Testergebnissen kein Backup gibt, müssen tausende Patienten erneut zum Bluttest.

Die Qilin-Hackergang operiert seit Oktober 2022 nach dem Modell „Ransomware-as-a-Service„: Sie stellt anderen Hackern die Schadsoftware und die Infrastruktur zur Lösegeldeinnahme zur Verfügung, damit diese die Fußarbeit machen, die Systeme der Opfer zu infiltrieren. Dafür bekommt Qilin einen Anteil an den Einnahmen. Diese Art der Arbeitsteilung hat sich in den vergangenen Jahren in der Ransomware-Branche herausgebildet, und sie wird von Sicherheitsexperten mit großer Sorge registriert.

Gesundheitsdienstleister haben sich dabei als lukrative Opfer bewährt, die dank ihrer oft veraltenen Computerinfrastruktur ein leichtes Ziel abgeben, dem sich, wegen der teils lebensbedrohlichen Folgen, hohe Lösegelder abpressen lassen.

Erst im Februar dieses Jahres hatte in den USA mit dem Hack von Change Healthcare der bisher schwerwiegendse Angriff im Gesundheitswesen stattgefunden. Er legte bundesweit Abrechnungs- und Informationssysteme lahm. Change Healthcare hat zwar 22 Millionen Dollar in Bitcoin an die Ransomware-Hacker ALPHV („BlackCat“) – ebenfalls aus Russland – bezahlt. Doch auch hier offenbaren sich im Nachspiel böse Folgen.

Da die Abrechnungssysteme im US-Gesundheitswesen wegen des Hacks vielfach gestört waren, haben Ärzte und Apotheker enorme Verluste durch nicht oder verzögert bezahlte Rezepte gemacht. Das Mutterunternehmen von Change Healthcare, die UnitedHealth Group, hat dafür zwar zwei Milliarden Dollar zur Verfügung gestellt, doch diese Mittel sind inzwischen erschöpft, ohne dass alle aus dem Hack enstandenen finanziellen Probleme gelindert wären. Daher wird der Fall mittlerweile auch gerichtlich ausgetragen, am Bundesgericht von Minnesota sind bereits 49 Klagen eingegangen, die Change Healthcare Fahrlässigkeit bei der Datensicherheit vorwerfen. Wer den Schaden hat … —

Die fortlaufenden Ransomware-Angriffe auf das Gesundheitssystem wurden längst zu einer ernsthaften Bedrohung. Kliniken und Dienstleister können ihre Systeme sicherer machen, ohne Zweifel, aber der Preis, den sie dafür bezahlen, ist oft eine geringere Flexibilität und ein fortlaufender Mehraufwand. Daher dürfte es auch in Zukunft weitere Angriffe geben, insbesondere, wenn man annimmt, dass Hacker in relativ naher Zukuft generative KIs nutzen werden, um noch ausgefeiltere Social-Engineering-Angriffe zu fahren. Dass diese Angriffe oft aus Russland kommen, Russland mit dem Lösegeld in Bitcoin Devisen bekommt, während es zugleich den Westen schwächt, und dass der russsiche Geheimdienst offenbar mit den Hackern zusammenarbeitet – das macht es nicht eben beruhigender.