FYI.

This story is over 5 years old.

Tech

Faxen bis der Arzt kommt

Ein Computervirus hat in NRW vor zwei Wochen ein ganzes Krankenhaus lahmgelegt. 100 Server und 900 PCs sind betroffen. Das Krankenhaus erholt sich nur langsam.
Symbolbild: Imago

Es begann ganz harmlos im Lukaskrankenhaus in Neuss. In der Radiologie konnten Mitarbeiter Dateien nicht mehr abrufen, die Systeme liefen langsamer und zeigten Fehlermeldungen an. Als die IT des Hauses eingeschaltet wurde, erkannten die Techniker sofort, dass im Hintergrund eine Schadsoftware zugange war. Der Virus war dabei, die Daten auf den Rechnern des Krankenhauses zu verschlüsseln. Es war klar, dass schnell gehandelt werden musste. Ein Krisenstab wurde einberufen, der dann entschied, alle Systeme runterzufahren.

Anzeige

Die Auswirkungen der Computerinfektion sind gewaltig. Das Krankenhaus entschied, Operationen zu verschieben. Notfälle schickt man an andere Kliniken. Seit dem Cyberangriff vor gut zwei Wochen wird in Neuss wieder gefaxt und Akten von einer Station zur nächsten getragen. Während die Patienten weiter versorgt werden, muss sich das Personal vollkommen umstellen. Vermutlich ist dafür ein einziger E-Mail-Anhang verantwortlich, den ein Klinik-Mitarbeiter öffnete.

Nur langsam kehrt das Krankenhaus wieder zum Normalbetrieb zurück. „Wir sind gerade dabei die Systeme nach und nach wieder hochzufahren, das dauert bei 900 PCs und 100 Servern, wo die verschiedenen Subsysteme unseres Krankenhauses liegen", erklärt Dr. Andreas Kremer, Sprecher des Lukaskrankenhauses, gegenüber Motherboard.

Der Angriff ist kein Einzelfall. Fünf weitere Häuser in NRW sollen in letzter Zeit ebenfalls Opfer von Cyberattacken gewesen sein. „Derzeit gehen die Ermittler nicht von einem gezielten Angriff gegen uns aus", sagt der Sprecher des Lukaskrankenhauses, Dr. Andreas Kremer. Die Folgen des Angriffs sind noch nicht abschätzbar. „Wir haben aber einen wirtschaftlichen Schaden erlitten, der sich noch nicht beziffern lässt."

Seit der ersten Infektion der Krankenhauscomputer ermittelt die Cybercrime-Stelle des Landeskriminalamtes in Nordrhein-Westfalen, die Cybercrime-Experten von der Staatsanwaltschaft Köln haben den Fall zugeteilt bekommen: „Die Qualität der betroffenen Infrastruktur ist entscheidend. Krankenhäuser sind ein sehr sensibler Bereich, daher nehmen wir diese Fälle besonders ernst", erklärt Markus Hartmann, der Leiter der Zentralstelle für Cybercrime (ZAC) gegenüber Motherboard. „Eine Vielzahl von Experten arbeitet auch beim Landeskriminalamt in NRW derzeit im Schichtbetrieb an der Aufklärung des Angriffs."

Anzeige

Das Lukaskrankenhaus betont, dass alle Patientendaten nur verschlüsselt gespeichert würden. Außerdem habe man ein zeitnahes Backup, weshalb das Krankenhaus bald wieder auf seine Daten zugreifen könne. „Bei dem Angriff ist [von der Ransomware] nur ein minimaler Datensatz verschlüsselt worden. Es ist jedenfalls viel weniger befallen, als wir zunächst gedacht hatten", sagt Kremer gegenüber Motherboard. Das Krankenhaus nutze den Angriff aber für ein Update seiner Computersysteme, so Kremer weiter, die IT-Infrastruktur soll neu aufgebaut werden, um sie noch sicherer zu machen.

Doch warum wurden die Krankenhausrechner überhaupt angegriffen? Offenbar ging es um Erpressung. „Es tauchten kurios geschriebene Pop-Up Fenster auf einigen PCs auf, allerdings haben wir kein konkretes Erpresserschreiben erhalten." Häufig wird bei solchen Ransomware-Angriffen versucht, die Daten des Opfers zu verschlüsseln, um dann ein Lösegeldes für die Freigabe der Daten zu verlangen. Das Bundesamt für Sicherheit in der Informationstechnik warnt davor, so ein Lösegeld zu bezahlen.

Seit gut zwei Jahren ist die ZAC auch Ansprechpartner für Unternehmen geworden, die Cyberangriffen zum Opfer gefallen sind. Die Kölner Ermittler beobachten, dass sich die Angreifer immer besser organisieren: „Generell haben wir es eher weniger mit Einzeltätern zu tun. Auch für die Täter sind diese Aufgaben zu komplex geworden, die eher in Teams arbeiten, in dem jeder eine andere Kompetenz besitzt. Mitunter wird das was an Fähigkeiten noch fehlt dazu gekauft, also Crime-as-a-Service", erläutert Markus Hartmann, Leiter der Zentralstelle für Cybercrime.

„Wir beobachten derzeit allgemein einen ganz erheblichen Anstieg an Schadsoftware wie z.B. Locky oder TeslaCrypt, die versandt wird, eine regelrechte Welle. Je mehr Schadsoftware im Umlauf, umso höher ist auch die Wahrscheinlichkeit einer Infektion," erläutert Hartmann von der Staatsanwaltschaft Köln.

Tatsächlich breitet sich gerade Locky mit enormer Geschwindigkeit im Netz aus. Wie der IT-Experte Kevin Beaumont gegenüber Spiegel Online erklärte, seien es an einem Tag bis zu 17.000 Infektionen. Deutschland ist das mit Abstand betroffenste Land, weshalb ein Zusammenhang zwischen der Neusser Erpresser-Software und Locky naheliegt—die Ermittler wollen dies jedoch nicht bestätigen. Im Lukaskrankenhaus, das sich nach dem Angriff deutschlandweit in den Schlagzeilen widerfand, ist die Stimmung dennoch gut, wie Krankenhaussprecher Kremer betonte. „Wir haben hier sehr viele altgediente Mitarbeiter. Die haben einfach gesagt „Gut, dann machen wir es halt wie früher. Die ganze Dokumentation etwa muss schriftlich gemacht werden. Kollegen aus der Verwaltung, bringen derzeit Laborbefunde zu Fuß zu den Stationen. Und ja, zur Kommunikation haben wir auch das Fax eingesetzt, etwa um unsere Mitarbeiter in den ersten Tagen von den Krisentreffen in Kenntnis zu setzen."