Ein Kidnapping-Drama der etwas anderen Art: Im kalifornischen Los Angeles haben Hacker die Kontrolle über das IT-System eines Krankenhauses gewonnen. Die Cyberattacke erfolgte über eine schädliche Verschlüsselungssoftware, einer sogenannter Ransomware – Erpressersoftware also.
Für die Freigabe des IT-Systems des Hollywood Presbyterian Medical Center in L.A. forderten die Angreifer laut zahlreichen Medienberichten 3,7 Millionen US-Dollar, oder auch 9.000 Bitcoins. Das FBI wurde eingeschaltet.
Wie heute morgen bekannt wurde, hat das Krankenhaus tatsächlich den Erpressern nachgegeben und Geld gezahlt – wenn auch weitaus weniger: 17.000 US-Dollar flossen laut Krankenhaus-Boss Allen Stefanek in die Taschen der Hacker. In einem offiziellen Statement bestreitet er die ursprüngliche Millionenforderung.
Warum das Krankenhaus trotz der Ermittlungen durch das FBI auf die Forderung eingegangen ist, ist nicht ganz klar. Stefaneks Begründung: Es sei die schnellste und effizienteste Lösung gewesen sein. Allerdings war das Krankenhaus bereits seit dem 5. Februar durch das Virus in einer Notstandsituation, potentielle Patienten würden abgewiesen und bereits aufgenommene Patienten in andere Krankenhäuser verlegt werden. Seit dem 15. Februar sei das IT-System wieder im Einsatz, heißt es von Stefanek.
Hierzulande warnen verschiedene Institutionen wie das Landeskriminalamt Nordrhein-Westfalen oder auch das Bundesamt für Sicherheit in der Informationstechnik davor, sich auf Ransomware-Forderungen einzulassen.
Deutsche Krankenhäuser lahmgelegt
Attacken durch Ransomware sind nicht ungewöhnlich. Dabei werden Daten auf der angegriffenen Festplatte verschlüsselt oder der Zugang zum Gadget gesperrt. Für die Freigabe verlangen die Hacker dann Geld.
Auch in Deutschland kommen nun ähnliche Angriffe auf Krankenhäuser an die Öffentlichkeit. Im Klinikum Arnsberg in Nordrhein-Westfalen wurde am vergangenen Wochenende ebenfalls ein Virus entdeckt, der wahrscheinlich über einen geöffneten E-Mail-Anhang in das System eindringen konnte. Um eine Ausbreitung zu verhindern, wurden alle 200 Server des Krankenhauses heruntergefahren. Für die Mitarbeiter hieß das: Stift und Papier statt E-Mail und Scan.
Ob es sich auch beim Arnsberger Krankenhaus um Ransomware handelte, ist nicht klar. Richard Bornkeßel, Sprecher des Klinikums, bestreitet entsprechende Medienberichte, dass explizite Geldforderungen von den Autoren des Virus hinterlegt worden waren. Details zum Schadprogramm wollte er nicht geben. Das Krankenhaus habe regelmäßig Virenscans durchgeführt, sagte Bornkeßel zu Gründerszene. Nun werde geprüft, wie das IT-System noch sicherer werden kann.
Der Schutz war da
Nicht nur in Arnsberg wurde eine Klinik lahmgelegt. Auch im Lukaskrankenhaus im westfälischen Neuss wurde eine schädliche Verschlüsselungssoftware entdeckt – welche die Klinik zusammen mit IT-Sicherheitsfirmen und dem Landeskriminalamt fast eine Woche lang bekämpfte. Erst am späten Abend des 16. Februar wurde das Problem vollständig behoben, so Andreas Kremer, Sprecher für das Krankenhaus, auf Nachfrage von Gründerszene. Bis dahin hatte die Klinik das IT-System heruntergefahren.
Auf Nachfrage von Gründerszene, bestätigte Frank Scheulen, Sprecher des zuständigen Landeskriminalamts, dass Spuren gesichert und Hinweisen nachgegangen würde. Angaben zu der Art des Virus oder möglichen Tätern wollte das LKA aufgrund des laufenden Ermittlungsverfahrens nicht nennen.
In Neuss hatte das Virus nicht nur Auswirkungen auf die Arbeitsweise der Mitarbeiter, sondern auch auf die Patienten. Operationen wurden aus Sicherheitsgründen verschoben, da manche eine schnelle Diagnostik nach der OP erforderten, die so nicht gewährleistet war. Der WDR berichtete außerdem, dass Notfälle an andere Kliniken delegiert wurden. Krankenhaussprecher Kremer bestreitet, dass Geldforderungen eingegangen seien und es sich um einen gezielten Angriff handele. Der Stern berichtete jedoch, Hacker hätten 500 Euro verlangt.
Weitere Fälle in Deutschland
Wie konnte es dazu kommen? Beide Krankenhäuser betonen: Man arbeite mit Virenscan-Programmen und verfüge über hohe Sicherheitsstandards. Die Schadsoftware sei „durchgerutscht“, so Kremer. An veralteter Software habe das nicht gelegen. Er ist überzeugt: „Wenn Sie genug kriminelle Energie haben, kommen Sie überall rein.“Es werde zwar geprüft, wie die IT-Sicherheit im Haus noch weiter verbessert werde könnte – aber ein gänzlicher Schutz sei einfach nicht möglich. Es klingt ein wenig nach Kapitulation, wenn er sagt: „Wir fahren ja auch Auto, obwohl uns ein Autounfall passieren könnte.“
Auch Kliniken in Kleve, Mönchengladbach und im Raum Köln sind laut Medienberichten in letzter Zeit Opfer solcher Virenattacken geworden. Ob es noch weitere Fälle gab, ist nicht bekannt, aber durchaus denkbar. Es ist gut möglich, dass Kliniken solche Sicherheits-GAUs nicht öffentlich machen, um den eigenen Ruf nicht zu schädigen.
Das könnte sich jedoch bald ändern: Im vergangenen Jahr beschloss der Bundestag das IT-Sicherheitsgesetz, das sich auch an sogenannte kritische Infrastrukturen richtet, worunter auch Krankenhäuser fallen können. In Zukunft sollen solche Einrichtungen Mindeststandards einhalten und Vorfälle der Cyberkriminalität melden.
Auch in den USA werden Meldepflichten in der Medizin-Branche diskutiert, wie etwa sogenannte „Vulnerability disclosure programs“. Doch Transparenz hat nicht nur Vorteile: der medizinische IT-Berater Scott Erven sagte gegenüber dem San Francisco Chronicle, er kenne viele, die eine Veröffentlichung für einen Fehler hielten. Denn eventuell führe das zu Nachahmungstaten.
Natürlich kann sich jede Art von Unternehmen – oder auch jede Privatperson – einen solchen Virus einfangen. Aber: Die möglichen Auswirkungen auf medizinische Institutionen sind viel gefährlicher. Sprich: ein perfektes Ziel, um digital Lösegeld zu erpressen.
Vollständigen Schutz wird es allerdings nie geben, davon ist auch Matthias Gärtner vom Bundesamt für Sicherheit in der Informationstechnik überzeugt. Denn: „Je mehr Vernetzung – mit all seinen Vorteilen – es gibt, desto mehr Sicherheitslücken werden auftauchen.“
Stattdessen gehe es darum, zu lernen, mit den neu entstandenen Gefahren umzugehen.