Reumütige Hacker nach Todesfall: Cyber-Krimi um Uni-Klinik

Von Von Oliver Auster, dpa

dpa Düsseldorf. Cyber-Kriminelle verschaffen sich Zugang zum System der Düsseldorfer Uni-Klinik, verschlüsseln die Daten und schicken ein Erpresserschreiben. Als sie merken, dass sie die falsche Institution erwischt haben, rudern sie zurück. Doch eine Frau ist tot.

Reumütige Hacker nach Todesfall: Cyber-Krimi um Uni-Klinik

Der IT-Ausfall an der Düsseldorfer Uni-Klinik beruht nach Angaben der Landesregierung auf einem Hacker-Angriff mit Erpressung. Foto: Roland Weihrauch/dpa

Der digitale Herzinfarkt erwischte die Düsseldorfer Uni-Klinik vergangene Woche: Telefone, Emails, Zugriff auf Patientendaten - fast alles stand plötzlich still.

Das größte Krankenhaus der Landeshauptstadt meldete sich von der Notfallversorgung ab, Operationen wurden abgesagt. Tagelange Gerüchte eines Hacker-Angriffs wurden erst eine Woche später im Landtag bestätigt. Die Regierung teilte mit: 30 Server der Uni-Klinik waren von Hackern digital verschlossen worden. Nachdem die Täter merkten, was sie da angerichtet hatten, rückten sie einen virtuellen Schlüssel raus. Doch da war es offenbar schon zu spät.

Der Justizminister hat den Cyber-Krimi in einem Bericht für den Landtag zusammengefasst: Demnach hatten die Hacker auf einem Server ein Erpresserschreiben hinterlassen - allerdings an die Düsseldorfer Heinrich Heine-Uni adressiert. In dem Schreiben forderten die Erpresser zur Kontaktaufnahme auf, ohne eine Geldsumme zu nennen.

Die Ermittler nutzten den angebotenen Kanal und teilten den Tätern mit, dass sie durch ihren Hackerangriff nicht die Uni mit ihren Professoren und Studenten, sondern das angegliederte Krankenhaus attackiert hatten. Dadurch seien Patienten erheblich gefährdet. Fast unglaublich: Die Hacker zogen laut Justizministerium ihre Erpressung zurück. Reumütig schickten sie einen Schlüssel, um die Daten wieder zu entsperren. Man gehe davon aus, dass die Uni-Klinik nur zufällig zum Opfer wurde, sagte am Donnerstag ein Sprecher der staatsanwaltschaftlichen Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC).

Ein Zufall mit dramatischen Folgen: Eine Nacht nach dem Systemausfall hätte laut Justizministerium eine lebensbedrohlich erkrankte Patientin in die Uniklinik eingeliefert werden sollen. Weil dies nicht ging, sei sie in ein weiter entferntes Krankenhaus in Wuppertal gebracht worden. Ihre Behandlung habe erst mit einstündiger Verspätung stattfinden können. Sie starb wenig später, so der Justizminister in seinem Bericht.

Ein Sprecher der Düsseldorfer Uni-Klinik betonte am Donnerstag, dass sein Haus in der besagten Nacht bereits von der Notfallversorgung abgemeldet gewesen sei. Rettungswagen hätten die Klinik nicht mehr angefahren. Die Cyberermittlungs-Behörde ZAC prüft laut dem Bericht an den Landtag noch, ob sie die Ermittlungen übernimmt - und das Verfahren gegebenenfalls um den Vorwurf der fahrlässigen Tötung erweitert wird. Entscheidend könnte dafür sein, ob die Frau laut Obduktion auch gestorben wäre, wenn es den zeitlichen Verzug nicht gegeben hätte.

Die ZAC-Experten haben mit der Uni-Klinik derweil die Sicherheitslücke schon rekonstruiert: Sie steckte in einer handelsüblichen und weltweit verbreiteten Software, die in vielen Unternehmen zum Einsatz kommt. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) handelte es sich um ein Programm der Firma Citrix. Eine seit Januar bekannte Schwachstelle in VPN-Produkten der Firma werde für Cyber-Angriffe ausgenutzt.

Laut Uni-Klinik sind bei dem Hacker-Angriff nach bisherigen Erkenntnissen keine Daten gestohlen oder unwiederbringlich gelöscht worden. Die Klinik rechnet allerdings damit, dass es noch einige Zeit dauern wird, bis Patienten wieder normal behandelt werden können. Über die Hacker wurde zunächst nicht mehr bekannt. Nachdem sie den digitalen Schlüssel überreicht hatten, reagierten sie auf keine weiteren Kontaktversuche der Polizei.

Einiges spricht dafür, dass es sich bei dem Programm der Angreifer um „Emotet“ gehandelt haben könnte, das vom BSI unlängst als „König der Schadsoftware“ bezeichnet wurde. Die Software wird unter anderem über besagte VPN-Programme verbreitet, über die zu Corona-Zeiten viele Menschen im Homeoffice Zugang zu den firmeneigenen Systemen herstellen. „Emotet“ ist zunächst darauf ausgerichtet, die infizierten Unternehmensnetze auszuspionieren. Das Programm kann dann weitere Schadsoftware nachladen - und sämtliche Daten wegsperren.

Auf der Internet-Seite der Uni-Klinik - die nach wie vor funktioniert - hieß es am Donnerstag, dass auch die Telefonanschlüsse bis auf Ausnahmen wieder erreichbar seien. Per Email sei das Klinikum weiter nicht erreichbar. Von der Notfallversorgung bleibe das Haus vorerst abgemeldet. Nach dem digitalen Infarkt beginnt jetzt die Reha.

© dpa-infocom, dpa:200917-99-599095/8