Russische Hacker für Tod einer Patientin verantwortlich?
24. September 2020
Eine Stunde länger brauchte ein Krankenwagen in der Nacht vom 11. auf den 12. September, um eine Patientin ins Krankenhaus zu bringen. Einen Tag zuvor war die Uni-Klinik Düsseldorf Ziel eines Hacker-Angriffs geworden, bei dem der Zugriff auf 30 Server verschlüsselt worden war. Die schwerkranke Frau musste deshalb statt in die nahegelegene Uni-Klinik in ein weiter entferntes Krankenhaus in Wuppertal gebracht werden und ist gestorben.
Die Staatsanwaltschaft muss nun klären, ob es sich bei dem Fall um fahrlässige Tötung handelt. Verantwortlich dafür könnten laut Justizministerium des Bundeslandes Nordrhein-Westfalen Hacker sein, deren Spur nach Russland führt. Fast zwei Wochen lang war die größte Klinik in Düsseldorf lahm gelegt. Erst am 23. September konnte sie die Notfallversorgung wieder aufnehmen.
Erstmals könnte ein Hacker-Angriff auf eine sogenannte kritische Infrastruktur in Deutschland ein Menschenleben gefordert haben. Von den Folgen für diejenigen, die geplante Operationen oder ambulante Behandlungen verschieben mussten, ganz zu schweigen. Die Versorgung der Krankenhauspatienten war der Klinik zufolge bereits Stunden nach dem Angriff gesichert.
Was ist über den Hacker-Angriff bekannt?
Die Öffentlichkeit erfuhr erst am 17. September, also eine Woche nach der Attacke, was tatsächlich passiert war. So viel Zeit hatten die Behörden und IT-Sicherheitsexperten für ihre Arbeit gebraucht.
Erste Details wurden durch einen Bericht von NRW-Justizminister Peter Biesenbach an das Landesparlament bekannt. Demnach hinterließen die Hacker eine Nachricht mit einem Erpresserschreiben auf einem der verschlüsselten Server und forderten, mit ihnen in Kontakt zu treten. Die Nachricht war allerdings nicht an die Klinik, sondern an die Universität Düsseldorf gerichtet. Die Behörden vermuteten, die Hacker könnten sich in der Adresse geirrt haben und wiesen sie darauf hin. Zugleich warnten sie die Hacker, die Hacker-Attacke könnte Menschenleben bedrohen. Daraufhin schickten die Erpresser einen Entschlüsselungscode und tauchten ab.
Ein weiterer Bericht des Justizministers, der am 22. September bekannt wurde, enthielt neue Details. Demnach haben die Hacker angeblich eine Lücke in der Software des US-Unternehmens Citrix ausgenutzt, die das Unternehmen im Dezember 2019 selbst gemeldet hatte. Im Januar 2020 wurde die Lücke durch ein Update des Unternehmens geschlossen. Damals hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Gefahr gewarnt und zum unverzüglichen Download geraten. Die Uni-Klinik hat dies nach eigenen Angaben sofort getan. Doch die Hacker hatten offenbar Wochen Zeit, um ihre Spyware zu installieren.
Laut den Berichten des Ministeriums soll es sich bei der Schadsoftware um den Virus DoppelPaymer handeln, der von Hackern, vermutlich aus der Russischen Föderation, weltweit wiederholt gegen Firmen und Institutionen eingesetzt worden war. Gleichzeitig verwies das nordrhein-westfälische Justizministerium auf "Einschätzungen privater Unternehmen im Bereich Sicherheit".
Wer könnte hinter DoppelPaymer stecken?
Der Virus DoppelPaymer ist seit Mitte 2019 bekannt. CrowdStrike, eines der weltweit führenden US-Unternehmen im Bereich Cybersicherheit, hat sich genauer mit dieser Schadsoftware befasst. Adam Meyers, Senior Vice President of Intelligence bei CrowdStrike, geht davon aus, dass sich die Hacker-Gruppe DoppelPaymer von einer anderen Gruppe, namens Indrik Spider, abgespalten hat. Meyers zufolge ist Indrik Spider eine kriminelle Vereinigung, die anfänglich in Bankbetrug und Diebstahl von Anmeldeinformationen verwickelt war. Dann sei sie zu Hacker-Angriffen übergegangen, um Lösegeld zu erpressen. Einige Mitglieder der Gruppe hätten versichert, keine Krankenhäuser anzugreifen - aber eben nicht alle.
Haya Shulman leitet die Abteilung Cybersicherheit am Fraunhofer-Institut in Darmstadt. Sie sagt, DoppelPaymer werde manuell, also von Menschen gesteuert. Der Virus sei kein automatisches Programm. Das Besondere an ihm sei zudem, dass er nicht nur zur Verschlüsselung, sondern auch zum Diebstahl von Daten verwendet werde. Die Hacker würden dann Menschen mit der Veröffentlichung gestohlener Daten erpressen. Auch wenn die Uni-Klinik in Düsseldorf erkläre, dass keine Daten gestohlen worden seien, sei es doch schwierig, dies nach einer so langen Zeit auszuschließen.
Kann man mit Sicherheit davon ausgehen, dass die Spur der Hacker nach Russland führt? Eindeutige Beweise gibt es nicht. "Wir wissen nicht viel darüber, wer hinter DoppelPaymer steckt", sagt Adam Meyers von CrowdStrike. Er vermutet, dass sie von Osteuropa, höchstwahrscheinlich aus Russland operieren, da sich die Opfer der Hacker meist außerhalb der ehemaligen Sowjetunion befinden und einige Mitglieder der Gruppe Indrik Spider von Russland aus tätig waren. Meyers betont, dass mehrere Hacker-Gruppen aus dieser Region ähnliche Angriffe unternommen hätten. Einige von ihnen seien bereits von den amerikanischen Justizbehörden verurteilt worden.
Auch Haya Shulman schließt nicht aus, dass die Hacker, die die Uni-Klinik in Düsseldorf angegriffen haben, möglicherweise Russen sind. Sie sagt, dass der Virus laut westlicher Unternehmen in Russland generiert wurde, die Hacker selbst sich aber in anderen Ländern aufhalten könnten. Es sei sehr schwierig zu beweisen, aus welchem Land ein Angriff organisiert wurde, da Hacker dazu auch fremde Computer nutzen.
War die Klinik versehentliches Angriffsziel?
In Deutschland hat der Vorfall in der Uni-Klinik Düsseldorf bislang für kein großes Aufsehen gesorgt. Ein Grund könnte sein, dass die Behörden eher davon ausgehen, dass die Klinik versehentlich zur Zielscheibe geworden ist. Auch Experten halten das für möglich, da Angriffe auf Universitäten häufig vorkommen. Nur wenige Tage vor dem Düsseldorfer Angriff wurde der Virus DoppelPaymer gegen die Universität in Newcastle, Großbritannien, eingesetzt. Da Hochschulen weniger für Virenschutz ausgeben, sei es einfacher ins Computernetzwerk einer Uni einzudringen als in das eines privaten Unternehmens, erklärt Shulman. Außerdem hätten Uni-Netzwerke viele User, was das Versenden von Spionage-Mails erleichtere.
Der Annahme, es könnte sich bei dem Düsseldorfer Vorfall nur um ein Versehen der Hacker handeln, widersprechen aber zwei Besonderheiten von DoppelPaymer: Zum einen die manuelle Steuerung, die es Hackern ermöglicht, genau auszusuchen, wo sie eindringen möchten und zum anderen die Möglichkeit, heimlich Daten zu sammeln. Wenn man berücksichtigt, dass die Angreifer genügend Zeit hatten, um zu begreifen, wo sie eingedrungen waren, kann davon ausgegangen werden, dass die Uni-Klinik Düsseldorf tatsächlich ihr Ziel war - beispielsweise um Daten zum Coronavirus zu stehlen. Haya Shulman betont, dass dies aber nur eine Vermutung sein könne.