Malware legt Netzwerke lahm

Computerwurm im Krankenhaus

Ein Datenschädling hat das Rechnernetzwerk von drei Londoner Krankenhäusern lahm gelegt. Noch ist unklar, ob der Wurm "MyDoom" Zugriff auf Patientendaten hatte.

Ein Datenschädling wütete in den Netzwerken von drei Londoner Krankenhäusern. Bild: photocase/kallejipp

Wenn Rechner an das Internet angeschlossen werden, besteht stets die Gefahr, dass sich deren Besitzer Viren, Würmer oder trojanische Pferde einfängt - wenn er den PC nicht ausreichend schützt. Das gilt nicht nur für Privathaushalte, sondern natürlich auch für Firmen und andere große Organisationen. Drei Londoner Krankenhäusern wurde das in dieser Woche schmerzlich bewusst: Sie mussten die Neuaufnahme von Patienten für 24 Stunden unterbrechen, weil eine Malware, also ein Datenschädling, in ihren Netzwerken wütete. Experten zufolge war es einer der größten Ausbrüche dieser Art im britischen Gesundheitswesen. Über die genaue Schadensumme wird derzeit noch spekuliert, sie könnte aber aufgrund der relativ langen Ausfallzeit der Krankenhäuser im fünfstelligen Pfund-Bereich liegen.

Betroffen waren das Royal London Hospital in Whitechapel, das London Chest Hospital in Bethnal Green und sogar das prominente St Bartholomew's-Klinikum ("Barts") in der Londonder City. Wie die britische "BBC" meldete, musste das komplette Rechnersystem aller drei Häuser heruntergefahren werden, um eine Desinfektion und Reparatur betroffener Maschinen einzuleiten. Ein Sprecher beschwichtigte, dass man dabei "lange eingeübte Notfallprozeduren" angewendet habe. Die Kranken dürften das nicht ganz so locker gesehen haben: Eine Versorgung neuer Patienten war einen Tag lang nicht möglich, weil die Verwaltung nicht einfach auf ein papierbasiertes System umsteigen konnte. Nur bereits verabredete Termine und ambulante Altpatienten wurden versorgt. Auch Rettungswagen mussten umkehren und andere, nicht von dem Malware-Ausbruch betroffene Krankenhäuser in der Umgebung ansteuern. Inzwischen hat sich die Lage soweit stabilisiert, dass zumindest wieder Notfälle aufgenommen werden können.

Peinlich an dem Vorfall ist vor allem, dass es sich bei dem Datenschädling um eine Variante des seit 2005 bekannten "MyDoom"-Wurms handelte. Diese eigentlich relativ harmlose E-Mail-Malware liegt in mehr als 50 Versionen vor und verschickt sich in rasantem Tempo, wenn man sie einmal angeklickt hat. Das scheinen auch mehrere Rechnerbenutzer in den drei Londoner Hospitälern getan zu haben, die den Befall schließlich auslösten. Die entdeckte Variante des Datenschädlings wird von der in den Krankenhäusern eingesetzten Anti-Virus-Software McAfee eigentlich seit Januar 2008 erkannt, hieß es von deren Hersteller. Warum sie in diesem Fall nicht griff, darüber wollte sich die Firma allerdings nicht äußern. Womöglich hatten die Systemadministratoren in den Hospitälern es versäumt, alle Rechner im Netzwerk mit aktuellen Updates zu versorgen, hieß es aus Fachkreisen. Der staatliche britische Gesundheitsversorger NHS, der alle drei Krankenhäuser betreibt, teilte nur mit, man untersuche den Vorfall derzeit intensiv. Die Polizei sei bislang aber deshalb nicht eingeschaltet worden. "Unser Team ist derzeit vor allem damit beschäftigt, die Systeme wieder online zu bringen", teilte ein Sprecher mit. Man arbeite intensiv daran, die volle Leistungsfähigkeit wieder herzustellen.

Womöglich hatte das NHS bei dem Virenausbruch auch viel Glück: Am E-Mail-System des Gesundheitsversorgers, "NHS-Mail" genannt, hängen eine Million Angestellte. Wäre die "MyDoom"-Variante aus den Londoner Hospitälern dorthin vorgedrungen, hätte das deutlich mehr Patienten betroffen. Beim NHS heißt es, das E-Mail-System sei mit neuester Anti-Virus- und Anti-Spam-Technik ausgerüstet.

Noch ist unklar, ob "MyDoom" Zugriff auf Krankendaten hatte. Die Krankenhäuser verneinten dies zunächst und betonten, auch die Gesundheit der Patienten sei zu keinem Zeitpunkt betroffen gewesen. Der Ausbruch habe sich "in einem geschlossenen Rahmen" abgespielt. Das "MyDoom"-Virus ist zur Datenspionage eigentlich standardmäßig ungeeignet, sammelt in seiner Ursprungsvariante nur E-Mail-Adressen und verschickt sich weiter. Allerdings kann der Urheber auf Wunsch auch andere Programme aus dem Netz nachladen, die dann über Spitzelfunktionen verfügen. Er öffnet darüber auch eine Hintertür in betroffene Systeme, über die theoretisch auch eine Fernsteuerung möglich ist - Online-Kriminelle nutzen solche Zugänge beispielsweise, um über Rechner Ahnungsloser riesige Mengen Spam zu versenden. Daten löscht "MyDoom" hingegen nicht.

.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de