5714754

Hackerangriff auf Uniklinik Düsseldorf: Ermittlungen nach Tod einer Frau

Der IT-Ausfall an der Düsseldorfer Uni-Klinik war tatsächlich einem Hackerangriff geschuldet. Inzwischen wird wegen eines Todesfalls ermittelt.

Grüner Binär-Code auf Bildschirm eines Laptops. Hand greift danach

30 Server des Düsseldorfer Uni-Klinik waren von Hackern verschlüsselt worden Foto: Bernd Feil/M.i.S./imago

DÜSSELDORF dpa | Der IT-Ausfall an der Düsseldorfer Uniklinik beruht nach Angaben der Landesregierung auf einem Hackerangriff mit Erpressung. Wissenschaftsministerin Isabel Pfeiffer-Poensgen (parteilos) sagte am Donnerstag im Landtag, die Täter hätten nach Kontakt zur Polizei die Erpressung zurückgezogen. Die Staatsanwaltschaft hat ein Todesermittlungsverfahren eingeleitet, da eine Patientin in ein Wuppertaler Krankenhaus umgeleitet werden musste – und starb.

Aus einem Bericht des Justizministers ging hervor, dass vergangene Woche 30 Server des Klinikums verschlüsselt wurden. Auf einem Server wurde ein Erpresserschreiben hinterlassen, das allerdings an die Düsseldorfer Heinrich-Heine-Uni gerichtet war. In dem Schreiben forderten die Erpresser zur Kontaktaufnahme auf – eine konkrete Summe nannten sie laut Bericht nicht.

Die Düsseldorfer Polizei habe dann tatsächlich Kontakt aufgenommen und den Tätern mitgeteilt, dass durch ihren Hackerangriff ein Krankenhaus – und nicht die Uni – betroffen sei. Damit seien Patienten erheblich gefährdet. Die Täter hätten daraufhin die Erpressung zurückgezogen und einen digitalen Schlüssel ausgehändigt, mit dem die Daten wieder entschlüsselt werden können.

Die Ermittler haben laut Bericht daher den Verdacht, dass das Uniklinikum nur zufällig betroffen war. Inzwischen seien die Täter nicht mehr erreichbar.

Keine gestohlenen Daten

Gegen die Unbekannten gibt es jetzt ein auch Todesermittlungsverfahren, da eine lebensbedrohlich erkrankte Patientin, die in der Nacht vom 11. auf den 12. September in die Uniklinik gebracht werden sollte, an ein Krankenhaus in Wuppertal verwiesen wurde. Ihre Behandlung habe erst mit einstündiger Verspätung stattfinden können. Sie starb kurze Zeit später, so der Justizminister in seinem Bericht.

Bei dem Hackerangriff sind nach bisherigen Erkenntnissen keine Daten gestohlen oder unwiederbringlich gelöscht worden. Das hätten Untersuchungen von IT-Experten ergeben, teilte die Klinik mit.

Die Hacker hätten eine Schwachstelle in einer Anwendung ausgenutzt. „Die Sicherheitslücke befand sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware. Bis zur endgültigen Schließung dieser Lücke durch die Softwarefirma war ein ausreichendes Zeitfenster gegeben, um in die Systeme einzudringen“, teilte die Klinik mit. Die Angreifer hätten dafür gesorgt, dass nach und nach Systeme ausfielen und ein Zugriff auf gespeicherte Daten nicht mehr möglich war.

Die Uniklinik Düsseldorf rechnet nun damit, dass es noch einige Zeit dauern wird, bis Patienten wieder normal behandelt werden können. „Aufgrund des Umfangs des IT-Systems und der Fülle an Daten können wir noch nicht abschätzen, wann dieser Prozess abgeschlossen sein wird“, sagte der Kaufmännische Direktor, Ekkehard Zimmer, am Donnerstag. „Wir sind aber zuversichtlich, dass wir in den nächsten Tagen die Zeitspanne besser abschätzen können und dann auch Schritt für Schritt wieder für unsere Patientinnen da sind.“

Vergangene Woche Donnerstag war das IT-System des Universitätsklinikums ausgefallen. Rettungswagen fuhren die große Einrichtung in der nordrhein-westfälischen Landeshauptstadt daraufhin nicht mehr an, Operationen wurden verschoben und geplante Behandlungstermine abgesagt.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • nightowl

    @THEBOX Hier ist also eine bekannte Lücke in einem (leider) populärem Produkt ausgenutzt worden. Die Lücke ist zwar noch vor dem jüngstem Desaster geschlossen worden, allerdings ohne dabei zu Prüfen, ob sie bereits ausgenutzt wurde und dabei weitere Hintertüren geschaffen wurden.

    Wer Produkte einsetzt, deren Hersteller sich meist im ersten Satz der Nutzungsbedingungen aus jeglicher Haftung davonstehlen, sollte für die dadurch entstandenen Schaden verantwortlich gemacht werden können. Daß ein Produkt "marktüblich" ist sagt absolut gar nichts über die Qualität von Software oder gar Eignung für Bereiche aus, in denen offenbar Menschenleben vom Betrieb abhängen.

    • Bolzkopf

      @nightowl Der Gesetzgeber hat die Haftung für Software ausgeschlossen denn Software ist keine "Sache" :

      Gesetz über die Haftung für fehlerhafte Produkte (Produkthaftungsgesetz - ProdHaftG)

      § 2 Produkt

      Produkt im Sinne dieses Gesetzes ist jede bewegliche Sache, auch wenn sie einen Teil einer anderen beweglichen Sache oder einer unbeweglichen Sache bildet, sowie Elektrizität.

  • Bolzkopf

    Ich glaube niemand fährt ins Wochendend und läßt seine Wohungstür offen stehen.

    Niemand parkt und läßt die Scheiben unten.

    Niemand läßt das Portemonnaie im Einkaufswagen offen liegen.

    Aber genau das ist hier geschehen.

    Und jetzt versuchen die Verantwortlichen das Ganze als unabwendbares Schicksal hinzustellen.

    Und die IT-Firmen die der Klinik letztlich das System aufgeschwatzt und installiert haben waschen sich die Hände in Unschuld - und baden nebenbei im verdienten Geld wir Dagobert in seinem Speicher ...

    OK, Sie sagen jetzt: Was für ein Gelaber...

    Das verstehe ich.

    Aber man muss doch ganz einfach mal die Frage stellen, warum diese ganze sündhaft überteuerte Medizintechnik überhaupt aus dem Internet erreichbar ist.

  • Mr.Henry

    Konnten der oder die Hacker wirklich sicher sein dass es sich nicht um das Uniklinikum sondern um eine Universität handelt? Kommt ggf. Ein bedingter Vorsatz, vgl. Berliner Raserurteil, und damit Mord in Betracht? Wenn der Vorsatz dann erfüllt wäre und die Habgier (Erpressung) bzw. Gemeingefährlichen Mittel könnten die Mordmerkmale sein.

    Das Unvermögen des IT-Mgmt. die (vermutlich) bekannte Sicherheitslücken zu schließen und auch bei "nach und nach" ausfallenden Systemen keine adäquate Vorgehensweise in Petto zu haben könnte einen Anfangsverdacht aufunzulänglichess Desaster Recovery Mgmt. und Mängel bei der ISO 9001 Zertifizierung.

    Laut eigener Webseite: Seit Januar 2007 ist die GKD nach DIN EN ISO 9001:2000 zertifiziert.

    Die GKD ist die ... "Die Tochtergesellschaften des Universitätsklinikums Düsseldorf (UKD) stehen für Qualität, Wirtschaftlichkeit und Kompetenz."

    Da bleiben mir nur die Worte des Namenspatrons Heinrich Heine:

    Franzosen und Russen gehört das Land,

    Das Meer gehört den Briten,

    Wir aber besitzen im Luftreich des Traums

    Die Herrschaft unbestritten.

    • Ingo Bernable

      @Mr.Henry "Kommt ggf. Ein bedingter Vorsatz, vgl. Berliner Raserurteil, und damit Mord in Betracht?"

      Ich hoffe mal, dass sie nicht als Richter oder Staatsanwalt tätig sind. Wie wollen sie das begründen? Abgesehen, davon, dass schon die Auslegung im Berliner Fall extrem fragwürdig war, würde dieses Argument nur dann tragen, wenn bei dem Hack eines IT-Systems Tote regelmäßig erwartbar wären. Tatsächlich dürfte hier aber schon der Nachweis einer fahrlässigen Tötung schwierig werden.

      Machen sie sich klar, dass dieser empörte Schrei der Volksseele die die Täter bei jeder empörenden Tat am liebesten auf dem Schafott, oder weil das nicht mehr geht wenigstens lebenslänglich in Sicherungsverwahrung, sehen will nichts mit Gerechtigkeit und noch weniger mit Rechtsstaatlichkeit zu tun hat.

      • Mr.Henry

        @Ingo Bernable Sehr geehrter Ingo,

        Ihrer Hoffnung darf ich entsprechen. Ich bin kein Jurist. Nur Experte für ITIL©, damit auch für Service Design in der IT.

        Ich gebe auch keine juristischen Auskünfte da ich nicht nach der entsprechenden Gebührenordnung abrechnen kann.

        Zu der genutzten Sicherheitslücke stellt sich mir jedoch die Frage ob diese auch in so etwas wie einer Knowledge Base veröffentlicht wurde. Diese KB-Artikel sind, soweit ich das verstehe, auch für Hacker zugänglich und sind seit Anbeginn ihrer Existenz in Verbindung mit der Zugänglichkeit durch diese neue Internet auch die Fährte zur Versuchung für Hacker.

        Da von Hackerangriffe auf Kliniken und Universitäten bereits zuvor berichtet wurde könnte ein Hackerangriff für die Klinik und ihren IT-Dienstleister erwartbar gewesen sein.

        Da dem UKD und ihrem Dienstleister GKD bewusst sein könnte dass sich gelegentlich Menschen in lebensbedrohlichen Zuständen in ihrer Obhut befinden, könnte die Funktionelle Verfügbarkeit und Sicherheit der IT auch hier im Servicevertrag definiert sein.

        Soweit ich das verstehe, könnte bei Vertragsverletzung auch ein bedingter Vorsatz des Dienstleisters GKD in Frage kommen.

        Eine Lynchjustiz verabscheue ich zutiefst. Auch die besondere schwere der Schuld die zu lebenslangem Lebenslang führen könnte dürfte hier nicht in ernsthaft erwägt werden.

        Was mich mehr stört ist die erwartbare Versicherung dass man ja alles getan habe was man habe tun können.

        Hans-Jochen Vogel, (Ghis) hat, soweit ich Ihn (im TV) verstanden habe bis zuletzt behauptet bei der Organisation der olympischen Spiele in München an alles gedacht zu haben.

        Was ist also dieses "Alles".

  • görg

    Schlimm ist, dass sich die Kriminellen eine seit einem halben Jahr bekannte Schwachstelle zunutze machten, für die es schon lange Sicherheitsupdates gab.

    Warum das Klinikum diese nicht schnell geschlossen hat, ist nicht klar. Aber das muss unbedingt Konsequenzen haben! Nicht die Angreifer sind Schuld, sondern die Verantwortlichen in der IT der Klinik!

    • TheBox

      @görg Nach dem aktuellen Stand erfolgte der Einbruch, als die Schwachstelle noch nicht öffentlich bekannt und gefixt war. Dabei wurde eine Backdoor installiert, die erst zu einem späteren Zeitpunkt genutzt wurde (und zuvor von den Systemadministratoren nicht entdeckt wurde). Die Sicherheitsupdates wurden eingespielt, sobald sie herauskamen.

      • tomás zerolo

        @TheBox Das ist eine schwache Ausrede.

        Wenn Sie eine Lücke schliessen, von der bereits bekannt ist, dass sie "in the wild" ausgenutzt wurde, dann sagen sie nicht "puh" und gehen zum Tagesgeschäft über: das wäre grob fahrlässig.

        Dann suchen Sie gezielt nach Backdoors. Vermutlich setzen Sie die Systeme neu auf.

        Sie haben eine Prozedur dafür, oder?

        Die IT des Klinikums sollte mindestens wegen Fahrlässigkeit mit "dran" sein.

        (Ich will jetzt nicht von den konkret eingesetzten "Produkten" anfangen, dann höre ich nicht mehr auf -- alleine der Hinweis des Klinikums, dass "alle Welt" dieses Produkt (Citrix) einsetze spricht Bände!)