piwik no script img

taz zahl ich

Hackerangriff auf Uniklinik DüsseldorfErmittlungen nach Tod einer Frau

Der IT-Ausfall an der Düsseldorfer Uni-Klinik war tatsächlich einem Hackerangriff geschuldet. Inzwischen wird wegen eines Todesfalls ermittelt.

Grüner Binär-Code auf Bildschirm eines Laptops. Hand greift danach
30 Server des Düsseldorfer Uni-Klinik waren von Hackern verschlüsselt worden Foto: Bernd Feil/M.i.S./imago

Düsseldorf dpa | Der IT-Ausfall an der Düsseldorfer Uniklinik beruht nach Angaben der Landesregierung auf einem Hackerangriff mit Erpressung. Wissenschaftsministerin Isabel Pfeiffer-Poensgen (parteilos) sagte am Donnerstag im Landtag, die Täter hätten nach Kontakt zur Polizei die Erpressung zurückgezogen. Die Staatsanwaltschaft hat ein Todesermittlungsverfahren eingeleitet, da eine Patientin in ein Wuppertaler Krankenhaus umgeleitet werden musste – und starb.

Aus einem Bericht des Justizministers ging hervor, dass vergangene Woche 30 Server des Klinikums verschlüsselt wurden. Auf einem Server wurde ein Erpresserschreiben hinterlassen, das allerdings an die Düsseldorfer Heinrich-Heine-Uni gerichtet war. In dem Schreiben forderten die Erpresser zur Kontaktaufnahme auf – eine konkrete Summe nannten sie laut Bericht nicht.

Die Düsseldorfer Polizei habe dann tatsächlich Kontakt aufgenommen und den Tätern mitgeteilt, dass durch ihren Hackerangriff ein Krankenhaus – und nicht die Uni – betroffen sei. Damit seien Patienten erheblich gefährdet. Die Täter hätten daraufhin die Erpressung zurückgezogen und einen digitalen Schlüssel ausgehändigt, mit dem die Daten wieder entschlüsselt werden können.

Die Ermittler haben laut Bericht daher den Verdacht, dass das Uniklinikum nur zufällig betroffen war. Inzwischen seien die Täter nicht mehr erreichbar.

Keine gestohlenen Daten

Gegen die Unbekannten gibt es jetzt ein auch Todesermittlungsverfahren, da eine lebensbedrohlich erkrankte Patientin, die in der Nacht vom 11. auf den 12. September in die Uniklinik gebracht werden sollte, an ein Krankenhaus in Wuppertal verwiesen wurde. Ihre Behandlung habe erst mit einstündiger Verspätung stattfinden können. Sie starb kurze Zeit später, so der Justizminister in seinem Bericht.

Bei dem Hackerangriff sind nach bisherigen Erkenntnissen keine Daten gestohlen oder unwiederbringlich gelöscht worden. Das hätten Untersuchungen von IT-Experten ergeben, teilte die Klinik mit.

Die Hacker hätten eine Schwachstelle in einer Anwendung ausgenutzt. „Die Sicherheitslücke befand sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware. Bis zur endgültigen Schließung dieser Lücke durch die Softwarefirma war ein ausreichendes Zeitfenster gegeben, um in die Systeme einzudringen“, teilte die Klinik mit. Die Angreifer hätten dafür gesorgt, dass nach und nach Systeme ausfielen und ein Zugriff auf gespeicherte Daten nicht mehr möglich war.

Die Uniklinik Düsseldorf rechnet nun damit, dass es noch einige Zeit dauern wird, bis Patienten wieder normal behandelt werden können. „Aufgrund des Umfangs des IT-Systems und der Fülle an Daten können wir noch nicht abschätzen, wann dieser Prozess abgeschlossen sein wird“, sagte der Kaufmännische Direktor, Ekkehard Zimmer, am Donnerstag. „Wir sind aber zuversichtlich, dass wir in den nächsten Tagen die Zeitspanne besser abschätzen können und dann auch Schritt für Schritt wieder für unsere Patientinnen da sind.“

Vergangene Woche Donnerstag war das IT-System des Universitätsklinikums ausgefallen. Rettungswagen fuhren die große Einrichtung in der nordrhein-westfälischen Landeshauptstadt daraufhin nicht mehr an, Operationen wurden verschoben und geplante Behandlungstermine abgesagt.

Eine Koalition, die was bewegt: taz.de und ihre Leser:innen

Unsere Community ermöglicht den freien Zugang für alle. Dies unterscheidet uns von anderen Nachrichtenseiten. Wir begreifen Journalismus nicht nur als Produkt, sondern auch als öffentliches Gut. Unsere Artikel sollen möglichst vielen Menschen zugutekommen. Mit unserer Berichterstattung versuchen wir das zu tun, was wir können: guten, engagierten Journalismus. Alle Schwerpunkte, Berichte und Hintergründe stellen wir dabei frei zur Verfügung, ohne Paywall. Gerade jetzt müssen Einordnungen und Informationen allen zugänglich sein. Was uns noch unterscheidet: Unsere Leser:innen. Sie müssen nichts bezahlen, wissen aber, dass guter Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 50.000 – und mit Ihrer Beteiligung können wir es schaffen. Es wäre ein schönes Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Themen #Hacker #Düsseldorf #Krankenhäuser #fahrlässige Tötung
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Ein Krankenwagen in der Bewegungsunschärfe

Cyber-Angriff auf Uniklinik Düsseldorf

Spur der Hacker führt nach Russland

Anfang September wurde die digitale Infrastruktur des Uniklinikums Düsseldorf gehackt. Die Hintermänner sitzen wohl in Russland – es war nicht ihr erster Cyberangriff.
Eine Hand, die ein Smartphone hält. Auf dem Smartphone ist das Twitter-Logo zu sehen, ein blauer Vogel, der fliegt. Hinter der Hand ist ein Computer-Monitor.

Festnahme nach Twitter-Hack in den USA

17-jähriger „Drahtzieher“

Ein Teenager und zwei weitere Personen sollen die Twitter-Accounts von Prominenten gehackt haben. Betroffen waren auch Obama, Musk und Gates.
Rot aufleuchtender Netzwerkkabelstecker

Hackerattacken gegen Australien

China eskaliert den Cyberkrieg

Seit Wochen nehmen Hacker australische Behörden, Unis und Unternehmen ins Visier. Canberra sieht China hinter den Angriffen.
Von Urs Wälterlin

10 Wochen im Probeabo

taz digital + wochentaz print testen

Ob andere Parteien auch schöne Kandidaten haben, lesen Sie bei uns – jede Woche mit Schwerpunktthema und auf täglichen Sonderseiten zur heißen Phase des Wahlkampfs.
Jetzt bestellen

9 Kommentare

 / 
  • N

    @THEBOX Hier ist also eine bekannte Lücke in einem (leider) populärem Produkt ausgenutzt worden. Die Lücke ist zwar noch vor dem jüngstem Desaster geschlossen worden, allerdings ohne dabei zu Prüfen, ob sie bereits ausgenutzt wurde und dabei weitere Hintertüren geschaffen wurden.



    Wer Produkte einsetzt, deren Hersteller sich meist im ersten Satz der Nutzungsbedingungen aus jeglicher Haftung davonstehlen, sollte für die dadurch entstandenen Schaden verantwortlich gemacht werden können. Daß ein Produkt "marktüblich" ist sagt absolut gar nichts über die Qualität von Software oder gar Eignung für Bereiche aus, in denen offenbar Menschenleben vom Betrieb abhängen.

    •
      @nightowl:

      Der Gesetzgeber hat die Haftung für Software ausgeschlossen denn Software ist keine "Sache" :



      Gesetz über die Haftung für fehlerhafte Produkte (Produkthaftungsgesetz - ProdHaftG)



      § 2 Produkt



      Produkt im Sinne dieses Gesetzes ist jede bewegliche Sache, auch wenn sie einen Teil einer anderen beweglichen Sache oder einer unbeweglichen Sache bildet, sowie Elektrizität.

  •

    Ich glaube niemand fährt ins Wochendend und läßt seine Wohungstür offen stehen.



    Niemand parkt und läßt die Scheiben unten.



    Niemand läßt das Portemonnaie im Einkaufswagen offen liegen.

    Aber genau das ist hier geschehen.



    Und jetzt versuchen die Verantwortlichen das Ganze als unabwendbares Schicksal hinzustellen.

    Und die IT-Firmen die der Klinik letztlich das System aufgeschwatzt und installiert haben waschen sich die Hände in Unschuld - und baden nebenbei im verdienten Geld wir Dagobert in seinem Speicher ...

    OK, Sie sagen jetzt: Was für ein Gelaber...



    Das verstehe ich.

    Aber man muss doch ganz einfach mal die Frage stellen, warum diese ganze sündhaft überteuerte Medizintechnik überhaupt aus dem Internet erreichbar ist.

  •

    Konnten der oder die Hacker wirklich sicher sein dass es sich nicht um das Uniklinikum sondern um eine Universität handelt? Kommt ggf. Ein bedingter Vorsatz, vgl. Berliner Raserurteil, und damit Mord in Betracht? Wenn der Vorsatz dann erfüllt wäre und die Habgier (Erpressung) bzw. Gemeingefährlichen Mittel könnten die Mordmerkmale sein.

    Das Unvermögen des IT-Mgmt. die (vermutlich) bekannte Sicherheitslücken zu schließen und auch bei "nach und nach" ausfallenden Systemen keine adäquate Vorgehensweise in Petto zu haben könnte einen Anfangsverdacht aufunzulänglichess Desaster Recovery Mgmt. und Mängel bei der ISO 9001 Zertifizierung.

    Laut eigener Webseite: Seit Januar 2007 ist die GKD nach DIN EN ISO 9001:2000 zertifiziert.



    Die GKD ist die ... "Die Tochtergesellschaften des Universitätsklinikums Düsseldorf (UKD) stehen für Qualität, Wirtschaftlichkeit und Kompetenz."

    Da bleiben mir nur die Worte des Namenspatrons Heinrich Heine:

    Franzosen und Russen gehört das Land,



    Das Meer gehört den Briten,



    Wir aber besitzen im Luftreich des Traums



    Die Herrschaft unbestritten.

    • IB
      @Mr.Henry:

      "Kommt ggf. Ein bedingter Vorsatz, vgl. Berliner Raserurteil, und damit Mord in Betracht?"



      Ich hoffe mal, dass sie nicht als Richter oder Staatsanwalt tätig sind. Wie wollen sie das begründen? Abgesehen, davon, dass schon die Auslegung im Berliner Fall extrem fragwürdig war, würde dieses Argument nur dann tragen, wenn bei dem Hack eines IT-Systems Tote regelmäßig erwartbar wären. Tatsächlich dürfte hier aber schon der Nachweis einer fahrlässigen Tötung schwierig werden.



      Machen sie sich klar, dass dieser empörte Schrei der Volksseele die die Täter bei jeder empörenden Tat am liebesten auf dem Schafott, oder weil das nicht mehr geht wenigstens lebenslänglich in Sicherungsverwahrung, sehen will nichts mit Gerechtigkeit und noch weniger mit Rechtsstaatlichkeit zu tun hat.

      •
        @Ingo Bernable:

        Sehr geehrter Ingo,



        Ihrer Hoffnung darf ich entsprechen. Ich bin kein Jurist. Nur Experte für ITIL©, damit auch für Service Design in der IT.



        Ich gebe auch keine juristischen Auskünfte da ich nicht nach der entsprechenden Gebührenordnung abrechnen kann.

        Zu der genutzten Sicherheitslücke stellt sich mir jedoch die Frage ob diese auch in so etwas wie einer Knowledge Base veröffentlicht wurde. Diese KB-Artikel sind, soweit ich das verstehe, auch für Hacker zugänglich und sind seit Anbeginn ihrer Existenz in Verbindung mit der Zugänglichkeit durch diese neue Internet auch die Fährte zur Versuchung für Hacker.

        Da von Hackerangriffe auf Kliniken und Universitäten bereits zuvor berichtet wurde könnte ein Hackerangriff für die Klinik und ihren IT-Dienstleister erwartbar gewesen sein.



        Da dem UKD und ihrem Dienstleister GKD bewusst sein könnte dass sich gelegentlich Menschen in lebensbedrohlichen Zuständen in ihrer Obhut befinden, könnte die Funktionelle Verfügbarkeit und Sicherheit der IT auch hier im Servicevertrag definiert sein.

        Soweit ich das verstehe, könnte bei Vertragsverletzung auch ein bedingter Vorsatz des Dienstleisters GKD in Frage kommen.

        Eine Lynchjustiz verabscheue ich zutiefst. Auch die besondere schwere der Schuld die zu lebenslangem Lebenslang führen könnte dürfte hier nicht in ernsthaft erwägt werden.

        Was mich mehr stört ist die erwartbare Versicherung dass man ja alles getan habe was man habe tun können.

        Hans-Jochen Vogel, (Ghis) hat, soweit ich Ihn (im TV) verstanden habe bis zuletzt behauptet bei der Organisation der olympischen Spiele in München an alles gedacht zu haben.

        Was ist also dieses "Alles".

  • G

    Schlimm ist, dass sich die Kriminellen eine seit einem halben Jahr bekannte Schwachstelle zunutze machten, für die es schon lange Sicherheitsupdates gab.



    Warum das Klinikum diese nicht schnell geschlossen hat, ist nicht klar. Aber das muss unbedingt Konsequenzen haben! Nicht die Angreifer sind Schuld, sondern die Verantwortlichen in der IT der Klinik!

    • T
      @görg:

      Nach dem aktuellen Stand erfolgte der Einbruch, als die Schwachstelle noch nicht öffentlich bekannt und gefixt war. Dabei wurde eine Backdoor installiert, die erst zu einem späteren Zeitpunkt genutzt wurde (und zuvor von den Systemadministratoren nicht entdeckt wurde). Die Sicherheitsupdates wurden eingespielt, sobald sie herauskamen.

      • TZ
        @TheBox:

        Das ist eine schwache Ausrede.

        Wenn Sie eine Lücke schliessen, von der bereits bekannt ist, dass sie "in the wild" ausgenutzt wurde, dann sagen sie nicht "puh" und gehen zum Tagesgeschäft über: das wäre grob fahrlässig.

        Dann suchen Sie gezielt nach Backdoors. Vermutlich setzen Sie die Systeme neu auf.

        Sie haben eine Prozedur dafür, oder?

        Die IT des Klinikums sollte mindestens wegen Fahrlässigkeit mit "dran" sein.

        (Ich will jetzt nicht von den konkret eingesetzten "Produkten" anfangen, dann höre ich nicht mehr auf -- alleine der Hinweis des Klinikums, dass "alle Welt" dieses Produkt (Citrix) einsetze spricht Bände!)

meistkommentiert

1

Klimaneutral bis 2045?

Grünes Wachstum ist wie Abnehmenwollen durch mehr Essen

2

Leak zu Zwei-Klassen-Struktur beim BSW

Sahras Knechte

3

Friedensforscherin

„Wir können nicht so tun, als lebten wir in Frieden“

4

Nach Hitlergruß von Trump-Berater Bannon

Rechtspopulist Bardella sagt Rede ab

5

CDU-Chef Friedrich Merz

Friedrich der Mittelgroße

6

Bildungsforscher über Zukunft der Kinder

„Bitte nicht länger ignorieren“