Am Donnerstag, den 10.09. wurden die IT-Systeme der Uniklinik Düsseldorf durch einen Hackerangriff lahmgelegt und das Krankenhaus der Maximalversorgung befindet sich seit dem im Ausnahmezustand und konnte keine Notfallversorgnung mehr leisten. Die Staatsanwaltschaft ermittelt inzwischen sogar die Umstände, die zum Tod einer Patientin führten, welche in der Nacht vom 11. auf den 12. September in ein weiter entferntes Krankenhaus transportiert werden musste und dort verstarb.

Wir haben die wesentlichen Erkenntnisse aus der bisherigen Presseberichterstattung für Sie zusammengefasst:

Auslöser der Cyber-Attacke

• Dem Hackerangriff ging mit einem anonymen Erpressungsversuch einher
• Es handelte sich nicht um einen gezielten Angriff auf das Krankenhaus. Ein Erpresserschreiben war an die Heinrich-Heine-Universität gerichtet
• Der Cyber-Angriff auf die Universitätsklinik Düsseldorf erfolgte wohl über einen Citrix-VPN-Server, über den typischerweise externe Mitarbeiter Zugriff auf das Firmennetz bekommen sollen.
• Das BSI warnte schon im Januar vor der Schwachstelle in Citrix-Systemen und wies im Juli darauf hin, dass trotz Sicherheitsupdate des Herstellers viele Systeme bereits zuvor kompromittiert und mit einer Hintertür versehen wurden, welche die Angreifer zu einem späteren Zeitpunkt dann ausnutzen

Konsequenzen für den Klinik-Betrieb

• Durch die Cyber-Attacke wurden 30 Server der Uniklinik verschlüsselt, was einen weitgehenden Ausfall der internen Kommunikation für über 5.000 Mitarbeiter zur Folge hatte. Während Röntgenbilder durch Personal über das 40 Hektar große Gelände transportiert werden mussten, wurden Daten mit Stift und Papier oder per USB-Sticks ausgetauscht.
• Neue Patienten konnten nicht aufgenommen werden und auch die Versorgung der 1.000 stationären Patienten war nur noch eingeschränkt möglich
• Aufgund der Einschränkung des Betriebs musste die Anzahl der Operationen von 70-120 pro Tag deutlich auf nur noch 10 bis maximal 15 reduziert werden

Krisenmanagement und Rückkehr zum Normalbetrieb

• Die Uniklinik arbeitete Hand in Hand mit externen Spezialisten für IT-Forensik sowie Polizei und Staatsanwaltschaft
• Die Düsseldorfer Polizei hatte Kontakt mit den Erpressern aufgenommen und den Tätern mitgeteilt, dass sie durch ihren Hackerangriff ein Krankenhaus - und nicht die Universität - betroffen sei. Die Täter hätten daraufhin die Erpressung zurückgezogen und einen digitalen Schlüssel ausgehändigt, mit dem die Daten wieder entschlüsselt werden können.
• Die Uniklinik rechnet (Stand 17.09.) damit, dass es noch einige Zeit dauern wird, bis Patienten wieder normal behandelt werden können. „Aufgrund des Umfangs des IT-Systems und der Fülle an Daten können wir noch nicht abschätzen, wann dieser Prozess abgeschlossen sein wird“, sagte der Kaufmännische Direktor, Ekkehard Zimmer.“

Dieser Vorfall ist ein gutes Beispiel für die Entstehung und Komplexität einer Cyber-Attacke und zeigt, wie wichtig Cybersicherheit ist.