Lobes Digitalfabrik: Auch Computerviren können töten
Am 27. Oktober gingen im Sky Lakes Medical Center in Klamath Falls im US-Bundestaat Oregon die Lichter aus. Die Computersysteme fuhren herunter, Patientenakten konnten nicht mehr abgerufen werden, Operationen mussten verschoben werden. Unbekannte hatten das Computernetzwerk gehackt und eine Schadsoftware eingeschleust, die die Systeme in die Knie zwang. Das Krankenhaus war nicht das einzige, das ins Visier eines Cyberangriffs geriet. Zahlreiche andere medizinische Einrichtungen im ganzen Land meldeten Ausfälle ihrer IT. In New York mussten sogar Krankenwagen in umliegende Kliniken umgeleitet werden. Offenbar handelte es sich um eine orchestrierte Attacke.
In einer Zeit, in der die USA mehr als zehn Millionen aktive Corona-Infektionen vermelden, während die Zahl der belegten Intensivbetten täglich steigt, ist das Timing des Angriffs besonders perfide. Denn die Krankenhäuser sind ohnehin bereits auf Anschlag ausgelastet: Das Personal ist knapp, die Pfleger sind erschöpft, Mediziner schieben Sonderschichten. Die Corona-Pandemie bedeutet einen Stresstest für das Gesundheitssystem. Und jetzt setzen dem System auch noch Cyberattacken zu, die das Personal dazu zwingen, Aufnahmen mit Bleistift und Papier zu erfassen.
Hackerangriffe stellen eine akute Gefahr für die Gesundheitsversorgung dar. Nach US-Geheimdienstinformationen sollen die Cyberkriminellen mit einem Trojaner namens TrickBot operieren, der zuvor bei Bank-Hacks zum Einsatz kam. Die Malware wird über eine Phishing-Attacke eingeschleust, beispielsweise über E-Mail-Anhänge oder externe Links. Öffnet man diese, kopiert sich der TrickBot als ausführbare Datei auf den Rechner und infiziert die ganze Festplatte.
Alle Folgen von »Lobes Digitalfabrik« finden Sie hier.
Man kann es sich wie einen Trickdiebstahl vorstellen: Zuerst klopft jemand freundlich an der Haustür, und während das Opfer abgelenkt ist, kundschaftet der Komplize die Wohnung aus und greift Kontodaten ab – oder verschlüsselt den Aktenschrank, den er erst gegen Zahlung eines Lösegelds wieder freigibt. So ähnlich laufen Cyberangriffe ab, nur viel raffinierter.
Eine zentrale Rolle bei den Angriffen soll die Ransomware Ryuk spielen, die erstmals 2017 auftauchte und laut dem Geheimdienstbericht bis 2018 frei zum Verkauf stand. Der Krypto-Trojaner ist für zahlreiche Angriffe verantwortlich, unter anderem für den Hackerangriff auf die Universität Gießen im Dezember 2019, wo die Online-Infrastruktur wochenlang lahmgelegt wurde. Die Kosten: rund 1,7 Millionen Euro. Bei Ryuk handelt es sich um einen besonders trickreichen Trojaner, weil er es den Angreifern erlaubt, einzelne Teilbereiche eines Rechnernetzes wie etwa Domain Controller oder Laufwerke auszuspähen, bevor die Hacker eiskalt zuschlagen und alle Backups zerstören.
Eine Untersuchung der Cybersicherheitsfirma Prevailion kommt zu dem Ergebnis, dass hinter den Angriffen die russische Hackergruppe UNC1878 steckt, auch bekannt unter dem Namen »Wizard Spider« – sie soll eine Vielzahl von Computersystemen infiltriert haben, nicht nur von Krankenhäusern, sondern auch von Regierungsbehörden, Pharmakonzernen und Universitäten.
Eine Attacke auf ein Krankenhaus kann Leben kosten
Immer wieder werden Krankenhäuser zum Ziel von Cyberattacken. Im Mai 2017 infizierte der Computerwurm Wannacry rund 200 000 Rechner in 150 Ländern und schaltete ganze Informationssysteme in Krankenhäusern aus. In Großbritannien brach die Gesundheitsversorgung zusammen, 19 000 Arzttermine mussten abgesagt, Patienten nach Hause geschickt werden. Es herrschten zeitweise Zustände wie in einem Entwicklungsland. Ärzte berichteten, dass sie keine Röntgenaufnahmen mehr machen und auch keine Rezepte mehr ausstellen konnten, weil sie keinen Zugriff auf die elektronischen Gesundheitsakten hatten. Asthma- oder Diabetespatienten erhielten keine Medizin. Der Hack kostete das britische Gesundheitssystem NHS 92 Millionen Pfund (rund 103 Millionen Euro).
Auch in Deutschland wächst die Sorge vor Hackerangriffen auf Krankenhäuser. Im September verschlüsselten Cyberkriminelle 30 Server der Düsseldorfer Uni-Klinik und hinterlegten ein Erpresserschreiben. Infolge des IT-Ausfalls konnte eine Patientin, die per Rettungshubschrauber in die Klinik eingeliefert werden sollte, nicht behandelt werden – sie starb kurze Zeit später in einem Wuppertaler Krankenhaus. Ein Computervirus kann im Ernstfall genauso tödlich wie ein biologisches Virus sein. Die Staatsanwaltschaft ermittelt inzwischen wegen des Verdachts der fahrlässigen Tötung. Die Spur führt auch hier offenbar nach Russland: Wie das nordrhein-westfälische Justizministerium dem Rechtsausschuss des Landtags mitteilte, sollen die Angreifer die Schadsoftware DoppelPaymer verwendet haben – ein Programm, das aus dem Waffenschrank russischer Cyberkrimineller stammt.
Dass Hackerattacken eine Gefahr für Leib und Leben der Patienten sein können, belegt eine Studie von US-Medizinern, die im September 2019 im Fachblatt »Health Services Research« publiziert wurde. Die Forscher schauten sich Patientendossiers in mehr als 3000 Krankenhäusern im Zeitraum zwischen 2012 und 2016 an. Ergebnis: In Krankenhäusern, die Ziel einer Cyberattacke waren, war die Mortalitätsrate in den ersten 30 Tagen nach einem Herzinfarkt um 0,2 bis 0,3 Prozent höher. Unter 10 000 Herzinfarktopfern sterben in gehackten Krankenhäusern durchschnittlich 36 Personen mehr. Der Grund dafür liegt vor allem in der Verzögerung bei der Aufnahme der Patienten und bei der Bedienung elektronischer Geräte.
Hacker haben immer wieder gezeigt, wie leicht es ist, medizinische Geräte zu hacken. Der diabeteskranke Hacker Jay Radcliffe demonstrierte vor einiger Zeit in einem Selbstversuch, wie sich das unverschlüsselte Signal der Fernsteuerung für seine Insulinpumpe knacken lässt – Hacker könnten so leicht eine tödliche Dosis injizieren. Die amerikanische Arzneimittelbehörde FDA warnte erst im Jahr 2019 vor Schwachstellen medizinischer Geräte wie etwa Insulinpumpen oder smarten Herzschrittmachern. Der Medizintechnik-Konzern Medtronic musste daraufhin Insulinpumpen zurückrufen, weil sie nach Einschätzung der FDA nicht hinreichend gesichert waren. Der frühere US-Vizepräsident Dick Cheney ließ sich von seinem Kardiologen sogar prophylaktisch seinen Herzschrittmacher deaktivieren – aus Angst, Terroristen könnten diesen abschalten. Man mag das für paranoid halten. Doch je technisierter und vernetzter unser Alltag ist, desto mehr Einfallstore gibt es für Hacker.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in einer Risikoanalyse, das Krankenhausnetz zu segmentieren und Segmente mit hohem Schutzbedarf (etwa solche mit Medizinprodukten und sensiblen Patientendaten) »besonders restriktiv zu konfigurieren und vom übrigen Netz zu trennen«. Dazu gehöre unter anderem die Sperrung externer Laufwerke und USB-Schnittstellen an das betreffende Netzsegment sowie die Einrichtung spezieller Arbeitsstationen mit aktiviertem Virenschutz für den gesicherten Datenaustausch. Ob das am Ende reicht, um Hackerattacken abzuwehren, ist jedoch fraglich.
Schreiben Sie uns!
1 Beitrag anzeigen