Hackerangriff auf Universitätsklinikum Düsseldorf – so wichtig sind die TOMs

In den letzten Jahren häufen sich immer mehr Meldungen von Unternehmen und öffentlichen Einrichtungen, die Opfer einer Cyberattacke geworden sind. Die Täter suchen in der Regel gezielt nach bestehenden Sicherheitslücken und nutzen diese aus, um die betreffenden Computersysteme mit Schadsoftware zu infizieren. Die derzeit wohl am weitesten verbreitete Methode der Hacker ist der Einsatz von Verschlüsselungstrojanern, die beispielsweise in manipulierten E-Mails versteckt sind. Mithilfe der Schadsoftware (engl.: Malware) werden Daten, die auf den infizierten Computern gespeichert sind, verschlüsselt. Anschließend fordern die Hacker Lösegeld (engl.: ransom), gegen dessen Bezahlung sie den Schlüssel zur Wiederherstellung der Daten herausgeben wollen. Eine Studie der US-amerikanischen Temple University kam zu dem Ergebnis, dass die Frequenz an (öffentlich bekannten) Ransomware-Attacken dieses Jahr auf dem Höchststand seit 2013 liegt.

Je nach Art und Umfang des Angriffs kann dieser fatale und existenzbedrohende Folgen nach sich ziehen. Dies zeigt auch der Fall des Universitätsklinikums Düsseldorf, das Anfang September 2020 Opfer eines Hackerangriffs wurde, infolgedessen es einen weitreichenden Ausfall der IT gab und die Klinik knapp zwei Wochen von der Notfallversorgung abgemeldet war. Bis jetzt gibt es keine Hinweise, dass Daten verloren gegangen sind oder zerstört wurden, allerdings kam es zu einem Todesfall, da eine Notfallpatientin erst mit deutlicher Verzögerung behandelt werden konnte.

Hacker nutzen Sicherheitslücke in Software

Zugriff auf das Netzwerk des Universitätsklinikums konnten sich die Hacker über eine Sicherheitslücke in einer weitverbreiteten, handelsüblichen Software für den Fernzugriff verschaffen. Diese Schwachstelle war bereits seit Dezember 2019 bekannt, im Januar 2020 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der bestehenden Gefahr und wies auf Abhilfemaßnahmen hin.

Nach Bekanntwerden der Schwachstelle stellte der Anbieter des Programms zwar ein Sicherheitsupdate bereit, allerdings wurden zahlreiche Systeme bereits vor dem Schließen der Sicherheitslücke infiziert. Auf die betreffenden Systeme und die dahinter liegenden Netzwerke haben die Hacker auch Monate später noch Zugriff. Über einen sog. Loader kann die eigentliche Malware zu einem späteren Zeitpunkt nachgeladen werden. So auch im Falle des Universitätsklinikums Düsseldorf, bei dem im Rahmen des Cyberangriffs 30 Server verschlüsselt wurden. Dies führte zu einem weitreichenden Ausfall der IT, was unter anderem folgende Auswirkungen hatte:

• Die Systeme des Klinikums fielen nach und nach aus und auf gespeicherte Daten konnte nicht mehr zugegriffen werden.
• Das Klinikum war sowohl telefonisch als auch per E-Mail nur eingeschränkt erreichbar.
• Das Klinikum musste sich aufgrund des fehlenden Zugriffs auf das Krankenhausnetzwerk von der Notfallversorgung abmelden.
• Planbare und ambulante Behandlungen wurden verschoben, auch Patienten mit Termin wurden gebeten, nicht in die Klinik zu kommen.
• Daten mussten mit Stift, Papier und USB-Sticks ausgetauscht werden.

Lediglich die telefonische Erreichbarkeit konnte noch am selben Tag größtenteils wiederhergestellt werden. Die Versorgung bereits stationär behandelter Patienten war nach Angaben der Universitätsklinik zwar sichergestellt, neue Patienten konnten aber aufgrund des Systemausfalls nicht aufgenommen werden. Aus diesem Grund musste das Klinikum auch einen eintreffenden Rettungswagen abweisen, der eine Notfallpatientin transportierte. Der Wagen wurde zum weiter entfernten Wuppertaler Krankenhaus umgeleitet, was den Behandlungsbeginn erheblich verzögerte. Nachdem die Patientin unmittelbar nach dem Eintreffen in der Klinik verstarb, leitete die dortige Staatsanwaltschaft ein Todesermittlungsverfahren ein und prüft, ob die Patientin bei einer früheren Behandlung eine Überlebenschance gehabt hätte.

Fatale Verwechslung – Universitätsklinikum vermutlich gar nicht Ziel des Angriffs

Besonders tragisch hierbei ist, dass das Universitätsklinikum Düsseldorf wohl gar nicht Ziel des Cyberangriffs war. Die Täter hatten ein Erpresserschreiben hinterlassen, das an die Heinrich-Heine-Universität adressiert war. Eine Lösegeldforderung gegenüber der Klinik soll es nicht gegeben haben. Für eine Verwechslung spricht auch, dass der Hacker nach einer ersten Kontaktaufnahme der Polizei den digitalen Schlüssel herausgegeben hat, mit dem die Server entschlüsselt werden können. Die Beamten hatten den Täter darüber aufgeklärt, dass die Systeme einer Notfallklinik betroffen sind.

Aufgrund des Umfangs des Krankenhaussystems und der großen Menge an Daten kann dennoch nicht abgeschätzt werden, wie lange die vollständige Wiederherstellung der IT-Systeme dauern wird. Nach knapp zwei Wochen konnte die Klinik zumindest wieder an die Notfallversorgung angeschlossen werden. Zudem gibt es keine Hinweise, dass die Daten unwiederbringlich zerstört oder abgegriffen wurden. Das Universitätsklinikum möchte nun nach und nach weitere Teilbereiche öffnen, sobald die jeweils erforderlichen IT-Systeme wieder sicher funktionieren. Nach Angaben der Klinik basieren die Entscheidungen auf einer detaillierten Checkliste, welche Systeme wofür zwingend benötigt werden. Über E-Mail ist das Krankenhaus auch zwei Wochen nach der Cyberattacke noch nicht wieder erreichbar.

Kein hundertprozentiger Schutz vor Cyberattacken möglich

Der Angriff auf die Klinik macht eindrucksvoll deutlich, wie wichtig präventive technische und organisatorische Maßnahmen sind, um sowohl das Risiko, Opfer einer solchen Attacke zu werden, als auch deren Folgen zu minimieren. Aus Datenschutzsicht sind bei solchen Angriffen sowohl die Vertraulichkeit als auch die Verfügbarkeit personenbezogener Daten massiv gefährdet und verletzt. Auch wenn Unternehmen eine solche Verletzung nicht absolut verhindern können, erlegt die DS-GVO ihnen auf, zumindest ein angemessenes Schutzniveau zu gewährleisten. Der Schaden bei der Uniklinik Düsseldorf ist immens, denn es erfordert – trotz der zeitnahen Herausgabe des Schlüssels – einen ungemeinen Aufwand, alle Systeme wiederherzustellen. Die gute Aufstellung der Uniklinik und deren Notfallmanagement sorgen aber dafür, dass es zumindest aus Datenschutzsicht kaum Vorwürfe gibt.

Nach Angaben der Uniklinik wurden nach Bekanntwerden der Sicherheitslücke bei der Fernzugriffs-Software umgehend alle erforderlichen Maßnahmen getroffen und das Sicherheitsupdate war am Tag der Veröffentlichung installiert worden. Zudem wurden externe Fachfirmen mit der Sicherheitsüberprüfung des Systems betraut, die weder bei der ersten noch bei einem erneuten Test im Frühsommer eine Gefährdung finden konnten.

Der Fall zeigt, dass die Gefahr einer Cyberattacke nie zu hundert Prozent ausgeschlossen werden kann. Gleichzeitig wird deutlich, wie wichtig es ist, Systeme und Anwendungen regelmäßig auf Schwachstellen zu prüfen und etwaige Sicherheitslücken zeitnah zu schließen. Darüber hinaus sollten Warnungen – insbesondere seitens des BSI – ernst genommen und die Umsetzung notwendiger Maßnahmen nicht aufgeschoben werden. Auf diese Weise kann das Risiko von Hackerangriffen zumindest minimiert werden. Auch wenn Attacken nicht vollständig verhindert werden können, sollte es den Tätern so schwer wie möglich gemacht werden, in Systeme einzudringen. Um im Fall der Fälle den Schaden möglichst gering zu halten, ist es zudem essenziell, bereits im Vorfeld Vorkehrungen zur Schadenminimierung zu treffen. Maßnahmen zur Risiko- und Schadensminimierung sind beispielsweise:

• zeitnahe Installation von Sicherheitsupdates für das Betriebssystem und für Anwendungen
• Einsatz von Antivirensoftware und deren regelmäßige Aktualisierung
• Einschränken von administrativen Benutzerrechten und Einrichten gesonderter Benutzerkonten
• regelmäßiges manuelles Monitoring von Logdaten, bestenfalls ergänzend zu automatisiertem Monitoring
• Segmentierung von Netzwerken, beispielsweise nach Vertraulichkeitsstufen oder Anwendungsbereichen
• Verwendung starker Passwörter und ggf. einer 2-Faktor-Authentifizierung
• ggf. Installation zusätzlicher Sicherheitssoftware
• regelmäßige und mehrstufige Back-ups aller Daten, auch Offline-Back-ups
• regelmäßige Schulung und Sensibilisierung der Mitarbeiter

Zudem sollte ein Prozess entwickelt werden, um im Falle einer Cyberattacke möglichst schnell und effektiv reagieren sowie gegebenenfalls Sicherheitslücken schnellstmöglich schließen zu können.

Schutzmaßnahmen sind nicht nur datenschutzrechtliche Pflicht

Die Umsetzung solcher Maßnahmen zum Schutz der Daten ist für Verantwortliche nach Art. 32 DS-GVO verpflichtend. Sie müssen gewährleisten, dass bei ihnen verarbeitete personenbezogene Daten angemessen geschützt werden. Kommen Verantwortliche dieser Pflicht nach, erfüllen sie aber nicht nur die datenschutzrechtlichen Anforderungen. Wurde nachweisbar eine Vielzahl von Maßnahmen getroffen, um Hackerangriffe zu verhindern sowie Sicherheitsrisiken zu identifizieren und zu beheben, wirkt sich dies in der Regel im Falle einer Cyberattacke weniger negativ auf den Ruf des Geschädigten aus und der entstandene Schaden wird deutlich reduziert. Hat ein Unternehmen nämlich zu wenig Sicherheitsmaßnahmen getroffen, macht es sich nach der DS-GVO einerseits schadensersatzpflichtig und muss andererseits noch mit einem Bußgeld vonseiten der Öffentlichkeit rechnen.

Entsprechendes gilt, wenn Unternehmen die Öffentlichkeit selbst informieren und aktuelle Ereignisse/Erkenntnisse offen kommunizieren. Das Image des Geschädigten erleidet in den meisten Fällen weniger Schaden als beispielsweise bei Vertuschungsversuchen, denn insbesondere in der digitalen Welt ist klar: Eine hundertprozentige Sicherheit gibt es nie.