merken
Deutschland & Welt

Reumütige Hacker und ein Todesfall

Hacker legen die Düsseldorfer Uni-Klinik lahm und schicken ein Erpresserschreiben. Als sie merken, wen sie erpressen, rudern sie zurück. Doch eine Frau ist tot.

Am Haupteingang zum Universitätsklinikum Düsseldorf fährt ein Krankenwagen vorbei.
Am Haupteingang zum Universitätsklinikum Düsseldorf fährt ein Krankenwagen vorbei. © Roland Weihrauch/dpa (Archiv)

Von Oliver Auster

Düsseldorf. Der digitale Herzinfarkt erwischte die Düsseldorfer Uni-Klinik vergangene Woche: Telefone, Emails, Zugriff auf Patientendaten - fast alles stand plötzlich still. Das größte Krankenhaus der Landeshauptstadt meldete sich von der Notfallversorgung ab, Operationen wurden abgesagt. Tagelange Gerüchte eines Hacker-Angriffs wurden erst eine Woche später am Donnerstag im Landtag bestätigt. Die Regierung teilte mit: 30 Server der Uni-Klinik waren von Hackern digital verschlossen worden. Nachdem die Täter merkten, was sie da angerichtet hatten, rückten sie einen virtuellen Schlüssel raus. Doch da war es offenbar schon zu spät.

Der Justizminister hat den Cyber-Krimi in einem Bericht für den Landtag zusammengefasst: Demnach hatten die Hacker auf einem Server ein Erpresserschreiben hinterlassen - allerdings an die Düsseldorfer Heinrich Heine-Uni adressiert. In dem Schreiben forderten die Erpresser zur Kontaktaufnahme auf, ohne eine Geldsumme zu nennen.

TOP Immobilien
TOP Immobilien
TOP Immobilien

Finden Sie Ihre neue Traumimmobilie bei unseren TOP Immobilien von Sächsische.de – ganz egal ob Grundstück, Wohnung oder Haus!

Die Ermittler nutzten den angebotenen Kanal und teilten den Tätern mit, dass sie durch ihren Hackerangriff nicht die Uni mit ihren Professoren und Studenten, sondern das angegliederte Krankenhaus attackiert hatten. Dadurch seien Patienten erheblich gefährdet. Fast unglaublich: Die Hacker zogen laut Justizministerium ihre Erpressung zurück. Reumütig schickten sie einen Schlüssel, um die Daten wieder zu entsperren. Man gehe davon aus, dass die Uni-Klinik nur zufällig zum Opfer wurde, sagte am Donnerstag ein Sprecher der staatsanwaltschaftlichen Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC).

Womöglich Ermittlung wegen fahrlässiger Tötung

Ein Zufall mit dramatischen Folgen: Eine Nacht nach dem Systemausfall hätte laut Justizministerium eine lebensbedrohlich erkrankte Patientin in die Uniklinik eingeliefert werden sollen. Weil dies nicht ging, sei sie in ein weiter entferntes Krankenhaus in Wuppertal gebracht worden. Ihre Behandlung habe erst mit einstündiger Verspätung stattfinden können. Sie starb wenig später, so der Justizminister in seinem Bericht.

Ein Sprecher der Düsseldorfer Uni-Klinik betonte am Donnerstag, dass sein Haus in der besagten Nacht bereits von der Notfallversorgung abgemeldet gewesen sei. Rettungswagen hätten die Klinik nicht mehr angefahren. Die Cyberermittlungs-Behörde ZAC prüft laut dem Bericht an den Landtag noch, ob sie die Ermittlungen übernimmt - und das Verfahren gegebenenfalls um den Vorwurf der fahrlässigen Tötung erweitert wird. Entscheidend könnte dafür sein, ob die Frau laut Obduktion auch gestorben wäre, wenn es den zeitlichen Verzug nicht gegeben hätte.

Die ZAC-Experten haben mit der Uni-Klinik derweil die Sicherheitslücke schon rekonstruiert: Sie steckte in einer handelsüblichen und weltweit verbreiteten Software, die in vielen Unternehmen zum Einsatz kommt. Laut Uni-Klinik hat die Software-Firma die Lücke inzwischen geschlossen. Bei dem Hacker-Angriff seien nach bisherigen Erkenntnissen keine Daten gestohlen oder unwiederbringlich gelöscht worden. Die Klinik rechnet allerdings damit, dass es noch einige Zeit dauern wird, bis Patienten wieder normal behandelt werden können.

Zugriff vermutlich über Homeoffice-Zugänge

Über die Hacker wurde zunächst nicht mehr bekannt. Nachdem sie den digitalen Schlüssel überreicht hatten, reagierten sie auf keine weiteren Kontaktversuche durch die Polizei. Einiges spricht dafür, dass es sich bei dem Programm der Angreifer um "Emotet" gehandelt haben könnte, das vom Bundesamt für Sicherheit in der Informationstechnik unlängst als "König der Schadsoftware" bezeichnet wurde.

Die Software wird unter anderem über digitale Schnittstellen ("VPN-Zugang") verbreitet, über die zu Corona-Zeiten viele Menschen im Homeoffice Zugang zu den firmeneigenen Systemen herstellen. "Emotet" ist zunächst darauf ausgerichtet, die infizierten Unternehmensnetze auszuspionieren. Das Programm kann dann weitere Schadsoftware nachladen - und sämtliche Daten wegsperren.

Auf der Internet-Seite der Uni-Klinik - die nach wie vor funktioniert - hieß es am Donnerstag, dass auch die Telefonanschlüsse bis auf Ausnahmen wieder erreichbar seien. Per Email sei das Klinikum weiter nicht erreichbar. Von der Notfallversorgung bleibe das Haus vorerst abgemeldet. Nach dem digitalen Infarkt beginnt jetzt die Reha. (dpa) 

Mehr zum Thema Deutschland & Welt