Hackerangriff auf kalifornisches Krankenhaus

Auch in Nordrhein-Westfalen waren mehrere Krankenhäuser zum Opfer von Angreifern geworden, in Los Angeles verlangten die Einbrecher 40 Bitcoins Lösegeld für den Schlüssel

In Nordrhein-Westfalen war es die letzten Tage zu mehreren Cyberangriffen auf die Computernetze von Krankenhäusern gekommen. Obwohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) davor gewarnt hatte, wurden offenbar keine ausreichenden Sicherheitsmaßnahmen getroffen. Gewarnt wurde etwa vor dem leichtesten Mittel, in Computernetze einzudringen, nämlich auf Anhänge in Emails zu klicken, um sie zu öffnen. Macht nichts, das ist wohl trotzdem geschehen. Einmal im System konnte sich der Virus dann schnell verbreiten.

Die Folge etwa im Lukas-Krankenhaus in Neuss war, dass in der Onkologie Patienten nicht mehr bestrahlt werden konnten und die Lesegeräte für die Gesundheitskarte nicht mehr funktionierten. Operationen mussten verschoben werden. Das Verschicken von Röntgenbilder funktionierte nicht mehr. Zur Sicherheit wurden alle IT-Systeme abgeschaltet, um die Patientendaten zu schützen, was aber auch verhinderte, dass Medikamente bestellt werden konnten.

In einigen Krankenhäusern konnte man angeblich den Angriff abwehren, die medizinischen Server seien nicht betroffen gewesen. Man kann allerdings auch davon ausgehen, dass die Krankenhäuser möglichst vermeiden könnten, über Folgen von Angriffen zu berichten, wenn dies nicht notwendig ist.

Bei den Angriffen auf die Krankenhäuser in Nordrhein-Westfalen soll es zu keinen Geldforderungen gekommen sein, unklar ist auch, ob sie gezielt angegriffen wurden, was die Häufung allerdings nahelegen würde.

Anders ein Fall in den USA. Dort war das Krankenhaus Hollywood Presbyterian Medical Center in Los Angeles angegriffen worden, auszuschließen ist aber auch hier nicht, dass eine massenhaft versendete Email mit einer Ransomeware im Anhang wie etwa der Krypto-Trojaner mit dem netten Namen Locky, der unknackbar mit RSA mit 2048 Bit Schlüssellänge und AES mit 128 Bit verschlüsselt, zufällig zu einem Mitarbeiter des Krankenhauses gelangte, der den Anhang öffnete.

Die Hacker hatten mit der Schadsoftware jedenfalls das Computersystem übernommen und forderten, so Foxnews 3 Millionen Dollar bzw. 9000 Bitcoin, eine digitale Kryptowährung. Das dürfte aber eine Falschmeldung gewesen. Die Los Angeles Times spricht von einer Forderung von gerade einmal 40 Bitcoins, was etwa 17.000 US-Dollar entspricht. Das scheint auch gezahlt worden sein und zeigt, dass schwere Risiken für Menschen entstehen können, auch wenn es nur um wenig Geld geht - und die erpressenden Hacker vermutlich darauf setzen, an das Geld schneller und einfacher zu kommen, wenn der Betrag überschaubar ist und eine Nichtzahlung unverhältnismäßig gegenüber den möglichen Folgen und dem zu erwartenden Vertrauensverlust ist. Durchschnittlich sollen 300 US-Dollar verlangt werden.

Für mehr als ein Woche konnte nicht auf alle Patientendaten wie Blutuntersuchungen, Röntgenbilder, Krankheitsgeschichte etc. und auf die Email-Accounts zugegriffen werden. Kommuniziert werden musste per Fax oder altmodisch Face-to-Face, neue Daten mussten wieder auf Papier eingetragen werden. Manche Patienten mussten in andere Krankenhäuser verlegt werden, was dafür spricht, dass die Behandlung nicht bei allen gesichert war. Natürlich könnten Angriffe auch gezielt auf Patientendaten gehen, um diese zu stehlen oder Inhalte zu verändern, es wäre auch möglich, während Operationen Daten zu manipulieren, noch aber sind solche Hackeraktionen brutal und einfach Mittel, trotz des Risikos für Patienten an ein klein wenig Geld heranzukommen. Dafür hatten die Hacker schlicht mit dem Virus alle Dateien auf den Servern verschlüsselt, für den Schlüssel zum Entsperren wird Geld verlangt.

Oberflächlich kehren sich damit die traditionellen Verhältnisse im digitalen Zeitalter um. Die Diebe brechen aus der Ferne virtuell in ein Haus ein, nicht um etwas zu stehlen, sondern um es abzuschließen, so dass der Eigentümer es nicht mehr betreten und nutzen kann. Der Eigentümer wird ausgesperrt und muss nun mit den Einbrechern verhandeln. Und er wird oft zahlen, weil es lange dauern kann, die Verschlüsselung zu knacken, falls dies überhaupt möglich ist, und auch nicht abgewartet werden kann, ob die Polizei die Hacker erwischen wird, die irgendwo auf der Welt sein können und sich auch so der Strafverfolgung entziehen können. Selbst kleinere Polizeistationen in Massachusetts, Tennessee und New Hampshire, deren Computersysteme kürzlich in die Hände von Hackern gefallen worden, hatten pragmatisch ein paar hundert Dollar bezahlt, um wieder an die Daten zu kommen.

Auch das Krankenhaus in Los Angeles zahlte, man argumentierte pragmatisch: "Die schnellste und wirksamste Methode, unsere Systeme und Verwaltungsfunktionen wieder herzustellen, war es, das Lösegeld zu zahlen und den Schlüssel zu erhalten", sagte der Verwalter Allen Stefanek. "Im besten Interesse, den normalen Betrieb wiederherzustellen, taten wird dies." Das FBI wurde eingeschaltet, wird aber wenig ausrichten können. Bei diesen Methoden, Verschlüsselungsprogramme einzusetzen, um Daten dem Zugriff zu entziehen, wird allerdings die Forderung der US-Geheimdienste nicht greifen, dass sie Hintertüren benötigen, die sie bestenfalls von legal arbeitenden Firmen und ihrer Software erhalten werden (US-Geheimdienste machen Terror gegen Verschlüsselung).