Cyberangriff auf Klinikum Esslingen gelang über Schwachstelle in Citrix-Zugang
Nach einem Cyberangriff auf das Klinikum Esslingen über einen Fernzugriff hat die Krankenhausleitung einen Krisenstab eingerichtet, die Analyse läuft.
Angreifern ist es gelungen, auf die IT-Infrastruktur des Klinikums Esslingen zuzugreifen. Dabei habe sich eine "unbekannte Person" gegen 17:00 Uhr am 28. November 2023 über eine Schwachstelle in Citrix Zugang zu den IT-Systemen des Krankenhauses verschafft, wie die Pressesprecherin, Anja Dietze, heise online mitgeteilt hat.
Meldung um Antworten der Pressesprecherin des Klinikums ergänzt.
Nach Angaben des Klinikums hat der Angreifer "gezielt Schaden" bei einigen Servern angerichtet. Vor allem bildgebende Systeme in der Radiologie, aber auch im Bereich Ultraschall und Endoskopie seien betroffen. In der Verwaltung seien unternehmensinterne Daten gelöscht worden.
Der Klinikbetrieb läuft laut Dietze wieder normal. Die IT-Abteilung hatte mit Hochdruck daran gearbeitet, die Systeme wiederherzustellen. "Die Patientensicherheit und -versorgung war zu keinem Zeitpunkt gefährdet und ist es auch weiterhin nicht", sagt Geschäftsführer Matthias Ziegler.
Nachdem der Angriff entdeckt wurde, habe das Klinikum zusammen mit Sicherheitsexperten "umfangreiche Maßnahmen" eingeleitet, um weiteren Schaden zu verhindern. Außerdem habe die Krankenhausleitung einen Krisenstab eingerichtet und die Polizei eingeschaltet, wie aus einer Pressemitteilung hervorgeht.
Immer wieder Angriffe auf Krankenhäuser
Erst kürzlich berichtete CNN von einem Ransomware-Angriff auf die IT einer Krankenhauskette "Ardent Health Services" mit 30 Krankenhäusern in sechs Bundesstaaten. In der Folge mussten Patienten in insgesamt 25 Notaufnahme an andere Krankenhäuser verwiesen werden. Im Zuge des Angriffs nahm Ardent Health Service sein Netzwerk offline, woraufhin beispielsweise der Zugriff auf IT-Dienste wie die Dokumentenverwaltung für die Patientenversorgung nicht mehr möglich war. In einem weiteren Fall droht die Ransomware-Gruppe Rhysida im Zuge eines mutmaßlichen Cyberangriffs auf ein Krankenhaus, die Daten von Patienten des King Edward VII's Hospital in London zu versteigern.
Doch nicht nur Ransomware-Gruppierungen treiben ihr Unwesen: Ein ehemaliger Geschäftsführer der Cybersicherheitsfirma Securolytics, Vikas Singla, hat laut Bleeping Computer zugegeben, zwei Krankenhäuser des Gwinnett Medical Center (GMC) angegriffen zu haben. Demnach manipulierte er die Telefon- und Netzwerkdienste des Gesundheitsdienstleisters und stahl die Daten von mehr als 200 Patienten. Die Daten ließen sich über eine Verbindung mit einem Mammographiegerät eines der betroffenen Krankenhäuser klauen. Anschließend wurden die gestohlenen Patientendaten und "We own you"-Nachrichten auf über 200 Druckern ausgedruckt. Singla machte über Twitter auf den Angriff aufmerksam und veröffentlichte dort Auszüge der Daten von 43 Patienten. Außerdem wandte sich Securolytics auch an potenzielle Kunden und machte auf den GMC-Vorfall über E-Mails aufmerksam.
Die Zentrale Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts Baden-Württemberg warnt Kliniken und Reha-Einrichtungen in dem Bundesland. In einem Rundschreiben, das über den Verein Baden-Württembergische Krankenhausgesellschaft (BWKG) verschickt wurde, beschreibt die ZAC einen erfolgreichen Angriff auf eine Klinik im Bundesland über die Citrix-Produkte NetScaler ADC und NetScaler Gateway (CVE2023-4966, auch bekannt als "Citrix Bleed"). Diese "konkrete Sicherheitslücke" werde derzeit ausgenutzt, Ransomware-Angriffe seien daher nicht auszuschließen, heißt es in dem Schreiben, das ein IT- und Windows-Blog veröffentlicht hat.
(mack)