Medizin: Schadsoftware legt Krankenhäuser lahm

Eine Schadsoftware hat die IT-Infrastruktur mehrerer Krankenhäuser und Altenpflegeeinrichtungen im Saarland und in Rheinland-Pfalz infiziert. Server und Datenbanken wurden, wie bei einer Ransomware üblich, verschlüsselt. Allerdings wurde bisher keine Lösegeldforderung bekannt. Die Arbeit des Klinkpersonals wurde durch den Angriff erheblich erschwert - es musste auf Stift und Papier zurückgreifen.

Der Angriff sei am Morgen des 14. Juli 2019 gegen 6:30 Uhr bemerkt worden, Küchenmitarbeiter im Krankenhaus Saarlouis hätten das System nicht hochfahren können und den Leiter der IT informiert, sagte der Geschäftsführer der DRK Trägergesellschaft Süd-West, Bernd Decker. Wie sich herausstellte, war das komplette Netzwerk des Verbundes von einer Schadsoftware befallen, die Server und Datenbanken verschlüsselt. Daraufhin seien am Sonntagnachmittag die Server aus Sicherheitsgründen vom Netz genommen worden, um sie auf einen Befall zu überprüfen und um zu verhindern, dass sich die Schadsoftware weiter ausbreitet.

Da ein zentraler Server (Domain Controller) angegriffen wurde, an dem sich die Benutzer und Rechner des DRK-Netzwerks authentifizieren, waren alle elf Krankenhäuser und vier Altenpflegeeinrichtungen, die unter dem Dach der Trägergesellschaft organisiert sind, betroffen. Die Aufnahme der Patienten oder Befunde von Laboruntersuchungen würden inzwischen mit Bleistift, Kugelschreiber und Papier vorgenommen, sagte Decker. "So wie das früher mal war." Die Kliniken und Einrichtungen hatten keinen Zugang zum Internet und waren nicht per E-Mail, sondern nur noch per Telefon oder Fax erreichbar. Es gebe keine Hinweise darauf, dass Patientendaten abgegriffen worden seien, sagte Decker. Eine Anzeige wurde erstattet und das Landeskriminalamt sei eingeschaltet worden. Eine konkrete Lösegeldforderung habe es nicht gegeben, allerdings sei eine E-Mail mit einer Textdatei eingegangen, die jedoch ungeöffnet an das BKA weitergegeben worden sei, sagte Decker.

Medizinische Geräte nicht betroffen

Medizinische Geräte seien nicht betroffen, die Versorgung der Patienten gewährleistet. Der Angriff habe die Arbeit aber umständlicher gemacht. Patientenakten oder Befunde aus Labor oder Radiologie könnten nicht gespeichert werden, sondern müssten ausgedruckt und - wenn die Systeme wieder laufen - eingescannt und archiviert werden.

Die DRK Trägergesellschaft war am 17. Juli 2019 dabei, ihre Systeme wieder hochzufahren. Am 16. Juli sei eine Klinik in Neuwied testweise wieder ans Netz gegangen. Da bisher keine neuen Probleme aufgetaucht seien, gehe man derzeit davon aus, dass das System dort "clean" sei, sagte Decker. Weitere Häuser sollen am Donnerstag folgen. Für das IT-Team bedeutet das Arbeit unter Hochdruck. "Ich arbeite jeden Tag 15 bis 16 Stunden", sagte dessen Leiter, Hans-Peter Blug. Welche Schadsoftware für den Angriff verwendet wurde und wie diese in das Netzwerk beziehungsweise auf die Server der Trägergesellschaft kommen konnte, ist bisher nicht bekannt.

Krankenhäuser sind ein beliebtes Ziel

Ransomware-Banden nehmen mittlerweile gezielter Unternehmen ins Visier, von denen sie sich höhere Lösegeldzahlungen erhoffen als von Privatleuten. Ein Krankenhaus im US-Bundesstaat Indiana bezahlte 2018 trotz Backups ein Lösegeld von 60.000 US-Dollar an Ransomware-Erpresser, um seinen Betrieb schneller wieder aufnehmen zu können. 2016 infizierten sich mehrere Krankenhäuser in Nordrhein-Westfalen mit Schadsoftware.

Krankenhäuser nehmen es nicht immer so genau mit der Sicherheit: Eine Luxusklinik im Schweizer Bergpanorama ließ ihre Gebäudesteuerung ungesichert im Internet. Auch in medizinischen Geräten werden immer wieder Sicherheitslücken entdeckt. Erst kürzlich wurde auf Sicherheitslücken in Beatmungsgeräten hingewiesen, 2017 wurden 500.000 unsichere Herzschrittmacher zurückgerufen.