Wie Internet-Piraten ein ganzes Spital lahm legen

Im Hollywood Presbyterian Medical Center in Los Angeles herrscht seit mehreren Tagen der Ausnahmezustand. Für einmal sind es aber keine multiresistenten Keime, die Probleme verursachen, sondern Computerviren respektive Hacker-Malware. 

Im Fachjargon heissen solche unerwünschten Computerprogramme Ransomware, zu Deutsch: Kryptotrojaner. Dabei handelt es sich um Erpresser-Software, die den internen IT-Systemzugang sperren und sämtliche Daten verschlüsseln.

Cyber-Angreifer haben die IT des Krankenhauses in Südkalifornien sozusagen zur Geisel genommen. Sie fordern nämlich für das Entschlüsseln – wie es sich im digitalen Zeitalter gehört – Lösegeld in Höhe von 9’000 Bitcoins. Das entspricht derzeit rund 3,7 Millionen Franken.

Die Krankenhausverwaltung des Presbyterian hat ihrem Personal bis auf Weiteres die Nutzung ihrer Computer untersagt. Die radiologische und onkologische Abteilungen seien sogar ganz geschlossen, wie der US-Fernsehsender NBC berichtete.

Statt mit E-Mails kommunizieren die Angestellten über Fax, Patientendaten werden auf Papier gespeichert, die Telefone sind derzeit dauernd besetzt.

Glaubt man dem Spitaldirektor Allen Stefanek, so soll der Ausfall keinen negativen Einfluss auf den Klinikbetrieb haben, wie er gegenüber NBC sagte. Die Patienten sehen das aber wohl anders.

Eine Frau erzählte, sie habe mit ihrer 87-jährigen Mutter eine Stunde mit dem Auto herumfahren müssen, um die Ergebnisse einiger Untersuchungen selbst abzuholen. Die Wartezeiten in der Ambulanz stiegen ebenfalls merklich, berichtete der Sender Fox 11.

Wie genau die Klinik angegriffen wurde, ist aktuell noch unklar. CEO Stefanek geht nicht von einem gezielten Angriff aus. Dem allerdings widersprechen Sicherheitsexperten. Der IT-Forensiker Eric Robi sieht etwa die hohe Lösegeld-Summe als klaren Widerspruch zur Darstellung, man habe es mit Zufällen zu tun.

Experten vermuten, dass ein unachtsamer Mitarbeiter die Malware ins Netzwerk geholt hat – etwa, indem er in einer gefälschten E- Mail einen Anhang geöffnet hat. Forensiker, das FBI und die städtische Polizei ermitteln den Vorfall. Angeblich fielen keine privaten Daten den Hackern in die Hände.

Von Malware betroffene Krankenhäuser sind kein neues Phänomen: So legte ein Wurm 2008 mehrere Londoner Krankenhäuser lahm. Zudem berichten immer mehr IT-Chefs von Gesundheitsorganisationen von Malware-Befällen medizinischer Systeme in amerikanischen Krankenhäusern oder Versicherungsunternehmen.

Erst vor wenigen Tagen wurden auch deutsche Spitäler Opfer eines Computervirus, der die Rechner lahmlegte. Dies berichtete unter anderem der Sender WDR.

Im Lukaskrankenhaus in Neuss und im Klinikum Arnsberg klickten offenbar Mitarbeiter auf den falschen E-Mail-Anhang, womit sie Malware ins Krankenhaus-Netzwerk holten. Im Fall von Neuss verlangten die Hacker allerdings bloss umgerechnet 500 Franken Lösegeld.

Auch andere Kliniken in Essen, Köln, Kleve und Mönchengladbach sollen laut WDR mit Malware kämpfen.

Zwar seien in Deutschland die wichtigen medizinischen Geräte und Systeme nicht betroffen. Doch auch hier: die Ärzte mussten Befunde per Telefon und Fax übermitteln, die Labore per Hand Notizen machen, was die Arbeit deutlich erschwere und verlangsame.

Arnsberg konnte demnach nur Notfälle annehmen, in Neuss habe man Patienten laut Medienberichten in andere Kliniken verlegt und Termine für Eingriffe verschoben. Von einer gezielten Attacke gehen die Krankenhäuser nicht aus.

Das deutsche Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sieht in Cyber-Attacken auf Krankenhäuser ein wachsendes Problem. «Es gibt eine ganze Menge Risiken für Krankenhäuser, und dazu gehören auch IT-Angriffe», sagte der Präsident des Amtes, Christoph Unger, dem Sender WDR.

Darauf müssten sich auch privat organisierte Krankenhausunternehmen vorbereiten, «selbst wenn das manchmal ökonomisch schwierig ist». 

Eine Digital-Erpresserbande namens «Gladius» droht deutschen Versandapotheken mit DDoS-Angriffen, sofern nicht ein Lösegeld von 1500 Euro nicht gezahlt wird. Dies berichtet die «Deutsche Apotheker Zeitung». Die Täter legten die betroffenen Online-Shops zuerst für rund eine Stunde lahmgelegt, um Ihre Macht zu demonstrieren. 

«Wenn Sie nicht darüber informiert sind, dass der Angriff stattgefunden hat, bitten Sie die Hosting-Firma, die für Ihre OnlineShop-Server zuständig ist, Ihnen die Logs zu zeigen», raten die Ganoven ihren Opfern in englischer Sprache.

Ein DDoS-Angriff bedeutet, dass die Apotheken quasi mit Eingängen «bombardiert» und so lahmgelegt würden.