Cyberangriff mit Todesfolge
Am 10. September 2020 wurde das Universitätsklinikum Düsseldorf (UKD), eines der wichtigsten Krankenhäuser im Rheinland, Opfer eines massiven Ransomware-Angriffs. Hacker der Cyberkriminellen-Gruppe Netwalker verschlüsselten kritische IT-Systeme und forderten Lösegeld. Der Angriff entwickelte sich zu einer der schwersten Cyberkriminalität-Attacken auf kritische Infrastruktur in Europa und zog nationale wie internationale Sicherheitsbehörden in den Fall.
Die Angreifer infiltrierten die IT-Systeme des Krankenhauses und verschlüsselten lebenswichtige Daten. Wie bei typischen Ransomware-Angriffen forderten die Täter ein Lösegeld – in diesem Fall rund 2,5 Millionen Euro – für die Entschlüsselung der Systeme. Die Uniklinik musste Teile ihres Betriebs einstellen, weil Ärzte und Pflegepersonal nicht mehr auf elektronische Patientenakten und andere medizinische Systeme zugreifen konnten.
Besonders tragisch: Der Angriff hatte direkte Auswirkungen auf die Patientenversorgung. Eine 78-jährige Frau, die dringend eine Krebsbehandlung benötigte, wurde abgewiesen und musste in ein anderes Krankenhaus gebracht werden. Sie verstarb kurz darauf an einem Schlaganfall. Obwohl ein direkter Kausalzusammenhang nicht zweifelsfrei nachgewiesen werden konnte, wurde ihr Tod in den Medien mit dem Cyberangriff in Verbindung gebracht. Der Fall warf grundsätzliche Fragen zum Krisenmanagement von Krankenhäusern und ihrer Vorbereitung auf Cyberangriffe auf.
Ransomware-Angriff beginnt
Das Universitätsklinikum Düsseldorf wird von der Netwalker-Ransomware attackiert. Die Hackergruppe verschlüsselt kritische Krankenhaussysteme und fordert Lösegeld.
Systemausfall und Patientenabweisung
Die elektronischen Systeme des Krankenhauses sind komplett lahmgelegt. Die Notaufnahme muss Patienten abweisen, Operationen werden abgesagt. Eine 78-jährige Frau stirbt, nachdem sie abgewiesen wurde.
Krisenstab wird aktiviert
Die Deutsche Telekom und das BSI (Bundesamt für Sicherheit in der Informationstechnik) werden zur Unterstützung bei der Systemwiederherstellung hinzugezogen.
Lösegeldforderung wird bekannt
Die Netwalker-Gruppe bestätigt ihre Forderung von rund 2,5 Millionen Euro für die Entschlüsselung der Krankenhausdaten.
Polizei startet Ermittlungen
Bundes- und Landesbehörden nehmen formell die Ermittlungen wegen schwerer Cyberkriminalität auf.
Neue Sicherheitsrichtlinien werden eingeführt
Deutschland führt verschärfte Cybersicherheitsgesetze ein und stellt mehr Ressourcen zum Schutz kritischer Infrastruktur bereit.
Netwalker-Gruppenmitglieder verhaftet
Internationale Polizeikräfte nehmen mehrere Personen fest, die mit der Netwalker-Gruppe in Verbindung stehen und für diesen und andere Cyberangriffe verantwortlich gemacht werden.
Die Deutsche Telekom und das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden umgehend zur Unterstützung hinzugezogen, um die Systeme wiederherzustellen. Der Cyberangriff auf einen Gesundheitsversorger wurde zur prioritären Ermittlungssache. Auf politischer Ebene löste der Fall höchste Besorgnis aus, da er die Verwundbarkeit kritischer Infrastruktur durch Cyberterrorismus offenlegte.
Die Netwalker-Gruppe, die sich zu dem Angriff bekannte, war bereits zuvor durch weltweite Attacken auf Unternehmen bekannt geworden. Die Kriminellen wandten eine Doppelerpressungstaktik an: Sie stahlen sensible Daten vor der Verschlüsselung und drohten damit, diese zu veröffentlichen, falls das Lösegeld nicht bezahlt würde. Das UKD stand damit unter doppeltem Druck – Systemwiederherstellung und Datenschutz zugleich.
Der Angriff wurde zum Weckruf für die deutsche und europäische Sicherheitspolitik. Obwohl das Krankenhaus Standardsicherheitsmaßnahmen befolgt hatte, waren die Hacker technisch versiert genug, diese zu umgehen. Ransomware-Angriffe auf Krankenhäuser rückten daraufhin in den Fokus der Sicherheitsbehörden.
Das BSI intensivierte die Überwachung von Gesundheitseinrichtungen erheblich. Auch internationale Partner wie das dänische CFCS und andere europäische Sicherheitsbehörden begannen, Informationen über die Aktivitäten der Netwalker-Gruppe auszutauschen.
In den Jahren nach dem Angriff wurden mehrere Personen identifiziert und angeklagt, die mit der Netwalker-Gruppe in Verbindung standen. Zwar führte der UKD-Angriff nicht zu direkten Verurteilungen im Zusammenhang mit diesem speziellen Fall, doch trug er zur internationalen Offensive gegen organisierte Cyberkriminalität bei.
Das deutsche Justizministerium nutzte den Fall als Beleg für die Notwendigkeit verschärfter Gesetzgebung zum Schutz kritischer Infrastruktur. Der Vorfall in Düsseldorf bleibt ein Mahnmal dafür, dass Cyberangriffe auf Krankenhäuser nicht nur wirtschaftliche Schäden verursachen, sondern Menschenleben kosten können.