Nach Angriff auf Uni-Klinik
Forschungszentren vermehrt Ziel von Hacks
cc0
Angriff auf Uni-Klinik: Laut NRW-Justizministerium lassen sich die Spuren nach Russland zurückverfolgen.

IT-Sicherheit. Erstmals starb in Deutschland aufgrund eines Hacker:innen-Angriffs auf die Uni-Klinik Düsseldorf eine Person. Die Attacken auf Universitätssysteme nahmen in den vergangenen Monaten stark zu.

Mittlerweile ergeben sich erste Spuren auf der Suche nach den Hacker:innen, die die IT-Systeme des Universitätsklinikums Düsseldorf lahmlegten. Diese führen laut einem Bericht des NRW-Justizministeriums zu einer Hacker:innen-Gruppe in der Russischen Föderation. Im September wurden 30 Server der Uniklinik Düsseldorf durch einen Trojaner verschlüsselt. Wie bei ähnlichen Angriffen in der Vergangenheit, ging es den Erpresser:innen anscheinend um Geld. Doch im Fall des Uniklinikums hatte der Hacker:innen-Angriff, anders als in ähnlichen Fällen, wohl eine tragische Folge. Denn als eine Patientin in der Nacht vom 11. auf den 12. September mit dem Krankenwagen in ein Krankenhaus gebracht werden musste, musste diese aufgrund des lahmgelegten IT-Systems statt in das naheliegende Universitätsklinikum in eine einstündig entferntes Einrichtung in Wuppertal gebracht werden. Die Patientin überlebte nicht. Sie ist damit der erste Fall in Deutschland, bei dem ein Hacker-Angriff auf kritische Infrastruktur zu einem Todesfall führte. Doch möglicherweise war das Uniklinikum nicht einmal das Ziel der Gruppe. Denn die Erpressungsnachricht, die auf einem der verschlüsselten Server hinterlassen wurde, richtete sich nicht an das Klinikum, sondern an die Universität Düsseldorf. Die Behörden wiesen die Angreifer:innen darauf hin, woraufhin diese einen Entschlüsselungscode sendeten. Erst zwei Wochen nach dem Angriff, am 23. September, konnte die Klinik wieder die Notfallversorgung aufnehmen. Laut der Uniklinik seien keine Daten gestohlen worden, auch wenn der Virus mit dem Namen DoppelPaymer neben der Verschlüsselung von Daten auch in der Lage ist, diese zu entwenden.

Die Sicherheitslücke eines weit verbreiteten Programms, die den Angriff ermöglichte, wurde bereits im Dezember 2019 durch den US-Software-Hersteller Citrix bekannt. Laut der Uniklinik wurden zwei Spezialfirmen mit der Überprüfung der Systeme beauftragt. Diese fanden keine Hinweise auf einen Eingriff bei der zu diesem Zeitpunkt bereits geschlossenen Sicherheitslücke. Die Hacker:innen-Gruppe schleuste den Loader der Schadsoftware, der das eigentliche Programm zu einem späteren Zeitpunkt nachlud, jedoch anscheinend schon vor Schließung der Lücke ein.
Erst im Sommer hatten Hacker bereits die IT-Systeme der Ruhr-Universität lahmgelegt. Ob es sich dabei um denselben Virus handelte, ist nicht bekannt. Allerdings wurde wenige Tage vor dem Angriff auf die Düsseldorfer Uniklinik auch die Universität in Newcastle von DoppelPaymer angegriffen. In jüngster Vergangenheit wurden Hochschulen und Forschungsrechner ein häufiges Angriffsziel von Hacker:innen. Anfang Oktober drangen Hacker:innen mittels Phishing-Emails in die Systeme mehrerer Schweizer Hochschulen ein und schöpften Lohnauszahlungen in sechsstelliger Höhe ab. „Es ist neu, dass gezielt Forschungszentren angegriffen werden“, sagte Staatsanwalt Christoph Hebbecker der „WAZ“ nach dem Angriff auf die RUB.
Universitätsnetzwerke sind häufig ein leichteres Ziel, da Universitäten allgemein weniger in IT-Sicherheitssysteme investieren als Privatunternehmen. Sicherheitsexpert:innen wie Haya Shulman, Leiterin der Abteilung Cybersicherheit am Fraunhofer-Institut in Darmstadt, schließen zudem nicht aus, dass es sich bei den vermehrten Attacken auf Forschungszentren auch um Cyberspionage handeln könnte, um Covid-Daten zu stehlen, weisen jedoch darauf hin, dass es sich hierbei zunächst nur um Vermutungen handele.

:Stefan Moll

Autor(in):