bedeckt München 14°

Klinikum Neuss:Wenn Cyberkriminelle ein Krankenhaus lahmlegen

Hackerangriff auf Kliniken

Das Lukaskrankenhaus der Städtischen Kliniken in Neuss wurde Opfer von Cyberkriminellen.

(Foto: dpa)

Nach einem Hackerangriff verwenden Chefärzte Klemmbretter statt iPads, Arztbriefe werden wieder per Hand geschrieben. Ein Besuch im Klinikum Neuss.

Von Kristiana Ludwig

Das Desaster, das ihn in die Neunzigerjahre zurückbefördern wird, beginnt für den Arzt Ali Avci an seinem Schreibtisch. Sein Computer stockt, minutenlang wartet er, bis das Gerät auf Klicks reagiert. Bald verliert Avci die Geduld, eine Magenspiegelung steht an. Als er aus dem OP-Saal zurückkehrt, ist es nicht besser. Kurz darauf werden im Lukaskrankenhaus alle Bildschirme schwarz. Der Geschäftsführer ruft die Ärzte zusammen. "Wir wurden angegriffen", sagt er.

Erpresser haben die größte Klinik der Stadt Neuss zum Stillstand gebracht, und zwar ohne dass sie je einen Fuß hineingesetzt hätten. Stattdessen schleusten sie einen digitalen Trojaner in das Computersystem. Das Programm muss sich in einem E-Mail-Anhang versteckt haben, vielleicht auch hinter einem Werbebanner im Internet. Ein Mitarbeiter aktivierte die Schadsoftware unbemerkt, und sie begann, nach und nach die Daten der Ärzte und Patienten zu befallen. So lange, bis auf einigen Bildschirmen eine Botschaft und eine E-Mail-Adresse erschienen: Wollen Sie Ihre Daten zurück? Dann schreiben Sie uns.

28 Kliniken in NRW haben Anfang 2016 Angriffe gemeldet

Ransomware heißt die Methode, mit der Internetkriminelle in den vergangenen Monaten viele Krankenhäuser und Ämter, Firmen und Privatleute bedrohten. In den ersten zwei Monaten des Jahres haben allein in Nordrhein-Westfalen 28 Krankenhäuser Angriffe dieser Sorte an das Gesundheitsministerium gemeldet. Insgesamt gingen seit Anfang Dezember mehr als 150 Anzeigen wegen digitaler Erpressungsversuche beim nordrhein-westfälischen Landeskriminalamt (LKA) ein.

Während einige Kliniken die bedrohlichen Programme schon früh entdeckten, traf es andere mit Wucht. Das Aachener Marienhospital etwa musste die Versorgung von Notfallpatienten für einen Tag aufgeben. Auch in Neuss übernahmen die Kliniken im Umkreis die Notfallpatienten des Lukaskrankenhauses. In der Endoskopie-Station von Ali Avci blieben die Computer zwei Wochen lang ausgeschaltet. Allein hier sagten die Ärzte circa 100 Patienten ab.

Die Ärzte wissen nicht mehr, welche Medikamente sie verschreiben müssen

Avci beginnt schon an Tag eins des Angriffs, seine Befunde wieder mit der Hand zu schreiben. Die Bilder, die bei seinen Eingriffen winzige Kameras im Körper der Patienten aufnehmen, kann er nun nicht mehr abspeichern. Seine Diagnose stellt er am OP-Tisch, von seinen Arztbriefen behält er die Durchschläge.

Mehr als hundert solche dünnen Zettel stapeln sich schließlich auf seinem Schreibtisch. Verwaltungsangestellte, die in ihren Büros normalerweise die Abrechnungen des Krankenhauses erledigen, laufen nun als Boten durch die Gänge. Wie vor vielen Jahren tragen sie Laborscheine zu den Stationen. Diese Formulare zum Ankreuzen lagerten glücklicherweise noch im Untergeschoss.

Avcis Kollegen auf der Krebsstation unterbrechen nun die Strahlentherapien länger als geplant, die Apotheker bestellen keine Medikamente mehr. Überhaupt wissen viele Ärzte nicht mehr, was sie ihren Patienten eigentlich verabreichen sollen. Viele Patientenakten sind nur elektronisch gespeichert. Darauf war das Lukaskrankenhaus eigentlich besonders stolz.

iPads statt Klemmbrettern - ein Fehler?

Gerade einmal zwei Wochen vor dem Totalausfall hatte das Krankenhaus noch hohen Besuch von Bundesgesundheitsminister Hermann Gröhe (CDU) bekommen. "Visite 2.0" heißt das Projekt, das die Telekom in Neuss verwirklichen will. Bereits seit zwei Jahren benutzen die Chefärzte und Oberärzte iPads statt Klemmbretter, seit Dezember sind auch die Stationen der Chirurgie und der Inneren Medizin komplett auf Tablets umgestiegen.

Es "entfällt die zeitaufwendige Suche nach Dokumenten, Bildern oder Laborwerten", stellte der Geschäftsführer im Januar fest. "Telekom beeindruckt Bundesgesundheitsminister", schrieb das Unternehmen anschließend über seine Pressemitteilung: Papierakten gehörten "im Lukaskrankenhaus in Kürze der Vergangenheit an".

Heute, einen Monat nach dem Crash, schätzt die kommunale Klinik ihren Schaden auf 750 000 Euro. Neben den verschobenen Operationen und den vielen Überstunden mussten sie IT-Spezialisten bezahlen, um jeden einzelnen Computer zu säubern. Noch immer sind nicht alle Geräte im Haus gescannt.

In den ersten Tagen hatten LKA-Spezialisten Apartments in Krankenhausnähe bezogen. Rund um die Uhr versuchten sie, den Angriff zu analysieren: Zu welchen fremden Computern nimmt der Trojaner Kontakt auf? Was bewirkt er in der Klinik? Der Erpresser, sagt der Leiter des Düsseldorfer Cybercrime-Kompetenzzentrums, Markus Röhrl, könnte aus beinahe jedem Land der Erde stammen - und seine Spuren gut verwischt haben.

Für Röhrl liegt eine Ursache für die schweren Auswirkungen des Angriffs bei den digitalisierten Arbeitsabläufen in Neuss. "Die Sicherheit muss dieser Entwicklung standhalten", sagt er. Patientenakten seien diesmal nicht abhandengekommen, versichert eine Kliniksprecherin. Ein Glück im Unglück. Mit solchen privaten Informationen könnten Kriminelle schließlich nicht nur die Stadt, sondern jeden einzelnen Patienten erpressen.

© SZ vom 18.03.2016/sih
Zur SZ-Startseite

Lesen Sie mehr zum Thema