Schadsoftware:Deutsche Krankenhäuser mit Ransomware infiziert

Schadsoftware: "Ups, Ihre Dateien sind verschlüsselt worden": Nachricht von Erpressern, die mit Ransomware arbeiten.

"Ups, Ihre Dateien sind verschlüsselt worden": Nachricht von Erpressern, die mit Ransomware arbeiten.

(Foto: AFP)
  • Die Trägergesellschaft Süd-West des Deutschen Roten Kreuzes ist offenbar Opfer eines Ransomware-Angriffs geworden.
  • 13 Krankenhäuser waren betroffen, auf die Patienten hat sich die Infektion des IT-Systems der Gesellschaft zufolge nicht ausgewirkt.
  • Der Angriff ist offenbar verhältnismäßig glimpflich ausgegangen, das LKA ermittelt.

Von Max Muth

Ein Hackerangriff hat die IT-Systeme mehrerer Krankenhäuser im Südwesten Deutschlands infiziert und die Arbeit des Klinikpersonals vorübergehend erheblich erschwert. Alle Indizien deuten auf sogenannte Ransomware hin.

Die Probleme begannen am Sonntagmorgen: Angestellte des Krankenhaus-Betreibers DRK Trägergesellschaft Süd-West bemerkten, dass etwas mit dem IT-System nicht stimmte: Eine Schadsoftware hatte das IT-Netzwerk befallen und begonnen Datenbanken und Server zu verschlüsseln. Ein einfacher Hackerangriff, der enorme Tragweite entfalten könnte: Die Trägergesellschaft betreibt im Südwesten Deutschlands insgesamt 13 Krankenhäuser, einen Großteil davon zwischen Mannheim und Bonn, zwei weitere in der Nähe der Grenzen zur Frankreich und Luxemburg. Am Sonntagnachmittag beschloss die IT-Abteilung der Gesellschaft, die Systeme herunterzufahren, um die Verschlüsselung zu stoppen.

Für die Patienten hatte der Angriff auf die IT-Systeme dem Geschäftsführers der Gesellschaft Bernd Decker zufolge keine Auswirkungen. Pfleger und Ärzte dagegen mussten für Diagnose und Anamnese auf Stift und Papier ausweichen, "so wie das früher einmal war". Auch die E-Mail-Server der Trägergesellschaft waren betroffen, kommuniziert wurde in den vergangenen zwei Tagen wieder verstärkt per Fax.

In der Regel geht der Ransomware-Angriff mit Erpressung einher

Das LKA schickte Experten der Cybercrime-Einheit, die zusammen mit den IT-Fachleuten der Trägergesellschaft am Montagnachmittag den Virus fanden und vom System entfernten. Danach wurde das saubere System aus Backups wiederhergestellt, so Decker gegenüber der SZ. Mittlerweile sei das System des Krankenhauses in Neuwied wieder funktionsfähig, die anderen sollten demnächst folgen.

Warum die Infrastruktur sich hacken ließ und ob es an mangelndem Schutz lag, ist noch unklar. Auch welche Schadsoftware konkret für den Angriff auf den Krankenhausverbund verantwortlich war, weiß der Krankenhausträger nicht. Doch alles deutet auf eine Infektion mit sogenannter Ransomware hin: Einmal über Phishing-Emails oder Sicherheitslücken ins System gelangt, verschlüsselt diese Schadsoftware wichtige Dateien und fordert Lösegeld von den Besitzern der Daten - meist in Bitcoin. Dafür bekommen die Opfer dann den Code, mit dem die Daten wieder entschlüsselt werden können.

In den vergangenen Wochen waren zwei lokale Verwaltungen in den USA in die Schlagzeilen geraten, weil sie nach einem Befall durch Ransomware das geforderte Lösegeld bezahlt hatten. Mit der Zahlung dürften die US-Gemeinden günstiger davongekommen sein, als mit einer Bekämpfung durch IT-Sicherheitsspezialisten. Die Stadt Baltimore an der US-Küste hatte sich bei einer ähnlichen Ransomware-Infektion geweigert, Lösegeld zu zahlen, dennoch kostete sie der Angriff Schätzungen zufolge rund 18 Millionen Dollar. Experten kritisierten dennoch die Gemeinden, die das Lösegeld zahlten: auf diese Weise würden falsche Anreize für Cyberkriminelle gesetzt würden. Auch in Deutschland drohen die Ransomware-Angriffe zur Epidemie zu werden.

Ob es im Fall der infizierten Krankenhäuser eine konkrete Lösegeldforderung gab, dazu konnte Geschäftsführer Decker nichts sagen. Zwar sei eine E-Mail mit einer Textdatei eingegangen, die habe man aber ungeöffnet ans LKA weitergereicht. Wie viel der Schadsoftware-Befall die Trägergesellschaft gekostet hat, ist noch unklar. Im Vergleich mit den US-Gemeinden scheint die Sache jedoch glimpflich ausgegangen zu sein. Nur auf einige Mitarbeiter kommt jetzt noch eine Menge Arbeit zu: Die in den vergangenen Tagen zu Papier gebrachten Patientendaten müssen ins IT-System eingepflegt werden.

Zur SZ-Startseite

Cyber-Sicherheit
:Hacker-Waffe der NSA legt Baltimore lahm

Hacker greifen die US-Stadt Baltimore an - mit Software, die die NSA entwickelt hat. Experten warnen seit Jahren vor staatlichen Cyberwaffenarsenalen.

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: