Cyberkriminelle haben kurz vor Weihnachten Angriffe auf die beiden Klinikverbünde Marienhaus-Gruppe (MHG) und die Katholische Hospitalvereinigung Ostwestfalen (KHO) verübt.
Cyberangriff auf Marienhaus-Gruppe
Die IT-Abteilung der MHG bemerkte die Cyberattacke am 20. Dezember 2023 gegen 16 Uhr dank eingerichteter Sicherheitssysteme. Innerhalb der MHG kam es infolge des Angriffs zu IT-Störungen, teilt der Verbund mit. Um Schlimmeres zu verhindern und die Versorgung in Rheinland-Pfalz, Saarland und Nordrhein-Westfalen zu sichern, holte sich die Gruppe laut eigenen Aussagen unverzüglich ein externes Cybersicherheitsunternehmen ins Haus.
Der unbefugte Zugriff erfolgte „durch einen von extern an einen Mitarbeitenden verschickten Link, der entsprechende Schadsoftware enthielt“, so die MHG. Bei der Überprüfung seien sechs Server und zwei Arbeitsplatzrechner als kompromittiert entdeckt und umgehend vom restlichen Netzwerk isoliert worden. Eine Datenverschlüsselung durch Ransomware habe nicht stattgefunden. Es seien keine bedeutenden Systeme, insbesondere keine mit Daten von Patienten, Bewohnern oder Gästen der MHG betroffen. Somit seien keine Patientendaten abgeflossen. Ebenso seien keine Systeme zur Betriebsführung von den Kriminellen mit Schadsoftware infiziert worden. Die Sicherheit der Patienten oder Bewohner sei zu keiner Zeit gefährdet, die Versorgung jederzeit in vollem Umfang gewährleistet gewesen, teilt der Verbund mit.
Das mobile Arbeiten für Mitarbeitende der MHG sei nach wie vor von außerhalb nur eingeschränkt möglich. Aus Sicherheitsgründen sei zudem der Zugriff auf das Internet aus den Einrichtungen heraus weiterhin unterbunden. Das Arbeiten und der Zugriff auf Gruppenlaufwerke innerhalb der Einrichtungen seien hingegen weiterhin möglich. Die MHG sei mit allen Einrichtungen weiterhin über alle Kanäle erreichbar, ebenso wie die Webseiten des Unternehmens. Wann die IT der MHG wieder komplett einschränkungsfrei funktioniere, könne aufgrund der Komplexität des Cyberangriffs und der damit notwendigen tiefgreifenden Analyse derzeit nicht bestimmt werden, heißt es weiter.
Cyberattacke auf Katholische Hospitalvereinigung Ostwestfalen
„Einen Hackerangriff dieses Ausmaßes gab es zuvor nicht“, teilt die KHO mit. In frühen Morgenstunden an Heiligabend hätten Cyberkriminelle den nordrhein-westfälischen Klinikverbund angegriffen. Betroffen seien die Krankenhäuser Franziskus Hospital Bielefeld, Sankt Vinzenz Hospital Rheda-Wiedenbrück und Mathilden Hospital Herford gewesen. Die weiteren drei Standorte der KHO (Sankt Elisabeth Hospital Gütersloh, Sankt Lucia Hospital Harsewinkel und Marienhospital Oelde) seien nach aktueller Erkenntnis nicht betroffen, da sie über eine separate IT-Infrastruktur verfügten. Aus Sicherheitsgründen bestehe jedoch auch dort noch kein Internetzugang.
Die betroffenen Häuser seien direkt vom Netz genommen worden, in der Folge sei es zu einem Ausfall der IT-Infrastruktur gekommen. Die zuständigen Behörden sind nach KHO-Angaben informiert sowie interne und externe IT-Sicherheitsspezialisten hinzugezogen. Mit Hochdruck werde an der Aufklärung des Sachverhalts und der Sicherung aller Daten gearbeitet.
„Wir haben noch in der Nacht einen Krisenstab eingerichtet und mit der Analyse der Situation begonnen. Die Zugänge zu allen Systemen wurden unmittelbar gesperrt. Dank unserer Sicherungssysteme sind Patientendaten für die Behandlung der Patienten aber noch verfügbar“, sagt Jan Schlenker, Geschäftsführer der KHO. Die Patientenversorgung sei jederzeit gewährleistet, der Klinikbetrieb laufe mit leichten technischen Einschränkungen weiter. Die Telefonanlagen seien nicht betroffen. Die Prozesse seien auf Analogbetrieb umgestellt worden, entsprechende Absicherungen habe es bereits im Vorfeld gegeben. Operationen und reguläre Aufnahmen fänden weiterhin statt – einzelne Eingriffe könnten je nach Operationskomplexität verschoben werden. Alle drei betroffenen Häuser hätten sich direkt von der Notfallversorgung abgemeldet. Inzwischen sei das Mathilden Hospital aber schon wieder angemeldet. Die Leitstellen und Nachbarhäuser seien darüber stets informiert.
Nach bisherigen Erkenntnissen haben sich die Kriminellen Zugang zu den IT-Systemen verschafft und gezielt Daten verschlüsselt. Eine erste Prüfung habe ergeben, dass die Hacker die Software (Ransomware und Extraktionssoftware) von Lockbit 3.0 verwendeten. Lockbit 3.0 biete seine Software zum Verkauf an – als „Crime as a service“. Laut KHO seien Details zur Identität der Erpressergruppe weiterhin unklar, beispielsweise ob es sich bei Lockbit 3.0 auch um die Erpresser selbst handeln könne.
Zum genauen Stand der Ermittlungen sowie zu den Forderungen der Erpresser könnten aus ermittlungstechnischen Gründen derzeit keine Angaben gemacht werden. Die forensische Analyse sei laut KHO noch nicht abgeschlossen und umfasse eine akribische sowie sehr zeitintensive Prüfung aller Datensätze und IT-basierten Systeme der Krankenhäuser. Erst nach Abschluss dieser Untersuchung könnten endgültige und valide Aussagen getätigt werden, so der Verbund. Soweit möglich und von der IT freigegeben, werde der Normalbetrieb nach und nach in den drei betroffenen Standorten schrittweise wieder implementiert. Zum Zeitpunkt der kompletten Wiederherstellung aller IT-Systeme könne ebenfalls derzeit keine Aussage getroffen werden.
Der KHO-Krisenstab tage dazu täglich und sei in ständigem Austausch. Dazu gehörten neben der Geschäftsführung und der Informationssicherheitsbeauftragten, Michael Vogel, weitere leitende Mitarbeiter aus unterschiedlichen Berufsgruppen (IT, Pflege, Ärzte) sowie externe Berater, die in einem auf IT-Sicherheit spezialisierten Beratungsunternehmen tätig sind. Darüber hinaus seien laut KHO weitere Berater und die zuständigen Behörden involviert. Vonseiten der Behörden handele es sich um die Kriminalpolizei (Fachstelle für Cyberkriminalität) und das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Beide Unternehmen, MHG und KHO, informieren regelmäßig auf ihren Websites zu den Cyberattacken.
Zum Thema
Sechs Wochen im Inselmodus: Die Gesundheit Nord war im Mai 2023 Opfer eines Cyberangriffs. Wie der Bremer Klinikverbund den Vorfall aufgearbeitet und seine Sicherheitssysteme aufgefrischt hat, erklärt Helmar Conradi, Leiter des Geschäftsbereichs Medizin- und Informationstechnologie im Interview.
f&w-Titelstrecke Cybercrime: Hacker legen immer häufiger ganze Kliniken lahm. Notaufnahmen müssen vom Netz, die Kommunikation nach außen ist nicht mehr möglich.
