Bei der Aufklärung des Hackerangriffs gegen die Uniklinik Düsseldorf vor zwei Wochen führt eine mögliche Spur der Hacker nach Russland. Der digitale Angriff hat wohl bereits vor Monaten unbemerkt begonnen. Die Ermittler wissen inzwischen, dass die Hacker zunächst einen sogenannten "Loader" zum Nachladen des eigentlichen Schadprogramms ins System der Uni-Klinik einschmuggelten. Das IT-System der Uniklinik ist bis heute noch nicht voll einsatzfähig. Die Uniklinik ist daher weiter von der Notfallversorgung abgemeldet und wird vom Rettungsdienst nicht angefahren.
Nach Angaben des nordrhein-westfälischen Justizministeriums führt eine mögliche Spur der Täter nach Russland. Der sogenannte Verschlüsselungstrojaner sei bereits in zahlreichen anderen Fällen weltweit gegen Unternehmen und Institutionen von einer Hacker-Gruppe eingesetzt worden, die nach Einschätzung privater Sicherheitsunternehmen in der Russischen Föderation beheimatet sein soll.
Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hatte vergangene Woche mitgeteilt, dass die entsprechende Sicherheitslücke in einem weit verbreiteten Programm der Firma „Citrix“ bereits seit dem Jahreswechsel bekannt war. Der US-Software-Hersteller habe am 17. Dezember 2019 über eine Schwachstelle in mehreren Produkten gewarnt. Die Uniklinik Düsseldorf erklärt, sie habe den Patch des Herstellers noch am Tag der Veröffentlichung installiert und im Frühsommer 2020 eine weitere Sicherheitsüberprüfung, ein sogenannter Penetrationstest von außen, absolviert.
Wann das Schadprogramm der Hacker in Düsseldorf installiert wurde, ist beim derzeitigen Ermittlungsstand noch unklar.
