339
Passwort vergessen

Cyberangriff auf das Lukaskrankenhaus Neuss

Trojaner im KIS

Trojaner im KIS

  • f&w
  • Titel
  • 01.01.2017

f&w

Ausgabe 1/2017

Seite 16

Das Lukaskrankenhaus in Neuss hat 2016 einen Hackerangriff mit Erpressungsversuch abgewehrt. Als Konsequenz hat das Krankenhaus seine Sicherheitsstandards erhöht. Ein Ereignisbericht.

Im Frühjahr 2016 meldeten 28 Krankenhäuser in Nordrhein-Westfalen (NRW) Cyberangriffe an das Gesundheitsministerium des Landes. Sogenannte Trojaner legten die Computersysteme, unter anderem die Krankenhausinformationssysteme (KIS), einiger der Häuser lahm, darunter auch das des Lukaskrankenhauses in Neuss. Der oder die Täter schleusten über den E-Mail-Server eine sogenannte Ransomware ein (Textkasten: Erpressung mit Schadsoftware). Es war ein neuer Typ dieser Schadware, der zudem ständig seine Signatur änderte. Firewall und Antivirenprogramm blieben machtlos.

Erpressung mit Schadsoftware

Im Jahr 2016 sind die Zahlen der Erpressungen und Erpressungsversuche mittels Ransomware geradezu explodiert. Ransomware sind Schadprogramme, die Daten verschlüsseln und dann einen Entschlüsselungscode gegen Lösegeld (englisch: ransom) anbieten. Gezahlt wird direkt und anonym mit Bitcoins. Eine „beliebte Art, an das Geld der Opfer zu kommen“, nennt Stefan Methien, Erster Kriminalhauptkommissar beim BKA in der Nationalen Kooperationsstelle Cybercrime, diese Form des digitalen Verbrechens: „Es handelt sich um ein erfolgreiches kriminelles Geschäftsmodell: Der hohe Handlungsdrucks für die Opfer bringt die Täter in eine gute Verhandlungsposition bei geringem Aufwand und direktem Geldtransfer.“

Ein Drittel der deutschen Unternehmen, so hat eine Befragung des Bundesamts für Sicherheit in der Informationstechnik (BSI) im April 2016 ergeben, waren in den sechs Monaten zuvor von Ransomware betroffen und sogar mehr als 40 Prozent der kritischen Infrastrukturen im Bereich Gesundheit (KRITIS – wichtige Einrichtungen des staatlichen Gemeinwesens) – unter anderem rund zehn Prozent der deutschen Krankenhäuser. Ein Drittel der erpressten Unternehmen zahlt und vertraut darauf, anschließend von den kriminellen Hackern die entsprechende Software zur Entschlüsselung ihrer Daten zu erhalten. Dennoch bestehen weiterhin folgende Risiken: Die Erpresser liefern den „Schlüssel“ nicht, die Software infiziert weitere Netze oder Server, und die Hacker geben in ihren Kreisen den Hinweis „Firma ist zahlungswillig“ weiter.

Dieses „Geschäftsmodell“ eines Hackerangriffs wird sich weiter verbreiten, da sind sich Strafverfolger wie Software-Spezialisten einig. Über die Cyber-Kriminalität wird mittlerweile mehr „Umsatz“ erwirtschaftet als im internationalen Drogenhandel. Die Bedeutung der IT Security wird steigen, die Sensibilisierung der Mitarbeiter für das Thema muss damit Schritt halten. Eine 100-prozentige Sicherheit darf allerdings niemand erwarten. Das hängt auch damit zusammen, dass der Faktor Mensch beim Thema Cybersicherheit eine große Rolle spielt.

Am Morgen des 10. Februar 2016 bemerkten zuerst die Radiologen und die Mitarbeiter der Zentralambulanz im Lukaskrankenhaus, dass die Systeme ungewöhnlich langsam arbeiteten. Erste Fehlermeldungen liefen auf. An einigen wenigen Rechnern tauchten dann in englischer Sprache formulierte Hinweise auf, Dateien seien verschlüsselt. Über eine in diesen Hinweisen enthaltene E-Mail-Adresse sollten die Nutzer weitere Instruktionen erhalten.

Schnelle Reaktion war erforderlich

Das Krankenhaus reagierte umgehend und fuhr alle Systeme herunter, um die sensiblen Patientendaten zu schützen und ein weiteres Infizieren der Netzwerke und Server zu verhindern. Die Daten eines Back-ups in der Nacht zuvor waren nicht betroffen. Die Klinikleitung bildete einen Krisenstab, der mehrmals täglich konferierte und alle weiteren Schritte besprach. In diesen Sitzungen fiel auch schnell die Entscheidung, das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu informieren und Anzeige zu erstatten.

Beim Aufspüren der Ransomware arbeiteten Experten der eigenen IT-Abteilung, des BSI, externe Berater und nicht zuletzt Beamte des Landeskriminalamts (LKA) eng zusammen. Die Arbeit des Krankenhauses möglichst fortzuführen, stand im Vordergrund aller Maßnahmen. Zunächst geschah das „im Handbetrieb“. Das hochdigitalisierte Lukaskrankenhaus, das in der Vergangenheit bereits mehrere Pilotprojekte zur Digitalisierung im deutschen Gesundheitswesen erfolgreich absolviert hatte, war auf den Stand „Papier und Bleistift“ zurückgeworfen. Es galt, die digitale Verfügbarkeit – vom E-Mail-Verkehr über die Patientenaufnahme und Strahlentherapie bis zur Medikamentenbestellung oder elektronischen Befundübermittlung sowie die zahllosen Schnittstellen einzelner Systeme und Subsysteme – möglichst schnell wiederherzustellen.

Konkrete Auswirkungen auf den Klinikbetrieb

Bis dahin stapelten sich in der Patientenaufnahme die Schreibblöcke, in der Zentralen Notaufnahme waren die Wände der Leitstelle mit großformatigen Belegungstabellen tapeziert. Laborbefunde mussten, da sie nicht digital übermittelt werden konnten, als Ausdruck auf die Stationen gebracht werden. Röntgenbilder sahen sich die Ärzte vor Ort in der Radiologie an – ebenfalls hieß es hier: digitale Übermittlung nicht möglich.

Einige wenige große, elektive Operationen mussten verschoben werden, die Berichte der anderen Eingriffe wurden handschriftlich verfasst. In den ersten Tagen nach dem Angriff war weder die Abrechnung von Leistungen möglich noch zum Beispiel die Bestellung von Medikamenten.

Trotz dieser massiven Einschränkungen, denen die Mitarbeiter mit übergroßem Engagement begegneten, blieb die Versorgung der Patienten bis auf die Verschiebung der großen Operationen unbeeinträchtigt. Lediglich in einem Punkt erlebten sie die IT-Krise direkt: Die Essensauswahl, normalerweise digital unter fünf Gerichten, beschränkte sich auf zwei Speisen, die auf Papier angekreuzt wurden.

Dem Lukaskrankenhaus entstanden durch die Cyberkrise Kosten in Höhe von etwa einer Million Euro. Dies waren fast ausschließlich Honorarzahlungen an externe Berater und IR-Sicherheitsexperten. Nahezu alle verschobenen Operationen konnten nachgeholt werden, es ergaben sich keine Erlösausfälle. Im Gegenteil: Im Lukaskrankenhaus wurden im Februar und März 2016 mehr Patienten behandelt als im Jahr zuvor. Sicherlich kann dies auch als ein Hinweis auf das ungebrochene Vertrauen der Patienten in das Krankenhaus gewertet werden.

Ermittler bestätigen: Kein gezielter Angriff

Vom zweiten Tag an war das LKA mit den Beamten des sogenannten Cybercrime-Kompetenzzentrums NRW im Haus. „Keinen Kontakt aufnehmen, nicht zahlen!“, so die Vorgabe von LKA und BSI, die auch der Haltung der Geschäftsführung entsprach. Umfangreiche Ermittlungen schlossen sich an. In einer gemeinsamen Pressekonferenz berichteten die Staatsanwaltschaft Köln, die Zentralstelle für Cyberkriminalität, die Cybercrime-Spezialisten des LKA sowie das BSI über den „Fall Lukaskrankenhaus“. Zentrale Aussage: Dieser Cyberangriff war keine gezielte Attacke auf das Neus- ser Krankenhaus, da auch andere Häuser betroffen waren. Nach dem Täter oder der Tätergruppe wird weiter gefahndet. Das Lukaskrankenhaus hat vom ersten Tag an auf Transparenz gesetzt, die Öffentlichkeit informiert und fühlt sich auf diesem Weg bestätigt.

Zwar war im Zuge der Ermittlungen zwischen den einzelnen Hackerangriffen auf deutsche Krankenhäuser kein direkter Zusammenhang zu erkennen. Ein weiterer zeitgleicher Cyberangriff war aber sehr gut mit dem des Neusser Lukaskrankenhauses vergleichbar: der des Presbyterian Medical Centers in Hollywood. Anders als in Neuss, entschieden sich die amerikanischen Klinikverantwortlichen auf Anraten des FBI, das geforderte Lösegeld zu zahlen – unterschiedlichen Medienberichten zufolge drei Millionen oder 15.000 US-Dollar, umgerechnet in Bitcoins. Seit Mai folgt das FBI übrigens den deutschen Amtskollegen und rät nunmehr davon ab, Lösegeld zu zahlen.

Die Lukas-Mitarbeiter selbst fühlten sich in den Krisenwochen im Februar und März 2016 wie in einem Hollywood-Thriller, hätten aber gut darauf verzichten können, darin eine Hauptrolle zu spielen. Oscar-verdächtig war aber der Zusammenhalt innerhalb der Lukas-Familie. Einer ging für den anderen durchs Feuer, sodass ein Teamgeist entstand.

Klinik legte neue Sicherheitssysteme an

Betroffen waren im Lukaskrankenhaus über 800 Endgeräte, befallen waren auch Server und Datenspeicher. Nach wenigen Tagen war die Ransomware identifiziert und eine spezielle Antivirensoft- ware erstellt. Nach und nach fuhr das Krankenhaus die einzelnen Systeme und ihre Subsysteme wieder hoch: ein Prozess, der sich über Wochen erstreckte.

Das Lukaskrankenhaus nutzte den radikalen Neustart, um der IT eine teils neue Sicherheitsstruktur zu geben. Die Segmentierung der einzelnen Systeme wurde verstärkt, das Rechtesystem für die Kommunikation von einem Netz zum anderen differenzierter gestaltet. Ein Sandbox-Verfahren stellt zudem alle E-Mail-Anhänge zunächst in Quarantäne und leitet sie erst nach Überprüfung weiter. Die IT-Nutzer arbeiten nun auf einer Citrix-Ebene und sind verpflichtet, Passwörter nach konkreten Vorgaben zu erstellen und sie alle drei Monate zu ändern. Eine Awareness-Kampagne für die Mitarbeiter schloss sich an.

Das Lukaskrankenhaus ist auf die mit der Cyberattacke verbundenen Erpressungsversuche nicht eingegangen. Die Folgen des Angriffs waren zwar hart, doch der Weg, den das Krankenhaus beschritt, war der richtige: Weder wurden Patientendaten kompromittiert, noch kam ein Patient zu Schaden.

Die Städtischen Kliniken Neuss – Lukaskrankenhaus – GmbH ist ein Haus mit zwölf Fachabteilungen und 537 Betten. Ebenfalls zum Konzern gehören die Rheintor Klinik, eine Fachklinik für Orthopädie und Neurochirurgie, ein Medizinisches Versorgungszentrum (MVZ), das Herz-Jesu-Wohn- und Pflegeheim, neun Kindertagesstätten sowie eine Servicegesellschaft. Pro Jahr werden etwa 30.000 Patienten stationär und 90.000 ambulant behandelt. Der Umsatz beläuft sich auf rund 120 Millionen Euro. Von den 1.800 Mitarbeitern des Gesundheitskonzerns sind etwa 800 IT-Nutzer; ihnen stehen 800 Desktop-Rechner und etwa 500 Drucker zur Verfügung.

Autoren

Unsere Zeitschriften

f&w

Pflege und Krankenhausrecht

Empfehlung der Redaktion

Weitblick und Menschennähe: f&w gedenkt Michael Philippi mit Nachrufen des langjährigen Chefredakteurs Stefan Deges sowie des BDPK und öffnet das Archiv für Philippis Artikel aus der ersten f&w-Ausgabe aus dem Jahr 1984

Weitere Artikel dieser Ausgabe


Neueste Klinik-Personalie

Personalie

Kamp wechselt zur Euregio-Klinik Nordhorn

  • News des Tages

Der Geschäftsführer der Klinikum St. Georg GmbH, Michael Kamp, verlässt im kommenden Jahr die Niels-Stensen-Kliniken. ...


Kontakt zum Kundenservice

Rufen Sie an: 0 56 61 / 73 44-0
Mo - Fr 08:00 bis 17:00 Uhr

Senden Sie uns eine E-Mail:
info@bibliomedmanager.de

Häufige Fragen und Antworten finden Sie im Hilfe-Bereich