https://www.spiegel.de/netzwelt/web/duesseldorf-spur-der-uni-klinik-hacker-soll-nach-russland-fuehren-a-a0430786-251e-4cba-af9c-a7599f14f5e8
22. September 2020
Nachdem die Düsseldorfer Uniklinik gehackt wurde, ist
eine Notfallpatientin, die verlegt werden mußte, verstorben. Die eingesetzte
Schadsoftware könnte nun Hinweise geben, wer hinter dem Vorfall steckt.
Nach dem Hack der Düsseldorfer Uniklinik führt eine
mögliche Spur der Täter laut dem nordrhein-westfälischen Justizministerium nach
Rußland. Denn bei der eingesetzten Schadsoftware habe es sich um DoppelPaymer
gehandelt.
Das ist ein sogenannter Verschlüsselungstrojaner
(Ransomware), der von einer Hackergruppe eingesetzt wird, die nach Einschätzung
privater Sicherheitsunternehmen in der Russischen Föderation beheimatet sein
soll. Das teilte das Ministerium von Nordrhein-Westfalen am Dienstag in einem
Bericht an den Rechtsausschuß mit.
Durch den Hack kam es an der Klinik zu einem IT-Ausfall,
weswegen eine Notfallpatientin umgeleitet werden mußte. Die Frau verstarb kurze
Zeit später.
Ermittlungen zu den Hintermännern sind kompliziert
Wer für Angriffe mit Verschlüsselungstrojanern
verantwortlich ist, ist auch für IT-Experten nur schwer zu ermitteln -
geschweige denn sicher zu beweisen. Bis heute ist beispielsweise unbekannt,
welche Hacker hinter dem
Trojaner Emotet stecken, über den viele der Verschlüsselungsattacken
ablaufen.
IT-Experten gehen davon aus, daß die Hacker dem
organisierten Verbrechen zugerechnet werden können. Es gibt außerdem
verschiedene Hinweise, daß die Gruppen hinter den Verschlüsselungsangriffen aus
Rußland operieren. Zum Beispiel werden auffällig selten russische
Organisationen und Unternehmen von der Schadsoftware befallen. (Lesen Sie hier mehr
über die Jagd gegen die Verschlüsselungs-Hacker)
Mit der Schadsoftware DoppelPaymer wurden in den
vergangenen Monaten bereits verschiedene Organisationen und Unternehmen
weltweit angegriffen. Experten der IT-Sicherheitsfirma Crowdstrike gehen beispielsweise
davon aus, daß DoppelPaymer auch für Angriffe auf das
chilenische Landwirtschaftsministerium und auf die Verwaltung der texanischen
Stadt Edcouch verantwortlich sein soll.
Cybercrime-Stelle in Köln ermittelt
Bei dem Hack der Düsseldorfer Uniklinik waren vor zwei
Wochen 30 Server der Uniklinik verschlüsselt worden. Eigentlich wollten die
Erpresser offenbar die Düsseldorfer Universität attackieren. Als die Polizei
den Hackern ihren mutmaßlichen Fehler mitteilte, schickten die einen digitalen
Schlüssel, mit dem die Uniklinik die Daten wieder entschlüsseln konnte. Die IT
der Uniklinik ist aber weiterhin nicht voll einsatzbereit.
Am Freitag hat die Zentral- und Ansprechstelle Cybercrime
in Köln die Ermittlungen in dem Fall übernommen. Ermittelt wird wegen
"fahrlässiger Tötung", da es einen Anfangsverdacht gibt, daß die
unbekannten Täter für den Tod der Patientin verantwortlich sind. Die Ermittlungen
dauern an.
hpp/dpa