Düsseldorf. Unbekannte haben Server der Uniklinik Düsseldorf lahmgelegt. Darüber berichteten mehrere Zeitungen. Nach Recherchen von Business Insider sei NRW-Gesundheitsminister Karl-Josef Laumann im Oktober 2019 vor einer solchen Situation gewarnt worden. Eine Bundesbehörde habe zu mehr Investitionen in IT-Sicherheit gemahnt, worauf der Minister aber nicht reagiert habe.
Der Angriff ist nachts erfolgt mit der Folge, dass mussten Hunderte Behandlungen und Operationen verschoben werden mussten. Eine Patientin sei verstorben, nachdem sie an ein entferntes Krankenhaus in Wuppertal verwiesen worden sei.
Laut Golem.de hat es sich um einen Ransomware-Angriff gehandelt, der über die "Shitrix" genannte Lücke in Citrix-Geräten erfolgte. Die Lücke wurde im Dezember 2019 bekannt, im Januar sei es zu massenhaften Angriffen gekommen. Die Angreifer sollen dabei wohl eine Hintertür platziert haben, durch die sie auch nach einem Update Zugriff auf die kompromittierten Geräte erhielten.
Dass der Angriff mit der Citrix-Lücke zu tun hat, geht aus einer Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor: "Dem BSI werden zunehmend Vorfälle bekannt, bei denen Citrix-Systeme bereits vor der Installation der im Januar 2020 bereitgestellten Sicherheitsupdates kompromittiert wurden. Dadurch haben Angreifer auch nach Schließung der Sicherheitslücke weiterhin Zugriff auf das System und dahinter liegende Netzwerke."
Citrix hatte vor der Lücke zwar schon Mitte Dezember 2019 gewarnt, aber für mehrere Wochen kein Update bereitgestellt. Die Angriffe hätten aber durch eine Konfigurationsänderung verhindert werden können.
Wie aus der BSI-Meldung hervorgeht, haben viele Firmen und Institutionen dann Gegenmaßnahmen umgesetzt oder den Patch, der erst Ende Januar verfügbar war, installiert. Allerdings hätten sie die betroffenen Systeme, die zu diesem Zeitpunkt bereits von Angreifern kontrolliert wurden, nicht neu installiert. Das sei wohl auch in der Uniklinik Düsseldorf passiert.
Inzwischen ermittelt Zeitungsberichten zufolge die Staatsanwaltschaft wegen fahrlässiger Tötung gegen Unbekannt.
