Die Universitätsklinik Düsseldorf ist seit knapp zwei Wochen von der Notfallversorgung abgemeldet und nimmt keine neuen Patienten bzw. Patientinnen mehr auf. Grund dafür ist der weitgehende Ausfall der IT-Infrastruktur nach einem Ransomware-Angriff. Nun ist eine Patientin aufgrund der Nichterreichbarkeit der Klinik gestorben, was die Schwachstellen der IT-Abhängigkeit des medizinischen Sektors illustriert.
Fahrlässige Tötung durch Cyberangriff
Die verstorbene Patientin konnte trotz lebensbedrohlicher Symptome vom Rettungswagen nicht in die nahegelegene Universitätsklinik in Düsseldorf gebracht werden. Diese ist nach dem Angriff auf das IT-System kaum arbeitsfähig und nimmt aus diesem Grund auch in Notfällen keine neuen Patientinnen oder Patienten auf. Der Rettungswagen machte sich aus diesem Grund auf den Weg ins etwa 30 Kilometer entfernte Wuppertal. Die zusätzliche Fahrzeit von rund 30 Minuten war letztlich wohl entscheidend: Die Frau konnte nicht mehr rechtzeitig adäquat versorgt werden und verstarb direkt nach der Ankunft in der Wuppertaler Klinik. Die zuständige Staatsanwaltschaft hat aufgrund des Todesfalls nun ein Ermittlungsverfahren wegen fahrlässiger Tötung angestrengt.
Der Fall offenbart die erheblichen Probleme, die die IT-Abhängigkeit moderner Krankenhäuser mit sich bringt. Ein vergleichsweise einfacher Angriff, der auf die Verschlüsselung von zentralen Servern abzielte, lähmt die Klinik derart, dass sie über Wochen hinweg nicht in der Lage ist, ihrem Versorgungsauftrag nachzukommen. Bei der betroffenen Software, die die Hacker*innen nutzten, um in das System einzudringen, handelt es sich um eine verbreitete Zusatzsoftware, die von zahlreichen Kliniken genutzt wird.
Uniklinik war wohl nicht das ursprüngliche Ziel des Angriffs
Ziel des Angriffs sollte indes allem Anschein nach nicht die Universitätsklinik, sondern die Heinrich-Heine-Universität sein – es handelte sich also wohl nicht um einen gezielten Angriff auf die Klinik, sondern um ein Versehen. Nach Kontakt mit der Polizei, die darüber informierte, dass die Klinik und damit Menschenleben betroffen seien, ließen die Erpresser*innen ihre Forderung fallen und gaben den Code zur Entschlüsselung der Server heraus. Mittlerweile besteht der Kontakt laut Polizei nicht mehr.
Es bleibt abzuwarten, welche Konsequenzen der Fall für die sicherheitstechnische Aufstellung von Krankenhäusern haben wird.