Die Urologische Klinik München Planegg (UKMP) wurde Opfer einer Cyber-Attacke erpresst – Lösegeldzahlungen gab es wohl nicht. Allerdings bekamen die Hacker durch den Angriff offenbar Einblicke in sensible Patienten-Unterlagen.
Die Klinik und ihre Patienten sind erst vor Kurzem Opfer eines Hackerangriffs geworden. Dies geht aus einem Informationsschreiben hervor, das die Klinik im Februar an ihre Patientinnen und Patienten verschickte. Die DSGVO (Datenschutz-Grundverordnung) verpflichtet Institutionen zur Meldung bei Bekanntwerden eines solchen Vorfalls.
Die Cyber-Attacke innerhalb der IT-Infrastruktur der Klinik selbst ereignete sich Mitte Januar. Die Generalstaatsanwaltschaft Bamberg bestätigte den Fall. Die Übernahme des Falls durch die Behörde zeigt, wie brisant der Fall ist. Die in Bamberg angesiedelte Zentralstelle Cybercrime Bayern (ZCB) kümmert sich eigentlich nur um „herausgehobene“ Fälle der Kriminalität im Netz.
Die Erpresser haben die Klinik angegriffen und möglicherweise sind auch weitere Institutionen betroffen. Die Bamberger Generalstaatsanwaltschaft wollte sich dazu unter Verweis auf die laufenden Ermittlungen nicht im Detail äußern. „Das Ermittlungsverfahren richtet sich derzeit gegen Unbekannt wegen des Verdachts der versuchten Erpressung“, bestätigt der Oberstaatsanwalt.
Ransomware am Werk
Die Internet-Kriminellen setzten sogenannte „Ransomware“ ein – also Schadprogramme, welche Dateien verschlüsseln und für die Nutzer unzugänglich machen. Die angegriffene Firma oder Institution wird dann aufgefordert ein Lösegeld zu zahlen – meist in Form der Kryptowährung Bitcoin oder auch anderer anonymer/pseudonymer Zahlungsmittel. Im Anschluss würden die Daten wieder freigegeben werden – zumindest in der Theorie.
„Einige IT-Systeme unserer Klinik wurden verschlüsselt und Forderungen an uns gestellt“, liest man im Schreiben der UKMP an die Patienten. Wie hoch die Forderungen waren bzw. sind, ist noch unbekannt. Nicht klar ist allerdings, ob der Angriff Auswirkungen auf die Klinik-Prozesse hatte. Nachdem Hacker im September 30 Server der Düsseldorfer Universitätsklinik lahmgelegt hatten, war sogar eine Patientin ums Leben gekommen.
Die Klinikleitung erklärt ihren Patienten, dass sie „noch am Tag des Angriffs“ die Staatsanwaltschaft eingeschaltet habe. Auch sei das Bayerische Landesamt für Datenschutzaufsicht informiert worden. Ein spezialisiertes IT-Sicherheitsunternehmen wurde beauftragt, den Angriff zu analysieren. „Unsere Systeme wurden komplett gesäubert und neu installiert.“, heißt es außerdem in dem Schreiben.
Die bislang unbekannten Hacker bekamen durch ihren Angriff offenbar Einblicke in sensible Patienten-Unterlagen. Man müsse davon ausgehen, dass medizinische und personenbezogene Daten eingesehen werden konnten, schreiben die beiden Chefärzte der Klinik. Artikel 34 der DSGVO (Datenschutz-Grundverordnung) schreibt eine derartige Information vor, wenn „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ besteht.
Wann der Hacker-Angriff erfolgte, geht aus dem Schreiben nicht hervor. Generell aber schlagen Cyber-Kriminelle häufig an Wochenenden oder kurz vorm Wochenende zu.
Immer mehr Krankenhäuser sind Ziel von Hacker-Angriffen
Die Klinik und die von ihr beauftragte Firma, ein Dienstleister für IT-Sicherheit in Oberhaching, gehen derzeit davon aus, dass der Angriff der UKMP selbst galt. Doch die Chefs der Klinik warnen ihre Patienten: „Es lässt sich allerdings nicht ausschließen, dass die Täter sich auch gegen einzelne betroffene Personen wenden. Im schlimmsten Fall könnten Sie unserer Einschätzung nach mit einem Erpressungsversuch konfrontiert werden.“
Auch wenn bis heute nicht bekannt ist, ob weitere Kliniken oder Einrichtungen von der jüngsten Internet-Erpressung betroffen sind – die UKMP ist jedenfalls nicht alleine wenn es um Cyber-Attacken geht. Im Gegenteil: Nach Angaben der Bundesregierung stieg die Zahl der Hackerangriffe auf Krankenhäuser vom Jahr 2018 bis zum Jahr 2020 um über 400% verglichen mit 2018 – Tendenz steigend.
Täter fordern dabei oft clever kalkulierte Summen, bei denen die Klinikleitungen lieber bezahlen, statt einen geregelten Klinikbetrieb und vielleicht sogar das Leben von Patienten zu gefährden. Die Universitätsklinik Düsseldorf konnte die Hacker im vorigen Herbst auf 300.000 Euro „herunterhandeln“. Selbst G4C, das deutsche Kompetenzzentrum gegen Cybercrime, welches prinzipiell von Lösegeldzahlungen abrät, muss einräumen: „Steht ein Unternehmen oder Institution dann vor der Wahl, den Geschäftsbetrieb einzustellen oder Lösegeld zu zahlen, kann im Einzelfall eine Zahlung in Betracht gezogen werden.“
Quellen:
https://www.kma-online.de/aktuelles/klinik-news/detail/erpressung-urologischer-klinik-muenchen-planegg-nach-cyber-attacke-a-44994
https://www.sueddeutsche.de/muenchen/muenchenplanegg-urologische-klinik-hacker-erpressung-1.5205549
https://www.databreaches.net/hacker-attack-on-the-urological-clinic-munich-planegg/