Der Hackerangriff auf die Düsseldorfer Uniklinik könnte von Russland aus erfolgt sein. Dies teilte das nordrhein-westfälische Justizministerium in einem Bericht an den Rechtsausschuss des Landtags mit. Demnach sollen die Angreifer die Schadsoftware DoppelPaymer benutzt haben – eine Software also, die von einer Gruppe aus Russland bereits weltweit gegen Unternehmen und Institutionen eingesetzt worden sein soll. 

Zunächst haben die Hackerinnen und Hacker dem Bericht zufolge einen sogenannten Loader zum Nachladen des eigentlichen Schadprogramms ins System der Uni-Klinik eingeschmuggelt. Offen blieb in dem Bericht, zu welchem Zeitpunkt das geschah.

Nach Angaben der Klinik hatten die Hacker eine Schwachstelle in einer Anwendung ausgenutzt. "Die Sicherheitslücke befand sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware. Bis zur endgültigen Schließung dieser Lücke durch die Softwarefirma war ein ausreichendes Zeitfenster gegeben, um in die Systeme einzudringen", teilte die Klinik mit. 

Angriff war offenbar vorbereitet

Offenbar befand sich der Loader da aber bereits auf einem Server der Uniklinik. Der eigentliche Angriff durch die nachgeladene Verschlüsselungssoftware passierte erst in der Nacht vom 10. auf den 11. September. Bei dem Hackerangriff vor zwei Wochen waren 30 Server der Uniklinik verschlüsselt worden. Das eigentliche Ziel der Attacke war aber offenbar die Düsseldorfer Heinrich-Heine-Universität: Auf einem Server wurde ein Erpresserschreiben an die Hochschule hinterlassen. Darin forderten die Erpresser zur Kontaktaufnahme auf – eine konkrete Summe nannten sie laut Bericht nicht. 

Die Düsseldorfer Polizei habe dann tatsächlich Kontakt aufgenommen und den Tätern mitgeteilt, dass durch ihren Hackerangriff ein Krankenhaus – und nicht die Uni – betroffen sei, hieß es. Damit seien Patienten erheblich gefährdet. Die Täter hätten daraufhin die Erpressung zurückgezogen und einen digitalen Schlüssel ausgehändigt, mit dem die Daten wieder entschlüsselt werden können.

Die Ermittler haben laut Bericht daher den Verdacht, dass das Uniklinikum nur zufällig betroffen war. Inzwischen seien die Täter nicht mehr erreichbar. Seit dem Angriff ist die IT der Uniklinik nicht voll einsatzbereit. Die Klinik rechnet nach Angaben eines Sprechers damit, dass die Zentrale Notaufnahme diese Woche eventuell ihren Dienst wieder aufnehmen kann. Noch seien aber nicht alle entsprechenden Systeme wieder hochgefahren. Daten wurden nach bisherigen Erkenntnissen aber nicht gestohlen oder unwiederbringlich gelöscht.

Ermittler gehen von weltweiter Malware-Kampagne aus

Die Ermittlerinnen und Ermittler vermuten laut dem Bericht an den Landtag, dass die Uniklinik Teil einer "weltweiten kommerziellen Malware-Kampagne" geworden sein könnte. Weitere Details nannte ein Sprecher der zuständigen Staatsanwaltschaft bei der Zentrale- und Ansprechstelle Cybercrime (ZAC) allerdings nicht. Laut einer Statistik der US-amerikanischen Temple University liegt die Frequenz der Attacken mit Erpresser-Software dieses Jahr auf dem Höchststand seit 2013. Dabei gezählt wurden allerdings nur die öffentlich bekannten Hackerangriffe. Ermittler gehen von einer hohen Dunkelziffer aus, wenn zum Beispiel Unternehmen auf genannte Forderungen eingehen.

Inzwischen hat die Staatsanwaltschaft Wuppertal auch ein Todesermittlungsverfahren eingeleitet. Dabei geht es laut des Berichts aus dem Landesjustizministerium um eine lebensbedrohlich erkrankte Patientin, die in der Nacht vom 11. auf den 12. September eingeliefert werden sollte, dann aber an das weiter entfernte Krankenhaus in Wuppertal verwiesen werden musste. Dadurch konnte ihre Behandlung erst mit einstündiger Verspätung stattfinden. Sie starb kurze Zeit später.

Ein Sprecher der Düsseldorfer Uniklinik sagte, dass sein Haus zu diesem Zeitpunkt bereits von der Notfallversorgung abgemeldet gewesen sei. Rettungswagen hätten die Klinik nicht mehr angefahren. Was genau in der Nacht passierte, blieb zunächst unklar. Die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC) prüft laut dem Bericht an den Landtag noch, ob sie die Ermittlungen übernimmt – und das Verfahren gegebenenfalls um den Vorwurf der fahrlässigen Tötung erweitert wird.