Tod nach Systemausfall Spur der Uniklinik-Hacker soll nach Russland führen

Nachdem die Düsseldorfer Uniklinik gehackt wurde, ist eine Notfallpatientin, die verlegt werden musste, verstorben. Die eingesetzte Schadsoftware könnte nun Hinweise geben, wer hinter dem Vorfall steckt.
Haupteingang der Düsseldorfer Uniklink, die von der Schadsoftware DoppelPaymer lahmgelegt wurde

Haupteingang der Düsseldorfer Uniklink, die von der Schadsoftware DoppelPaymer lahmgelegt wurde

Foto: Roland Weihrauch / dpa

Nach dem Hack der Düsseldorfer Uniklinik führt eine mögliche Spur der Täter laut dem nordrhein-westfälischen Justizministerium nach Russland. Denn bei der eingesetzten Schadsoftware habe es sich um DoppelPaymer gehandelt.

Das ist ein sogenannter Verschlüsselungstrojaner (Ransomware), der von einer Hackergruppe eingesetzt wird, die nach Einschätzung privater Sicherheitsunternehmen in der Russischen Föderation beheimatet sein soll. Das teilte das Ministerium von Nordrhein-Westfalen am Dienstag in einem Bericht an den Rechtsausschuss mit.

Durch den Hack kam es an der Klinik zu einem IT-Ausfall, wegen dem eine Notfallpatientin in ein anderes, weiter entferntes Krankenhaus nach Düsseldorf gebracht wurde. Die Frau verstarb kurze Zeit später.

Ermittlungen zu den Hintermännern sind kompliziert

Wer für Angriffe mit Verschlüsselungstrojanern verantwortlich ist, ist auch für IT-Experten nur schwer zu ermitteln - geschweige denn sicher zu beweisen. Bis heute ist beispielsweise unbekannt, welche Hacker hinter dem Trojaner Emotet stecken, über den viele der Verschlüsselungsattacken ablaufen.

IT-Experten gehen davon aus, dass die Hacker dem organisierten Verbrechen zugerechnet werden können. Es gibt außerdem verschiedene Hinweise, dass die Gruppen hinter den Verschlüsselungsangriffen aus Russland operieren. Zum Beispiel werden auffällig selten russische Organisationen und Unternehmen von der Schadsoftware befallen. (Lesen Sie hier mehr über die Jagd gegen die Verschlüsselungs-Hacker)

Mit der Schadsoftware DoppelPaymer wurden in den vergangenen Monaten bereits verschiedene Organisationen und Unternehmen weltweit angegriffen. Experten der IT-Sicherheitsfirma Crowdstrike gehen beispielsweise davon aus , dass DoppelPaymer auch für Angriffe auf das chilenische Landwirtschaftsministerium und auf die Verwaltung der texanischen Stadt Edcouch verantwortlich sein soll.

Cybercrime-Stelle in Köln ermittelt

Bei dem Hack der Düsseldorfer Uniklinik waren vor zwei Wochen 30 Server der Uniklinik verschlüsselt worden. Eigentlich wollten die Erpresser offenbar die Düsseldorfer Universität attackieren. Als die Polizei den Hackern ihren mutmaßlichen Fehler mitteilte, schickten die einen digitalen Schlüssel, mit dem die Uniklinik die Daten wieder entschlüsseln konnte. Die IT der Uniklinik ist aber weiterhin nicht voll einsatzbereit.

Am Freitag hat die Zentral- und Ansprechstelle Cybercrime in Köln die Ermittlungen in dem Fall übernommen. Ermittelt wird wegen "fahrlässiger Tötung", da es einen Anfangsverdacht gibt, dass die unbekannten Täter für den Tod der Patientin verantwortlich sind. Die Ermittlungen dauern an.

hpp/dpa
Die Wiedergabe wurde unterbrochen.