Uniklinikum Düsseldorf: Es war Ransomware, Staatsanwaltschaft ermittelt wegen Todesfolge

[English]Der Cyberangriff auf das Universitätsklinikum Düsseldorf (UKD) von letzter Woche stellt sich, wie von mir vermutet, als Ransomware-Angriff heraus. Die Klinik war wohl Zufallsopfer, nun ermittelt die Staatsanwaltschaft aber, da eine Patientin wegen des Angriffs auf das Klinikum verstarb. Ergänzung: Und es gibt erste Informationen über das Einfallstor – wohl die Shitrix-Schwachstelle in Citrix-Produkten von Ende 2019.


Anzeige

Der Cyberangriff auf das UKD

Im Blog-Beitrag Düsseldorfer Uniklinik: IT-Ausfall durch Cyberangriff? hatte ich am 10. September 2020 darüber berichtet, dass das IT-Netzwerk der Universitätsklinikum Düsseldorf (UKD) wegen eines Cyberangriffs außer Betrieb sei. Seit Donnerstag letzter Woche (10.9.) ist das IT-System des Universitätsklinikums Düsseldorf (UKD) weitreichend gestört. Das UKD hatte sich von der Notfallversorgung abgemeldet und ist das bis heute. Planbare und ambulante Behandlungen fanden ebenfalls nicht statt und wurden verschoben. In einem Update vom 14. September hieß es:

Update (14. September 2020, 10.00 Uhr): Der weitreichende IT-Ausfall im Universitätsklinikum Düsseldorf (UKD) hält weiterhin an +++ Die Telefonanschlüsse sind – bis auf einige wenige Außenstellen – erreichbar. Per Mail ist das Klinikum aktuell nicht erreichbar +++ Das UKD hat sich von der Notfallversorgung abgemeldet. +++ PatientInnen mit geplanten Behandlungsterminen werden gebeten, sich mit der jeweiligen Klinik oder Ambulanz in Verbindung zu setzen. Die Telefonverbindungen funktionieren wieder. +++ IT-Experten von intern und extern arbeiten unablässig an einer Behebung des Ausfalls.

Dieser Ausnahmezustand hält bis jetzt wohl an. Heise berichtet hier, dass das Uniklinikum aber langsam auf dem Weg in den Normalbetrieb sei.

Uniklinikum spricht weiter von einem Cyberangriff

Ich hatte aber auf Grund der Randbedingungen frühzeitig eine Infektion mit Ransomware vermutet. In einer Pressemitteilung vom 17. September bestätigte das Universitätsklinikum nach wie vor nur einen Cyberangriff, der über eine 'Sicherheitslücke in verbreiteter Software' erfolgte und einen Zugriff auf das IT-Netzwerk  ermöglichte. In einer Erklärung heißt es:

Hintergrund des Ausfalls ist nach diesen Analysen ein Hackerangriff, der eine Schwachstelle in einer Anwendung ausnutzte. Die Sicherheitslücke befand sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware. Bis zur endgültigen Schließung dieser Lücke durch die Softwarefirma war ein ausreichendes Zeitfenster gegeben, um in die Systeme einzudringen. Als Folge des damit ermöglichten Sabotageakts fielen nach und nach Systeme aus, Zugriffe auf gespeicherte Daten waren nicht mehr möglich.

Das ist natürlich eine absolute Nebelkerze – die Systeme wurden durch einen Verschlüsselungstrojaner befallen, der die Dateien verschlüsselte. Es ging nicht um Sabotage, sondern um Erpressung. Wer diesen Text interpretiert, dürfte zum Schluss kommen, dass die Schwachstelle in einem ungepatchten Softwarepaket (ich tippe auf Word/Office oder Outlook) bestand, so dass die Malware per Mail-Anhang heruntergeladen und ausgeführt werden konnte. Und die folgende Aussage:

Die IT-Experten konnten mittlerweile den genauen Umfang analysieren und den Zugang zu den Daten wiederherstellen. Bisher gibt es keine Anhaltspunkte dafür, dass Daten unwiederbringlich zerstört worden sind. Auch für das Abfischen von konkreten Daten gibt es nach heutigem Stand keine Belege. Eine konkrete Lösegeldforderung gab es nicht.

ist eine Verdummung der Leserschaft, ist aber ein Zitat aus der Pressemitteilung der UKD. Nachfolgend daher einige Hintergrundinformationen.

Ransomware-Infektion bestätigt

Im Landtag von Nordrhein-Westfalen wurde der 'Cyberangriff' auf das UKD am Donnerstag in einer aktuellen Stunde im Landtag, auf Grund des Antrags der AfD-Fraktion, thematisiert. Wissenschaftsministerin Isabel Pfeiffer-Poensgen (parteilos) bestätigte, dass der IT-Ausfall an der Uniklinik Düsseldorf ist auf einen Hackerangriff zurückzuführen sei. Das berichtet der WDR in diesem Beitrag. Blog-Leser wiesen in den Kommentaren hier bereits auf entsprechende Presseberichte (Express, FAZ)  hin.

Die Uniklinik Düsseldorf war aber wohl nur ein 'Zufallstreffer', denn auf einem der betroffenen Server sei ein an die Heinrich-Heine-Universität adressiertes Erpressungsschreiben gefunden worden. Pfeiffer-Poensgen sagte im Landtag, dass die Polizei Kontakt zu den Erpressern aufgenommen und erklärt habe, dass es sich bei den betroffenen Servern um Systeme eines Notfallkrankenhauses handele. Die Erpresser rückten dann den Schlüssel zum Entschlüsseln der Server heraus. Lässt vermuten, dass die Hintermänner der Ransomware-Attacke die Universität statt der Klinik treffen wollten, so die Ministerin.

Shitrix-Schwachstelle als Einfallstor

Ergänzung: In diesem Kommentar weist jemand auf die Citrix-Schwachstelle von Ende 2019/Anfang 2020 hin (siehe auch Cyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)? sowie meine Links am Artikelende, wo ich schon mit Dezember 2019 das Thema aufgegriffen habe). Und in diesem Kontext blieben einige gepatchte Citrix-ADC-Netscaler-Geräte mit einer Hintertür zurück, die durch eine vorherige Infektion implementiert wurde. Heise hat vor zwei Tagen im Beitrag Shitrix-Nachwehen: Citrix-Systeme mit unbemerkten Backdoors über diese Gefahr berichtet.


Anzeige

In einem Nachfolgebeitrag Cyber-Angriff auf Uniklinik Düsseldorf: #Shitrix schlug zu legt heise dann nach. Es sieht so aus, als ob der Cyber-Angriff auf die IT-Systeme der Universitätsklinik Düsseldorf über einen ungepatchten Citrix-VPN-Server über die Schwachstelle CVE-2019-19781 erfolgte.

Ergänzung: Das BSI weist in einer Pressemitteilung mit Nachdruck darauf hin, dass derzeit eine seit Dezember 2019 bekannte Schwachstelle (CVE-2019-19781) in VPN-Produkten der Firma Citrix für Cyber-Angriffe ausgenutzt wird. Golem hat es hier aufgegriffen – es wurde wohl versäumt, die Citrix-Systeme im Januar 2020 neu aufzusetzen, nachdem Details zu den Sicherheitslücken und ein Patch verfügbar waren. Und mir ist die Information zugegangen, dass wohl Sophos Endpoint Protection im Einsatz war.

An dieser Stelle platzt mir die Hutschnur, wenn ich dann das Geschwurbel in der Pressemitteilung der Uniklinik Düsseldorf lese, die von einem Hackerangriff faseln und weder Ross noch Reiter nennen. Denn damit wird IT-Verantwortlichen in anderen Einrichtungen und Firmen die Möglichkeit genommen, sich über die Einfalltore zu informieren. Letztendlich sind es Medien wie heise oder die Leserschaft, die mit Artikeln und Insider-Tipps für Aufklärung sorgen. Es ist unten in den Kommentaren verlinkt – FEFE benennt hier die Verantwortlichkeiten deutlich.

Staatsanwalt leitet Todesermittlungsverfahren ein

Presseberichte, die sich auf Angaben des NRW-Justizministeriums beziehen, berichten, dass die Staatsanwaltschaft Wuppertal ein Todesermittlungsverfahren gegen Unbekannt eingeleitet habe. Der Hintergrund: Eine lebensbedrohlich erkrankte Patientin (Riss der Aorta), die in der Nacht vom 11. auf den 12. September in die Uni-Klinik gebracht werden sollte, musste an ein Krankenhaus in Wuppertal verwiesen werden. Da die Behandlung erst mit einstündiger Verspätung stattfinden konnte, verstarb die Frau kurze Zeit später. Bei einem solchen Sachverhalt leitet die zuständige Staatsanwaltschaft immer ein Ermittlungsverfahren ein. Ob das aber zu einem Ergebnis führt, steht auf einem anderen Blatt.

Der WDR berichtet noch, dass die CDU/FDP-Landesregierung künftig mehr Geld für die Sicherheit der Computersysteme bereitstellen will. Das Antragsverfahren sei allerdings noch nicht angelaufen. Die Landesregierung stelle seit 2018 für jede Uniklinik zwei Millionen Euro für die IT-Sicherheit bereit, so die Ministerin. "Das ist in der Tat zu wenig, daran werden wir arbeiten."

Ähnliche Artikel:
Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke
Sicherheitsinformationen (3.1.2020)
Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler
Exploit für Citrix ADC/Netscaler-Schwachstelle CVE-2019-19781
Patches für Citrix ADC/Netscaler 11.1/12.0 verfügbar (19.1.2020)
Citrix Schwachstelle: Neue Updates und Scanner für Tests
Ragnarok Ransomware zielt auf Citrix ADC, stoppt Defender

Ransomware-Befall beim Automobilzulieferer Gedia
Cyber-Angriffe: Stadt Brandenburg und Gemeinde Stahnsdorf offline
Cyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?
Sicherheit: Amazon, Google, Microsoft und CVE-2019-19781


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Uniklinikum Düsseldorf: Es war Ransomware, Staatsanwaltschaft ermittelt wegen Todesfolge

  1. Gerold sagt:

    In diversen Medien wird ein Produkt von Citrix genannt:

    "Die ZAC-Experten haben mit der Uni-Klinik derweil die Sicherheitslücke schon rekonstruiert: Sie steckte in einer handelsüblichen und weltweit verbreiteten Software, die in vielen Unternehmen zum Einsatz kommt. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) handelte es sich um ein Programm der Firma Citrix. Eine seit Januar bekannte Schwachstelle in VPN-Produkten der Firma werde für Cyber-Angriffe ausgenutzt."

    https://www.bz-berlin.de/deutschland/reumuetige-hacker-und-ein-todesfall-cyber-krimi-um-uni-klinik-duesseldorf

  2. Paul sagt:

    "Lässt vermuten, dass die Hintermänner der Ransomware-Attacke die Universität statt der Klinik treffen wollten,"
    Mir läuft es gerade kalt den Rücken herunter, dass eine große Anzahl unserer Krankhäuser u.U. von der Gnade und Moral(!) von Cyberkriminellen abhängt.
    M.W. werden die Opfer wochenlang manuell/per KI durchleuchtet. Der tatsächliche Angriff kann Monate nach dem Einbruch, vollautomatisiert, sogar nach dem Patchen der Lücke und Abklemmen vom externen Netz, erfolgen. (Evtl. getriggert durch den Kontakt-Verlust.)

    Wer hat so etwas wie Tripwire auf seinen Windows-Mähren laufen? Geht das überhaupt bei "Windows as a Service" oder ist das "Flöhe hüten"?
    Bietet MS da 'was an?

  3. Thor sagt:

    Mal eine etwas andere Sichtweise dazu…
    https://blog.fefe.de/?ts=a19dfb18

    Und heise.de zu Shitrix…
    https://heise.de/-4901590

    • Lukas sagt:

      Interessanter Kommentar im 1. Link. Sehe das Ähnlich, doch bestehen für mich noch zu viele Unklarheiten. Eine wirkliche Meinung wird man sich nur Bilden können, wenn man genau weiß was wirklich Sache war.

  4. Meinrad sagt:

    Ich hoffe die Ermittlungen richten sich auch gegen die IT-Verantwortlichen der Klinik. Monatelang ungepatchte Systeme am Netz zu haben ist grob fahrlässig, besonders bei einer Klinik. Jetzt wird natürlich wieder so getan, als seien solche "Angriffe" wie Naturkatastrophen. Kann man nichts machen, passiert halt.

    • Günter Born sagt:

      Ich habe im Text eine Ergänzung eingepflegt. Wie es sich mir momentan darstellt, hat man möglicherweise die Citrix-Schwachstelle zwar gepatcht. Aber eine bereits vorher eingerichtet Backdoor wurde übersehen und diente als Einfallstor. Was mich an der Geschichte ärgert: Es wird in den Presseverlautbarungen der UKD geschwurbelt und mit Nebelkerzen geworfen – ohne die Verantwortlichen und technischen Sachverhalte zu benennen.

    • GPBurth sagt:

      In gewisser Weise ist das "victim blaming". Auch wenn ich meine Haustür nicht abschließe gibt das niemandem das Recht, einzudringen. Dieser kann evtl. später geringer bestraft werden, weil die Hürde so niedrig war, oder ich bekomme gestohlene/zerstörte Gegenstände nicht von der Versicherung ersetzt – strafrechtlich ist die offene Haustür aber *für mich* meines Wissens nicht relevant. Im Internet soll das aber auf einmal gelten.

      • Meinrad sagt:

        @GPBurth: So meinte ich es nicht. Der Angriff ist ganz klar zu verurteilen und die Täter sind zu bestrafen. Aber die IT-Verantwortlichen müssen für einen angemessenen Schutz ihrer Systeme besorgt sein. Das waren sie allem Anschein an nicht. Wobei eine Untersuchung zeigen würde, ob das die Schuld der IT-Verantwortlichen war, oder ob das Budget zu klein war etc.

        • Günter Born sagt:

          Das Krankenhaus gehört zur KRITIS-Struktur und war besonders zu schützen. Kann nicht alles offen legen (NDA bzw. off the record Infos) und kenne diverse Details nicht. Aber es könnte die typische Konstellation 'what interessiert mich Sicherheit, wird vergeben …' in Kombination mit Sub-Unternehmen als Dienstleister gewesen sein.

          • DWE sagt:

            Das wäre möglich Günter, aber zur KRITIS gehört auch ein Notfallplan, der ebenfalls für den Klinikbereich gilt.
            Wenn man keine Notfallversorgung machen kann, weil IT-Systeme nicht funktionieren, stimmt m.E. nach grundlegend etwas an den Prozessen nicht.
            Ich würde soweit gehen und behaupten, dass die meisten Angriffe auf Kliniken vermeidbar gewesen wären, wenn man dort vernünftig in die IT-Sicherheit investiert hätte.
            Stattdessen zeigt man lieber mit dem Finger auf die augenscheinlichen "Fehlerquellen".
            Der User hat den Link angeklickt, die IT hat nicht / zu spät gepatcht, das Personal ist nicht qualifiziert genug usw..
            Geld gibt es erst, wenn es geknallt hat und ich befürchte, es reicht noch nicht mal ein Todesfall um die Finanzverantwortlichen zum Umdenken zu bewegen.

      • mw sagt:

        Klar ist Computersabotage nicht zu entschuldigen. Aber es gibt auch eine allgemeine Verkehrssicherungspflicht und die greift m. M. n. dann, wenn ich meine Systeme mit öffentlichen Netzen verbinde. So wie ich mein KFz auch gegen unbefugtes Benutzen zu sichern habe, gilt das auch für IT Systeme, besonders dann, wenn eine kritische Infrastruktur wie ein Krankenhaus daran hängt. Ich bin der meinung, den IT und Gesamtverantwortlichen des Klinikums kommt ein Verantwortung zu, die sie in jämmerlichem versagen nicht wahrgenommen haben.

  5. DavidXanatos sagt:

    Ich will solche angriffe nicht verharmlosen, aber:
    man darf System kritische Infrastruktur nicht so aufbauen das ein Angreifer (zumindest keiner der nicht ein mit hohen Berechtigungen versehener Insider ist) diese beschädigen kann. PUNKT!

    Riss der Aorta, was braucht man da 1. Chirurg, 1. Anestesist, 1-2 Schwestern, ein paar Skalpelle, Adernklemmen und so, ein ECG gerät so ein Narkose apparillo und licht.
    Was davon kan ein IT Angreifer beschädigen?

    Hier müssen imho köpfe rollen ein Krankenhaus muss auch ganz ohne IT in der Lage sein akute fälle zu behandeln, basta!

Schreibe einen Kommentar zu Meinrad Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.