Der 1. September 2024: Plötzlich geht in den Wertachkliniken in Bobingen und Schwabmünchen nichts mehr: Die IT-Systeme sind blockiert, Operationen müssen abgesagt werden, alles läuft nur noch analog – auf Papier. "Der IT Rufdienst hat gleich festgestellt, dass das was Schwerwiegenderes ist. Auch die Leitungen sind dann gleich gekappt worden, um den Schaden eingrenzen zu können", erklärt Martin Gösele, der Vorstand der Wertachkliniken.

Zum Artikel: Warum Hacker auf die Gesundheitsbranche zielen

Krankenhaus mit Schadsoftware attackiert

Die Wertachkliniken wurden Opfer einer sogenannten Ransomware-Attacke. Dabei werden die IT-Systeme unbrauchbar gemacht. Außerdem wird mit der Veröffentlichung der Daten gedroht, wenn nicht ein Lösegeld gezahlt wird. Ob das in diesem Fall passiert ist, lassen die Kliniken offen.

300 Gigabite an sensiblen Daten im Darknet

Fakt ist: Daten im erheblichen Umfang wurden im Darknet veröffentlicht. Ganz konkret: 300 Gigabyte! Bankdaten, Patientenakten, Adressen: "Es gibt eine abstrakte Gefahr, dass diese Daten gefunden und auch zu kriminellen Zwecken genutzt werden. Aber für jedermann ist es sicherlich alles andere als leicht, an diese Daten heranzukommen", sagt Thomas Goger, der Pressesprecher der Generalstaatsanwaltschaft Bamberg, die die Ermittlungen bei den Wertachkliniken übernommen haben.

Hunderte Besorgte melden sich nach Cyber-Angriff

Hunderte Menschen aus dem Landkreis Augsburg und darüber hinaus fürchten nun um ihre Daten. Um die möglicherweise Betroffenen kümmert sich eine unabhängige Ombudsstelle, die BKP Compliant. Insgesamt haben sich schon gut 400 Menschen über Hotline und Anfrageportal gemeldet.

"Wir sind ein bisschen die Seelentröster. Es rufen täglich viele an und fragen nach, ob ihre Daten betroffen sind und welche Daten betroffen sind", berichtet Geschäftsführer Stefan Kühleis. Wer betroffen ist, solle laut Kühleis besonders aufmerksam sein und auf ungewöhnliche Aktivitäten achten und verdächtige Vorgänge sofort melden.

Daten aus dem Darknet entfernen? Schwierig

Eine kriminelle Nutzung der gestohlenen Daten ist der Generalstaatsanwaltschaft bislang nicht bekannt. Sie aus dem Darknet zu entfernen, sei alles andere als einfach, sagt Thomas Goger von der Generalstaatsanwaltschaft Bamberg.

Es sei ausgesprochen schwierig und in den allermeisten Fällen sogar unmöglich, überhaupt technisch herauszufinden, wo denn der konkrete Server liegt, auf dem die Daten sich befinden. "Und das müsste ich ja wissen, um dann zum Beispiel einen Server beschlagnahmen und abschalten zu können", sagt Goger. "Also leider ist es so, dass unsere technischen Ermittlungsmöglichkeiten bei solchen Veröffentlichungen im Darknet relativ begrenzt sind."

Aber manchmal gelingt es doch, den Tätern das Handwerk zu legen, wie zum Beispiel im Mai 2024. Beim bislang größter Schlag gegen weltweite Cyberkriminalität wurden insgesamt mehr als 100 Server beschlagnahmt und 1.300 Domains außer Betrieb gesetzt worden.

Großer Schaden, aber auch eine Chance

Die Wertachkliniken sind nur eine von vielen Firmen und Einrichtungen, die jedes Jahr getroffen werden. Dort hat man im Vorfeld einiges unternommen, um das Risiko zu minimieren. Aber 100-prozentige Sicherheit gibt es nicht.

Ein Schlupfloch haben die Täter im September gefunden. Inzwischen laufen fast alle Systeme wieder. Bis alles aber wieder up to date ist, wird es noch einige Zeit dauern, erklärt Martin Gösele, der Vorstand der Wertachkliniken: "Jedes einzelne Gerät wurde gescreent, ob es clean ist, es wurden zusätzliche Sicherheitsmechanismen eingebaut." Zudem seien Schulungen geplant, um die Mitarbeitenden für das Thema Cybersicherheit zu sensibilisieren. Das Fazit des Klinikvorstands: "Alle haben in der Situation gut zusammen gearbeitet und toll reagiert. Und: Wir haben dazu gelernt."