Als am Morgen des 19. Oktober 2023 Mitarbeiter der Deegenbergklinik feststellen, dass mit dem IT-System etwas nicht stimmt, trennt die interne IT-Abteilung das Netzwerk der Klink von der Außenwelt ab und ruft die Polizei. Kurz darauf wird das gesamte Klinik-System heruntergefahren und ein Notfallplan eingeleitet. Um 16 Uhr am gleichen Tag sitzen Kriminalpolizei Schweinfurt und IT-Sicherheitsfirmen an einem Tisch und besprechen die Lage. Die integrierte Leitstelle der Feuerwehr und der Rettungsdienst erhalten die Nachricht, dass die Klinik nicht mehr über das Festnetz erreichbar ist.
Der Hackerangriff habe den Klinikbetrieb nachhaltig gestört, "die Versorgung der Patientinnen und Patienten war jedoch durch zeitnahe organisatorische Maßnahmen jederzeit gesichert", sagt Prof. Peter Deeg, ärztlicher Direktor der Klinik im Interview mit BR24. Zwischen 20. Oktober und 28. Oktober hätten sich die Hacker zweimal mit einer Lösegeldforderung bei verschiedenen Mail-Adressen der Klinik gemeldet, so Prof. Deeg.
- zum Artikel: Warum Münchner Schulen Einfallstore für Hacker sind
Patientendaten im Dark Web aufgetaucht
Hinter dem Angriff stecke die Ransomware-Gruppierung "Hunters International", so Thomas Goger, Leitender Oberstaatsanwalt und stellvertretender Leiter der Zentralstelle Cybercrime Bayern, die die Ermittlungen zusammen mit der Kriminalpolizeiinspektion Schweinfurt führt. Ob die Klardaten und Daten zur Krankengeschichte im Dark Web zugänglich seien, dazu "können wir derzeit noch keine sicheren Aussagen treffen", so Prof. Deeg auf BR-Anfrage.
Nach Recherchen des Bayerischen Rundfunks stellen die Hacker Daten der Klinik im Dark Web auf ihrer sogenannten Leak-Seite zur Schau. Neben einem Emoji mit einer orangen Nikolaus-Mütze und einer Weihnachtskugel taucht unter der Rubrik "Companies News" als erstes die Deegenbergklinik auf. Die Hacker geben an, sie hätten 110,7 GB Daten, 21.667 Files abgezogen. Prof. Peter Deeg bestätigt den Umfang der abgegriffenen Daten gegenüber dem BR. Neben Dienstplänen und Bewertungen der Klinik durch Patienten finden die Reporter auf der Leak-Seite von Hunters International auch Patientenakten, etwa von einer Melanie H., samt ihrer Vorerkrankungen und Blutwerte. Auch das Schreiben an ihren weiterbehandelnden Arzt wird zum Download angeboten. Bewertungen durch Patienten vom Juli 2023 sind ebenfalls dabei.
Veröffentlichung, um den Druck zu erhöhen
Das Vorgehen der Täter, Daten zu veröffentlichen, um so den Druck auf die Opfer zu erhöhen, sei alles andere als ungewöhnlich, so Thomas Goger: "Gerade die Ransomware-Gruppierung, die sich selbst als Hunters International bezeichnet, schreckt hier vor kaum etwas zurück."
Betroffene Person müssen unverzüglich benachrichtigt werden, wenn "die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge" hat, so gibt es die DSGVO vor. Auf Anfrage erklärt die Klink, alle Patientinnen und Patienten seien zeitnah über den Hackerangriff informiert worden. Am 22. Oktober sei die fristgerechte Meldung an das Bayrische Landesamt für Datenschutzaufsicht getätigt worden, so Prof. Peter Deeg.
Ransomware-as-a-Service-Gruppe Hunters International
Die Hackergruppe Hunters International bezeichnet sich selbst als Nachfolge-Organisation der Hive-Gruppe. Die Hive-Gruppe war im Januar 2023 in einer gemeinsamen Aktion von FBI, BKA, Polizeipräsidium Reutlingen und Behörden in den Niederlanden enttarnt worden. Zu den Opfern von Hive zählten 1.500 Krankenhäuser, Schulbehörden und Finanzdienstleister. Der Schadcode, den nun 'Hunters International' für seine Angriffe verwendet, ähnelt dem von Hive, so IT-Sicherheitsexperten.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!