Anfang September wurden 30 Server der Uniklinik Düsseldorf von Hackern lahmgelegt. Die Funktion der Klinik ist heute noch nicht vollständig wiederhergestellt. Ich habe mit Rüdiger Trost von F-Secure gesprochen. Er berät Krankenhäuser zu Sicherheitskonzepten.
Herr Trost, warum hat beim Angriff auf die Uniklinik Düsseldorf eigentlich kein Virenscanner angeschlagen?
Rüdiger Trost: Weil hier zunächst gar kein Trojaner im Einsatz war. Die Hacker haben eine kritische Sicherheitslücke im Programm Citrix NetScaler Gateway genutzt – ein häufig genutztes Programm, auch in Krankenhäusern – und sich in den Wochen zwischen Bekanntwerden der Lücke und ihrem Schließen Zugriff auf das System verschafft. Das geht mit ganz einfachen Mitteln. Über diesen Zugang haben sie sich dann z.B. einen normalen Benutzer angelegt und sich damit im Netzwerk bewegt.
Als die Klinik die Patches eingespielt hat, hätte sie kontrollieren müssen, ob zwischenzeitlich jemand eingedrungen ist.