Am 10. September 2020 kam es zu einem Hackerangriff auf das Universitätsklinikum Düsseldorf (UKD), der mittlerweile ein Todesopfer gefordert hat. 

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde, wie es das Gesetz in Deutschland verlangt, über den Vorfall informiert. Wie das BSI mitteilt, hat es sofort seine Hilfe angeboten. Mit einem mobilen Einsatzteam unterstütze das BSI gegenwärtig die Verantwortlichen des UKD vor Ort aktiv bei der Analyse und Bewältigung des Vorfalls.

Noch wurde vom UKD nicht offiziell bestätigt, ob es sich um eine Ransomware-Attacke handelte und wie die Angreifer ins System gelangen konnten. Viele Experten vermuten, dass sie dafür eine bereits seit längerem bekannte und gepatchte Sicherheitslücke in VPN-Gateways von Citrix ausgenützt haben. 

Auch das BSI bestätigt diese Vermutung nicht direkt. Aber dass das Amt in der Mitteilung zum Vorfall im Klinikum gleichzeitig vor genau dieser Lücke warnt, macht die Vermutung wohl zur Tatsache.

Man weise mit Nachdruck darauf hin, so das BSI, dass derzeit eine seit Dezember 2019 bekannte Schwachstelle (CVE-2019-19781) in VPN-Produkten von Citrix für Cyber-Angriffe ausgenutzt werde. Dem BSI würden zunehmend Vorfälle bekannt, bei denen Citrix-Systeme bereits vor der Installation der im Januar 2020 bereitgestellten Sicherheitsupdates kompromittiert wurden. Dadurch hätten Angreifer auch nach Schliessung der Sicherheitslücke weiterhin Zugriff auf das System und dahinterliegende Netzwerke. Diese Möglichkeit werde aktuell vermehrt ausgenutzt, um Angriffe auf betroffene Organisationen durchzuführen.

"Bereits im Januar haben wir vor der Schwachstelle gewarnt und darauf hingewiesen, welche Folgen eine Ausnutzung haben kann. Angreifer verschaffen sich Zugang zu den internen Netzen und Systemen und können diese auch Monate später noch lahmlegen. Ich kann nur mit Nachdruck appellieren, solche Warnungen nicht zu ignorieren oder aufzuschieben, sondern sofort entsprechende Massnahmen zu ergreifen. Der Vorfall zeigt zum wiederholten Male, wie ernst man diese Gefahr nehmen muss", so der eindringliche Kommentar von BSI-Präsident Arne Schönbohm.

(Update 16.06 Uhr) Nach der ersten Veröffentlichung dieses Artikels hat sich auch die Klinik zum Vorfall geäussert. Sie glaubt, absolut nichts falsch gemacht zu haben. Man habe die Citrix-Patches sofort nach ihrem Erscheinen eingespielt und schon zuvor die zuerst von Citrix empfohlenen Workarounds angewendet.

Ausserdem habe man zwei spezialisierte Firmen mit der Überprüfung des Systems beauftragt. Diese haben aber offenbar keine Hintertür gefunden. Auch ein im Frühsommer durchgeführter Penetrationtest habe keinen Befund ergeben.