CompuGroup Medical
Synchronizing Healthcare

Erfahren Sie alles über den Purpose, Mission und die Menschen, die die CompuGroup Medical Welt prägen. Weitere finden Sie hier hilfreiche Informationen, Dokumente und weitere Veröffentlichungen für Investoren.

Investor Relations
Eine Person tippt mit dem Finger auf ein Tablet-PC mit einer Investor-Relations-Präsentation
Karriere
Eine junge Frau telefoniert mit ihrem Smartphone, während sie einen Tablet-PC hält
CGM Global
Mehrere CGM-Flaggen

Wenn man den Stecker ziehen muss – Cyberattacke im Klinikum Friedrichshafen

25. August 2022 | Rebecca Stappen

CGM MEDICO - Das Allround-KIS

Eine lächelnde Person in einem blauen Krankenhauskittel steht an einem Patientenbett.

Anfang des Jahres wurde das Klinikum Friedrichshafen, Teil des Klinikverbunds Medizin Campus Bodensee, Opfer eines Cyberangriffs. IT-Leiter Stefan Schramm und sein Kollege Johannes Hehn, Fachinformatiker Systemintegration, arbeiten seit diesem Zeitpunkt daran, die Systeme im Haus wieder vollständig und sicher herzustellen.

Mitte Januar 2022 erhält Johannes Hehn gegen 4 Uhr morgens einen Anruf von einem Kollegen mit einer beunruhigenden Meldung von der Pforte: die Systeme funktionierten nicht mehr und der Drucker spuckt komische Zeichen aus – und lässt sich nicht mehr stoppen. Vom Homeoffice aus wirft er über den Rufbereitschaftszugang einen Blick ins System. Verschlüsselte Daten, und darunter auch solche, die nicht im Zugriff der Anwender waren, lassen alle Alarmglocken läuten. „Ich habe sofort die Reißleine gezogen und Stück für Stück alle Serversysteme runtergefahren. Kollegen sind schon ins Haus gefahren und haben dort dann auch physikalisch die Internetverbindung gekappt, also wirklich den Stecker gezogen.“

Johannes Hehn, </span><span>Fachinformatiker </span><span>Systemintegration, Medizin Campus Bodensee 
„Es war wie im Film.

Johannes Hehn, Fachinformatiker Systemintegration, Medizin Campus Bodensee 

Informationen konnten ab diesem Moment nur noch telefonisch über die Pforten weitergegeben werden. So wurden alle Mitarbeiter über den Vorfall informiert. „Wir haben dann direkt von Fachleuten des LKA, der Cybercrime-Abteilung der Polizei sowie vom Innenministerium Unterstützung erhalten. Im ersten Schritt wurden dabei Maßnahmen zur Sicherung besprochen. Danach ging es dann los mit Ursachenforschung und Beweissicherung. Zeitgleich haben wir mit einem IT-Forensiker der G DATA CyberDefense AG erste Überlegungen zum Wiederanlaufen der Systeme getätigt“, so Stefan Schramm.

Zwei Jahre zuvor: eine Sicherheitslücke als Ursache

Nachforschungen hatten ergeben, dass die Ursache des Angriffs eine Sicherheitslücke im NetScaler war – allerdings schon vor zwei Jahren. „Als die Meldung zur Sicherheitslücke kam, gab es einen bestimmten Patch noch nicht. Wir haben dann einen Workaround eingebaut, aber bis zu diesem Zeitpunkt sind bereits weltweit zahlreiche Firmen gehackt worden. Und wir auch“, so Stefan Schramm weiter.

Damals wurden Zugangsdaten und vermutlich auch der Masterkey gestohlen. Diese wurden dann – so ist das gängige Prozedere – im Darknet zum Kauf angeboten. Zwei Jahre später wurden diese dann von einer Hackergruppe genutzt, die ins System eingebrochen sind und die Domain übernommen haben. Daten wurden gesichtet, gesammelt und über einen von ihnen installierten STB-Server an Fileserver übermittelt und dann verschlüsselt. „Das war ein wirklicher Hackerangriff.

Eine ganz gezielte Aktion. Sie waren wohl auch schon rund 20 Stunden auf dem System, haben alles vorbereitet und dann die Maschinen loslaufen lassen“, berichtet Johannes Hehn.

Lösegeldzahlungen – Geduld und Recherchen als Basis für eine Entscheidung

Dabei wurde jedes betroffene System weiterhin lauffähig gehalten, Datenzugriffe jedoch durch die Verschlüsselung zerstört. Jede verschlüsselte Datei hatte einen identischen Namen nur mit einer anderen Endung. Und zu jeder gab es eine Textdatei mit der Forderung und einem Link zur Kontaktaufnahme im Darknet. „Wer diesen anklickt, was viele wohl aus Neugier machen, geht direkt ein Timer los – ist der abgelaufen und man hat nicht gezahlt, ist alles endgültig verloren. Deshalb ist es ganz wichtig, möglichst viele Informationen zu sammeln, bevor man den Kontakt aktiviert.“, erklärt Johannes Hehn. 

Nur dann kann man entscheiden, ob man auf Forderungen eingehen muss, oder ob der Schaden begrenzt ist. Denn wenn man zahlt, so sagen die Experten für Cyberkriminalität, erhält man tatsächlich auch einen Wiederherstellungsschlüssel – andernfalls würden sie ihr eigenes Geschäftsmodell sabotieren. Am Klinikum Friedrichshafen wurde dies alles durch die Geschäftsleitung zusammen mit einer Spezialeinheit der Kriminalpolizei koordiniert. 

Am Ende konnten alle aufatmen, wie Stefan Schramm berichtet: „In unserem Fall hat sich nach fünf bis sechs Wochen Recherche glücklicherweise der anfängliche Verdacht bestätigt, dass es keine Hinweise gibt, dass Daten geleakt wurden. Zudem gab es keine Veröffentlichung auf den entsprechenden Leakseiten der Gruppierung. Daher ist man auch nicht auf die Lösegeldforderung eingegangen.“

Der Wiederaufbau der Systeme dauert seitdem an

Nach einer knappen Woche konnte die IT-Abteilung damit beginnen, die Systeme hochzufahren und den Status zu prüfen. Da der Angriff auf Windowssysteme fokussiert war, hat sich schnell gezeigt, dass das Krankenhausinformationssystem nicht betroffen war. Dennoch wurde das Netzwerk aus Sicherheitsgründen komplett abgeschaltet und ein neues musste aufgebaut werden.

„Im ersten Schritt haben wir eine Firewall aufgebaut. Nur dadurch war es uns möglich, das alte Netzwerk in das neue zu spiegeln. Ein komplettes Netzwerk von null aufzusetzen, das wäre zeitlich schlichtweg unmöglich gewesen“, erklärt Johannes Hehn die ersten Maßnahmen. 

Stefan Schramm, </span><span>Leiter IT, Medizin Campus Bodensee
Wir sind allen Dienstleistern sehr dankbar für die Unterstützung

Stefan Schramm, Leiter IT, Medizin Campus Bodensee

Gemeinsam mit der Geschäftsleitung wurde dann ein Priorisierungsplan erstellt. Dabei wurden die Prozesse betrachtet und dann die jeweils dahinter hängenden Systeme. An erster Stelle standen die klinischen Kernprozesse – und damit auch CGM MEDICO. Labor oder auch Röntgen wurden dann weiterhin über Ausfallsysteme abgedeckt. Allerdings wurde nach zwei bis drei Wochen Ausfallzeit auch dort der Druck, die digitalen Systeme wieder zu aktivieren, hoch. Zwei Monate nach dem Angriff sind noch immer nicht alle Systeme wieder angeschlossen, wie z. B. Sonografie.

Nach rund sechs Wochen waren 300 der ursprünglichen 800 Arbeitsplätze mit CGM MEDICO bereitgestellt, so dass die Kernprozesse wieder abgebildet werden konnten. „Allerdings ist die Nachbearbeitung bis heute noch nicht abgeschlossen – Fälle müssen kodiert und Entlassungen oder gar Patienten überhaupt eingepflegt werden. Sieben Wochen nach dem Wiederanlauf von CGM MEDICO haben wir noch immer zehn Prozent der Patientenfälle ohne Entlassdatum und noch mehr, die nicht kodiert sind. Und da zeigt sich auch der Nachteil von Papier, denn die Akten können immer nur an einer Stelle sein – und damit nicht parallel bearbeitet werden“, so Stefan Schramm.

Bis in Friedrichshafen wieder Alltag einkehrt, gilt es, noch viele Hürden zu nehmen. Durch die nun eingeführte erhöhte Sicherheitskomplexität, durch das Switchen von altem zu neuem System und die Einarbeitung in die neue Welt ist die IT-Abteilung stark gefordert, so dass Hilfe mehr als willkommen ist: „Wir sind allen Dienstleistern sehr dankbar für die Unterstützung in den letzten Wochen und Monaten und natürlich auch in der Zukunft. Die ganze Zeit über war CGM an unserer Seite und die Zusammenarbeit ist wirklich gut. Immer zeitnah und lösungsorientiert. Das hilft uns sehr viel.“

Das Klinikum Friedrichshafen bietet den Patient*innen in Kliniken, Zentren und Sektionen jeweils spezifische Hilfe für Ihr Krankheitsbild bieten. Gemeinsam gehen Ärzte und Pflegepersonal auf die besonderen Belange ihrer Patient*innen ein, um deren hohen Anspruch an eine optimale medizinische Versorgung gerecht zu werden. Das alles dank modernster Technik und einem umfassenden Know-how von über 1200 Mitarbeiter*innen.

Verwandte Artikel
Ein kleines rotes Herz mit dem Logo des Klinikums wird aus einem Berg von Schlamm und Schutt geborgen.
„Wir müssen das Krankenhaus aufgeben“

In der Nacht vom 14. auf den 15. Juli 2021 erhielt Nico Meinhardt, IT-Leiter...

Außenansicht des Klinikum Oldenburgs in Kombination mit einer DNA-Grafik.
CGM MEDICO – Teil der Klinik-„DNA“

Im Klinikum Oldenburg ist das Krankenhausinformationssystems CGM ...