Der Vorfall
Am 10. September 2020 traf die DoppelPaymer-Ransomware die Uniklinik Düsseldorf – und der Fall wurde zum Symbol dafür, dass Cyberangriffe töten können.
30 Server der Klinik wurden verschlüsselt. Die Notaufnahme musste abgemeldet werden. Operationen wurden abgesagt. 13 Tage lang konnte das Krankenhaus keine Notfallpatienten aufnehmen.
In der Nacht des Angriffs befand sich eine 78-jährige Frau in einer lebensbedrohlichen Situation und musste dringend in eine Notaufnahme eingeliefert werden. Der Rettungswagen steuerte die Uniklinik Düsseldorf an – doch die war offline. Die Patientin musste ins 30 Kilometer entfernte Wuppertal umgeleitet werden. Sie starb kurz nach der Einlieferung.
Die Staatsanwaltschaft Köln leitete Ermittlungen ein – unter anderem wegen fahrlässiger Tötung gegen die unbekannten Hacker. Es war das erste Mal, dass in Deutschland ein Todesfall mit einem Cyberangriff in Verbindung gebracht wurde. Die Ermittlungen wurden später eingestellt, weil nicht zweifelsfrei nachgewiesen werden konnte, dass die Patientin bei sofortiger Behandlung in Düsseldorf überlebt hätte. Doch der Fall machte schlagartig deutlich: Ransomware ist kein abstraktes IT-Problem. Sie kostet Menschenleben.
Die Angreifer hatten es offenbar gar nicht auf die Klinik abgesehen. Die Erpressernachricht war an die Heinrich-Heine-Universität adressiert, zu der die Klinik gehört. Als die Polizei die Angreifer kontaktierte und auf die Gefahr für Patienten hinwies, stellten sie den Entschlüsselungsschlüssel zur Verfügung und zogen ihre Forderung zurück. Doch für die verstorbene Patientin kam das zu spät.
Der Gesamtschaden für die Uniklinik belief sich auf mehrere Millionen Euro – und der immaterielle Schaden durch den Vertrauensverlust ist gar nicht bezifferbar.
Wie der Angriff funktionierte
Die Untersuchung durch das BSI ergab einen erschreckend langen Vorlauf:
Stufe 1 – Citrix-Schwachstelle (Dezember 2019): Die Angreifer nutzten die Schwachstelle CVE-2019-19781 im Citrix Application Delivery Controller (ADC) – einem System, das Fernzugriff auf das Kliniknetzwerk ermöglichte. Diese Schwachstelle war seit Dezember 2019 öffentlich bekannt und wurde weltweit massenhaft ausgenutzt. Citrix hatte einen Patch bereitgestellt, doch die Uniklinik hatte ihn zu diesem Zeitpunkt noch nicht vollständig eingespielt.
Stufe 2 – Initiale Kompromittierung (Januar 2020): Über die Citrix-Schwachstelle installierten die Angreifer einen Web-Shell – ein kleines Skript, das ihnen dauerhaften Zugang zum System ermöglichte. Dieser erste Fußabdruck war winzig und unauffällig.
Stufe 3 – Monate der Aufklärung (Januar bis September 2020): Die Angreifer waren neun Monate lang unbemerkt im Netzwerk der Uniklinik. In dieser Zeit erkundeten sie die Infrastruktur, stahlen Zugangsdaten, identifizierten kritische Systeme und bereiteten den eigentlichen Angriff vor. Sie luden zusätzliche Tools herunter: Cobalt Strike für die Steuerung, Mimikatz für den Diebstahl von Zugangsdaten, verschiedene Netzwerk-Scanner.
Stufe 4 – DoppelPaymer-Ransomware (September 2020): Am 10. September 2020 schlugen die Angreifer zu. DoppelPaymer verschlüsselte 30 Server. Die Ransomware nutzte eine Kombination aus RSA-2048 und AES-256 – eine Verschlüsselung, die ohne den privaten Schlüssel nicht zu knacken ist.
Die zeitliche Dimension ist entscheidend: Neun Monate vergingen zwischen dem ersten Eindringen und dem Ransomware-Angriff. Neun Monate, in denen jeder einzelne Neustart eines mit Deep Freeze geschützten Rechners die Angreifer zurückgeworfen hätte.
Warum Virenscanner versagten
Der Fall der Uniklinik Düsseldorf ist ein Lehrstück über die Grenzen reaktiver Sicherheitstechnologie:
Neun Monate unentdeckt: Die Angreifer operierten von Januar bis September 2020 unbemerkt im Netzwerk – trotz vorhandener Sicherheitslösungen. Neun Monate lang erkannte kein Virenscanner und kein Sicherheitssystem die Anwesenheit der Angreifer.
Bekannte Schwachstelle, langsamer Patch: Die Citrix-Schwachstelle war seit Dezember 2019 bekannt und wurde aktiv ausgenutzt. Doch das Einspielen von Patches in einer Krankenhausumgebung ist komplex: Systeme müssen getestet werden, Ausfallzeiten müssen geplant werden, medizinische Geräte dürfen nicht beeinträchtigt werden. Virenscanner können eine nicht gepatchte Schwachstelle nicht schützen.
Cobalt Strike und Mimikatz: Cobalt Strike wird von Sicherheitsfirmen weltweit eingesetzt und genießt bei vielen Virenscannern einen Vertrauensvorschuss. Mimikatz liest Zugangsdaten aus dem Windows-Speicher – ein Vorgang, der für viele Scanner unsichtbar ist, weil er keine Dateien auf der Systempartition schreibt.
Langsame Signatur-Updates: DoppelPaymer existierte zwar bereits vor dem Angriff auf die Uniklinik, wurde aber vor jedem Einsatz modifiziert. Die spezifische Variante, die in Düsseldorf eingesetzt wurde, war zum Zeitpunkt des Angriffs keinem Virenscanner bekannt.
Fehlende Netzwerksegmentierung: In einem ideal segmentierten Netzwerk hätte der Zugang über das Citrix-System nicht zum Zugriff auf die gesamte Infrastruktur führen dürfen. Doch in der Realität sind Krankenhausnetzwerke oft historisch gewachsen und unzureichend segmentiert. Virenscanner können dieses strukturelle Problem nicht kompensieren.
So hätte Deep Freeze geschützt
Stell Dir das Szenario der Uniklinik Düsseldorf mit Deep Freeze auf den Arbeitsplatzrechnern vor:
Januar 2020 – Der erste Einbruch: Die Angreifer nutzen die Citrix-Schwachstelle und installieren eine Web-Shell. Sie versuchen, sich von dort auf Arbeitsplatzrechner auszubreiten und weitere Tools zu installieren. Auf Rechnern mit Deep Freeze: Beim nächsten Neustart am Morgen sind alle installierten Tools, Backdoors und gesammelten Zugangsdaten gelöscht. Die Angreifer müssen von vorne beginnen.
Februar bis August 2020 – Die Aufklärungsphase: Normalerweise hätten die Angreifer neun Monate Zeit gehabt, das Netzwerk zu erkunden. Mit Deep Freeze auf den Arbeitsplatzrechnern verlieren sie nach jedem Neustart ihre Werkzeuge und ihren Zugang. Eine systematische Kartografierung des Netzwerks wird extrem erschwert, weil die Sprungbretter ständig verschwinden.
September 2020 – Der Angriff: Selbst wenn die Angreifer über den Citrix-Server (der nicht mit Deep Freeze geschützt wäre) noch Zugang hätten – die Arbeitsplatzrechner lassen sich nicht dauerhaft kompromittieren. Jeder Rechner, der neu gestartet wird, ist wieder sauber. Die großflächige Verschlüsselung, die zum Ausfall der Notaufnahme führte, wäre deutlich eingeschränkt worden.
Die Notaufnahme hätte offen bleiben können. Die Abmeldung der Notaufnahme war nötig, weil die IT-Systeme nicht mehr funktionierten. Wenn die Arbeitsplatzrechner nach einem Neustart sofort wieder einsatzbereit sind, gibt es keinen Grund, die Notaufnahme zu schließen. Die Patientin hätte in Düsseldorf behandelt werden können.
Deep Freeze hätte den Citrix-Server selbst nicht geschützt – dafür wären Patches und Netzwerksegmentierung nötig gewesen. Aber Deep Freeze hätte verhindert, dass die Angreifer von diesem einen kompromittierten System aus das gesamte Netzwerk übernehmen konnten. Und es hätte dafür gesorgt, dass die Arbeitsplatzrechner in der Klinik nach einem Neustart sofort wieder funktionieren – auch mitten in einem Angriff.
Die Lehre
- Ransomware kann töten. Der Fall der Uniklinik Düsseldorf hat bewiesen, dass Cyberangriffe auf Krankenhäuser keine abstrakte Bedrohung sind. Wenn die IT ausfällt, sterben Menschen. Deep Freeze sorgt dafür, dass Arbeitsplatzrechner nach einem Neustart sofort wieder funktionieren – auch während eines Angriffs.
- Neun Monate Vorlauf sind die Norm. Professionelle Angreifer nehmen sich Zeit. Sie erkunden das Netzwerk über Wochen und Monate. Jeder Neustart mit Deep Freeze setzt ihre Arbeit zurück. Neun Monate Aufklärung werden unmöglich, wenn die Sprungbretter täglich verschwinden.
- Bekannte Schwachstellen bleiben monatelang offen. In Krankenhäusern ist das Einspielen von Patches besonders schwierig. Deep Freeze kann die Schwachstelle nicht schließen – aber es kann verhindern, dass Angreifer sich dauerhaft im Netzwerk einnisten.
- Krankenhäuser brauchen resiliente IT. Nicht nur sichere IT – sondern IT, die nach einem Angriff sofort wieder funktioniert. Deep Freeze liefert genau diese Resilienz: ein Neustart, und der Rechner ist wieder einsatzbereit.
- Menschenleben sind unbezahlbar. Keine Kosten-Nutzen-Rechnung kann das Leben einer Patientin aufwiegen. Deep Freeze ist gemessen an den Konsequenzen eine minimale Investition mit maximaler Wirkung.