Großbritannien: Kriminelle veröffentlichen gestohlene Patientendaten

Bei einem IT-Angriff auf einen britischen Gesundheitsdienstleister wurden auch Patientendaten gestohlen. Darunter sollen sensible Testergebnisse sein.

Im Zuge eines IT-Sicherheitsvorfalls bei einem britischen Gesundheitsdienstleister wurden Medienberichten zufolge auch Patientendaten gestohlen – und hunderte Gigabyte veröffentlicht. Demnach sind darunter auch Ergebnisse von Bluttests auf HIV und Krebs.

Wie der Guardian am Freitag berichtete, sollen Kriminelle im aktuellen Fall Daten zu etwa 300 Millionen einzelnen Patienteninteraktionen mit dem britischen Gesundheitsdienst “National Health Service” (NHS) gestohlen haben. Es handle sich um Ergebnisse von Bluttests, die bei Patienten im Vorfeld von Operationen durchgeführt wurden. Außerdem soll es sich um Ergebnisse von Tests handeln, die wegen eines Verdachts auf sexuell übertragbare Erkrankungen durchgeführt wurden. Die Datensätze sollen mehrere Jahre zurückreichen.

Abgegriffen wurden diese Gesundheitsdaten bei dem Dienstleister Synnovis. Das Unternehmen hatte Anfang Juni bestätigt, Opfer eines Verschlüsselungstrojaners (sogenannte Ransomware) geworden zu sein. Die Firma untersucht unter anderem Blutproben für Krankenhäuser. Betroffene Klinken können seitdem nur noch eingeschränkt arbeiten.

Mit Ransomware verschlüsseln Kriminelle normalerweise vorhandene Daten auf den Systemen und verlangen dann ein Lösegeld, um sie wiederherzustellen. Häufig greifen die Täter auch Daten ab und drohen mit deren Veröffentlichung. Lösegeldzahlungen garantieren allerdings nicht, dass die Erpresser von einer Veröffentlichung absehen oder verschlüsselte Daten tatsächlich wiederherstellen.

Kriminelle veröffentlichen Datensatz

Verantwortlich für den Angriff soll eine kriminelle Gruppe aus Russland sein, die sich Qilin nennt. Berichten zufolge haben die Täter ein Lösegeld von 50 Millionen US-Dollar gefordert. Die Gruppe soll inzwischen auch Daten im sogenannten Darknet veröffentlicht haben.

Die BBC konnte einen Teil der Daten einsehen und berichtet, es seien Patientennamen, Geburtsdaten und die eindeutigen, vom NHS zugewiesenen Patientennummern enthalten. Auch Angaben zu den Bluttests seien veröffentlicht worden – ob dazu auch die Ergebnisse zählen, konnte die BBC nicht überprüfen.

Der NHS teilte mit, die veröffentlichten Daten würden derzeit in Zusammenarbeit mit der National Crime Agency und dem National Cyber Security Centre untersucht. Bis zum Abschluss dieser Untersuchung könnte es aber noch “Wochen oder länger” dauern.

Operationen verschoben

Der Ransomware-Vorfall hat große Auswirkungen auf sieben Londoner Krankenhäuser. Dazu zählt das King’s College Hospital, das für etwa eine Million Menschen in London zuständig ist. Auch die Krankenhäuser Royal Brompton und Harefield, die größten Herz- und Lungenfachkliniken in Großbritannien, können nicht mehr normal arbeiten.

Angaben des NHS zufolge mussten in den ersten 13 Tagen nach Auftreten der Probleme mehr als 1000 geplante Operationen und mehr als 2000 ambulante Termine abgesagt werden. Darunter waren auch 184 Eingriffe bei Krebspatienten und 64 Organtransplantationen.

Patientinnen und Patienten müssten voraussichtlich bis zu sechs Monate auf vom NHS getragene Bluttests warten. Einige Betroffene würden daher selbst für ihren Test bezahlen, anstatt weiter zu warten, berichtete der Guardian am Sonntag.

Der NHS hat bereits eingeräumt, dass die Auswirkungen des IT-Sicherheitsvorfalls noch über die kommenden Monate hinweg zu spüren sein werden.

Ransomware im Gesundheitssystem

In der Vergangenheit sind bereits mehrere Ransomware-Vorfälle im Gesundheitsbereich bekannt geworden: Im Jahr 2017 waren international etwa zahlreiche Unternehmen und Einrichtungen mit der Schadsoftware WannaCry infiziert worden – betroffen waren auch damals britische Krankenhäuser. Angaben des NHS zufolge mussten in der Folge knapp 7000 Termine, darunter auch Operationen, abgesagt werden. Schätzungen gehen aber davon aus, dass sogar 19.000 Termine betroffen waren.

Auch die Universitätsklinik Düsseldorf musste im Herbst 2020 Operationen verschieben und ihre Notaufnahme schließen, nachdem Daten auf Servern des Klinikums durch einen Trojaner verschlüsselt worden waren.

Der Fall hatte besonders viel Aufmerksamkeit erregt, weil eine Patientin wegen des Systemausfalls in ein anderes Krankenhaus umgeleitet werden musste – und kurze Zeit später gestorben war. Die Staatsanwaltschaft hatte daraufhin Ermittlungen wegen fahrlässiger Tötung aufgenommen, diese später allerdings eingestellt. Denn die Obduktion hatte ergeben, dass die Frau wahrscheinlich auch bei einer schnelleren Behandlung in der Uniklinik gestorben wäre.

Ende vergangenen Jahres hatte zudem ein Unternehmen, das 30 Krankenhäuser in sechs US-Bundesstaaten betreibt, Patienten aus einigen seiner Notaufnahmen in andere Krankenhäuser verlegen müssen. Die dortigen Systeme waren offline genommen worden, nachdem Ransomware entdeckt wurde.

Ein ähnlicher Vorfall hatte Anfang des Jahres zudem US-Apotheken beeinträchtigt. Und im Februar wurden Krankenhäuser und andere medizinische Einrichtungen in Rumänien durch Ransomware beeinträchtigt. (js)