Protokoll einer Cyberattacke Eine Bonner Praxis wird Opfer eines Hackerangriffs
Bonn · Ein Virus in der Arztpraxis. Ausgerechnet. Schon Monate bevor der Computerschädling „Wannacry“ Mitte Mai weltweit geschätzte 230.000 Rechner lahmlegte, machte ein Bonner Arzt eine ähnliche Erfahrung. Das Protokoll eines Hackerangriffs.
Bei Markus Lohfeld begann es am Morgen, als die Arzthelferinnen die Rechner einschalteten. „Keine Datei ließ sich mehr öffnen“, erinnert sich der niedergelassene Arzt. Eigentlich heißt er anders. „Aber keiner möchte als Opfer von Hackern bekannt werden“, sagt er. Dabei hätten ähnliche Virenprogramme schon zahlreiche Arztpraxen und Büros heimgesucht, wie er von Kollegen weiß.
Nach ein paar Mausklicks offenbarten sich die Hacker: Das Erpresserschreiben auf Englisch lieferte eine detaillierte Beschreibung des Virus. „Alle Dateien sind verschlüsselt“, hieß es. Es folgen Belehrungen, wie unzureichend das System gesichert sei. „Hakuna Matata“ nennt sich das Virus. Blanker Hohn für seine Opfer: „Kein Problem“ bedeutet der Spruch, übersetzt aus dem afrikanischen Swahili.
Freischaltung gegen eine "Spende"
Dem Bonner wird schnell klar, worum es den Erpressern geht. Gegen eine „Spende“ sei der Hacker bereit, die Dateien wieder freizuschalten. Das Lösegeld: ein Bitcoin – zur Zeit des Angriffs Anfang des Jahres noch rund 1000 Euro.
„Ich habe noch nie einen Bitcoin besessen“, sagt Lohfeld. Jetzt kennt er sich mit der Internet-Währung aus, die für anonyme Geldtransfers mit undurchsichtigen Geschäftspartnern bevorzugt wird – gezwungenermaßen.
Dabei hoffte der Bonner Arzt anfangs noch auf professionelle Unterstützung. „Mein Software-Dienstleister war nach zwei Stunden vor Ort, hat unseren Server komplett abgebaut und ein Notprogramm installiert“, sagt er. Den Code der Hacker konnten jedoch auch die Fachleute nicht entschlüsseln. „Der Virus war relativ neu“, sagt Lohfeld. Bei dem Angreifer handelte es sich um einen sogenannten Krypto-Trojaner, der Dateien verschlüsselt in Geiselhaft nimmt. In seiner Not wandte sich Lohfeld an die Polizei. Die riet, Anzeige zu erstatten und kein Geld zu zahlen. Damit würden die verbrecherischen Systeme nur weiter am Leben gehalten.
Erpresser fordert Bitcoin
„Aber was sollte ich tun?“, fragt der Arzt. Wichtige Patientendaten wie Ultraschallbilder konnten nicht mehr gespeichert werden. Das gesamte EDV-System der Praxis lief deutlich verlangsamt. Besonders ärgerlich: Ein kürzlich gekauftes Schutzprogramm war nicht einmal auf dem Computer installiert. „Schon da sind wir offenbar einem Betrug zum Opfer gefallen“, ärgert sich der Mediziner. „Für mich war schon am ersten Tag klar: Ich muss zahlen.“ Der Erpresser machte es ihm einfach. Detailliert erläutert er, wie ein Bitcoin-Konto einzurichten ist und wie man mit ihm über ein gesichertes anonymes Nachrichtensystem in Kontakt treten könnte. Lohfeld bezahlte und erhielt einen Code, mit dem er seine Daten wieder herstellte. „Das hätte auch ganz anders ausgehen“, sagt er. „Ich hatte keinerlei Sicherheit, dass die Zahlung wirklich etwas bewirkt.“
Doch mit der Wiederherstellung der Daten war der Hacker-Albtraum noch längst nicht vorbei. „Es ist, als ob jemand in der eigenen Wohnung eingebrochen ist“, sagt der Bonner. „Das mulmige Gefühl bleibt.“ Außerdem zeige der Eindringling in die Praxis, wie unsicher unsere EDV-Systeme seien.
Auch heute, fast vier Monate nach der Attacke, leidet die Praxis unter den Folgen. Das Computersystem wurde komplett umgebaut. E-Mails dürfen aus Sicherheitsgründen nur noch auf einem vom medizinischen Netzwerk getrennten Rechner abgerufen werden. Insgesamt, sagt Lohfeld, habe ihn „Hakuna Matata“ mehrere Tausend Euro gekostet – und jede Menge Nerven.
