Die Staatsanwaltschaft Köln ermittelt im Fall des Lukaskrankenhauses in Neuss wegen Expressung. Wir erklären, welche Städte betroffen und wer die Angreifer sind.

Welche Kliniken sind betroffen?

In Nordrhein-Westfalen sind jetzt auch Krankenhäuser in Winterberg, Emmerich und Wesel betroffen. Weitere Fälle gab es in Kleve, Kalkar, Neuss, Arnsberg und einem Krankenhaus im Ruhrgebiet. Nach Informationen unserer Redaktion könnten auch Kliniken in Köln, Essen und Mönchengladbach betroffen gewesen sein. Das Landeskriminalamt bestätigt, dass ihnen im Zeitraum von Juli 2015 bis heute sieben Krankenhäuser in NRW bekannt sind, die von Schadsoftware betroffen waren. Außerdem melden Kliniken aus anderen Bundesländern gleiche Probleme. Aktuell ist das Computersystem des Fraunhofer-Instituts in Bayreuth infiziert.

Welche Art von Viren haben die Angreifer genutzt?

Die in den betroffenen Fällen genutzte Schadsoftware wird Ransomware genannt, weil die Täter Lösegeld (englisch: ransom) von den Betroffenen erpressen wollen, eine Art digitales Schutzgeld. Ransomware gibt es schon länger, allerdings ist die Kommerzialisierung von Hackerangriffen ein deutlicher Trend der vergangenen drei Jahre, sagt Holz. "Jede Datei wird bearbeitet, so dass ich als normaler Anwender nicht mehr darauf zugreifen kann", sagt Holz. Die Daten werden verschlüsselt, also bildlich gesprochen in eine Schatztruhe gelegt und diese mit einem Schlüssel abgeschlossen.

Wie sollen die Betroffenen das Lösegeld zahlen?

Entweder wird die Zahlung über die digitale Währung Bitcoin geregelt, über den Transferanbieter Western Union oder über Prepaid-Karten, die Tankstellen verkaufen. Die Bezahlung in Bitcoin bietet den Angreifern den Vorteil, dass dies anonym geschieht.

Können Experten die Daten retten?

Das ist mittlerweile fast unmöglich. Früher konnten Experten, meist die Hersteller von Antivirenprogrammen, die Verschlüsselung noch analysieren. Heute arbeiten die Angreifer komplexer. Es gibt mehrere Familien dieser Art von Schadsoftware, bekannt sind Varianten wie Teslacrypt, Cryptowall und Locky.

Wie kann man sich schützen?

Privatanwender sollten immer die aktuellsten Updates ihrer Antivirenprogramme installieren. Außerdem sollten sie extrem misstrauisch sein, ob E-Mail-Anhänge verdächtig sein könnten. "Die Tricks der Angreifer werden immer ausgefeilter. Die Mails sind teilweise so gut gemacht, dass man den Mitarbeitern keinen Vorwurf machen kann", erklärt Holz. In einigen Krankenhäusern hatte sich der Virus über infizierte E-Mail-Anhänge ausgebreitet.

Für Firmen böten sich sogenannte Sandkastenlösungen an. Das sind künstliche "Opfer-Systeme", die alle Anhänge vorher testen. Von allen wichtigen Dateien sollten immer Sicherheitskopien gemacht werden.

Wer sind die Angreifer?

"Innerhalb der vergangenen Jahre hat sich die ganze Szene professionalisiert", meint Holz. Die Hacker arbeiten arbeitsteilig. Einige entwickeln die Verschlüsselung, andere nehmen die eigentlichen Angriffe mittels E-Mail vor oder über eine infizierte Internetseite. Wieder andere sind Experten für die verdeckten Geldflüsse. "Das kann man sich in Foren im Internet als Dienstleistung einkaufen", erklärt Holz. Die Täter säßen oft im ehemaligen Ostblock.

Sind die Angriffe auf Krankenhäuser zufällig?

In der Regel streuen Angreifer ihre Schadsoftware breit. Die Betroffenen sollen beispielsweise jeweils 50 Euro zahlen und sich nicht an die Polizei wenden. Der Sicherheitsforscher Kevin Beaumont sagte gegenüber "Spiegel Online", dass er innerhalb von 24 Stunden 17.000 Neuinfektionen mit Locky in Deutschland gezählt habe. Derzeit sind auffällig viele Krankenhäuser das Ziel: "Ich denke, das sind gezielte Angriffe, eine solche Häufung wäre sonst ungewöhnlich", sagt Thorsten Holz. Die ermittelnde Staatsanwaltschaft Köln erklärt, dass bislang alle Möglichkeiten denkbar wären.