Dass Gesundheitseinrichtungen gehackt werden, obwohl dadurch Menschenleben in Gefahr geraten könnten, ist nichts Neues. Ungewöhnlich ist allerdings, was jetzt im Falle der Sick-Kids-Klinik im kanadischen Toronto passiert ist: Die Anbieter der genutzten Ransomware haben sich beim Krankenhaus für den Angriff entschuldigt und eine kostenfreie Entschlüsselung angeboten.

Am 18. Dezember 2022 hatte das Hospital for Sick Children im kanadischen Toronto einen „Cybersicherheitsvorfall“ gemeldet – die Kinderklinik war gehackt worden.

Mithilfe der Ransomware Lockbit hatten Angreifende die Systeme der Klinik verschlüsselt. Die Folge: Verzögerungen beim Abruf von Labor- und Bildgebungsergebnissen, Schwierigkeiten beim Versand von Rezepten und dadurch noch längere Wartezeiten für die jungen Patient:innen und deren Familien. Personenbezogene Daten oder persönliche Gesundheitsdaten seien jedoch nicht betroffen, hieß es von der Klinik.

Statt sich den Zugang zu ihren Systemen durch eine Lösegeldzahlung zurückzukaufen, hatten die IT-Teams der Klinik daraufhin begonnen, die wichtigsten Systeme nach und nach selbst wieder zu entschlüsseln – und dabei ein ungewöhnliches Hilfsangebot erhalten.

13 Tage nach dem Angriff meldeten sich nämlich die Betreiber von Lockbit zu Wort. Auf ihrer Seite im Darknet, die normalerweise mit Berichten über erfolgreiche Hackerangriffe wirbt, schrieben sie: „Wir entschuldigen uns förmlich für die Attacke auf Sick Kids und geben dem Krankenhaus den Schlüssel zum Entschlüsseln gratis. Der Partner, der das Krankenhaus angegriffen hat, hat unsere Regeln verletzt und ist nicht länger in unserem Affiliate-Programm.“

Mit ihrer Entschuldigung geben die Lockbit-Betreiber einen Einblick in ihr Ransomware-Geschäft. Das funktioniert wie folgt: Statt selbst Cyberangriffe durchzuführen, vermieten sie ihre Schadsoftware an sogenannte Affiliates, also Drittparteien. Wenn die nach einer gelungenen Attacke Lösegeld für die Entschlüsselung erhalten, gehen 20 Prozent des Gewinns an Lockbit.

Ein paar Regeln gibt es dabei allerdings auch – und dazu gehört unter anderem ein Verbot, „Einrichtungen zu verschlüsseln, bei denen eine Beschädigung der Dateien zum Tod führen könnte, wie zum Beispiel kardiologische Zentren, neurochirurgische Abteilungen, Entbindungskliniken und dergleichen“. Der Angriff auf die Kinderklinik in Toronto stellt dagegen einen Verstoß dar, für den sich die Ransomware-Betreiber spät, aber doch noch entschuldigt haben.

Vom Krankenhaus heißt es derweil, man habe das Statement der Ransmoware-Gruppe und deren Entschlüsselungsangebot „zur Kenntnis genommen“. Allerdings soll jetzt noch geklärt werden, wie vertrauenswürdig das Ganze ist: „Wir haben unsere externen Experten beauftragt, die Verwendung des Entschlüsselungsprogramms zu überprüfen und zu bewerten.“

Über 60 Prozent der wichtigsten Systeme habe die Klinik zum 1. Januar bereits selbst wieder hergestellt, „die Wiederherstellungsarbeiten laufen weiter und kommen gut voran“.