Cyberangriff auf Franziskus Hospital Bielefeld (Dez. 2023)

Das Franziskus Hospital Bielefeld ist zum 24. Dezember 2023 Opfer eines Cyberangriffs geworden. Ein Blog-Leser hat mich auf diesen Vorfall hingewiesen (danke dafür). Es handelt sich wohl um eine Infektion mit der Lockbit 3.0 Ransomware und es sind mehrere Häuser des Krankenhausverbunds (Bielefeld, Rheda-Wiedenbrück und Herford) betroffen. Die IT hat die  Systeme heruntergefahren und versucht momentan die Auswirkungen festzustellen. Ergänzung: Die Lockbit-Operatoren wollen prüfen, warum die Kliniken angegriffen werden.

Angriff am Morgen des 24. Dezember

Der Cyberangriff wurde wohl in den frühen Morgenstunden des 24.12.2023 festgestellt. Unbekannte haben sich, laut Mitteilung der Klinik, Zugang zu den Systemen der IT-Infrastruktur der Krankenhäuser verschafft und gezielt Daten verschlüsselt. Ein erste Prüfung ergab, dass es sich wahrscheinlich um eine Cyberattacke durch Lockbit 3.0 handelt, deren zeitliche Behebung derzeit noch nicht absehbar ist

Aus Sicherheitsgründen wurden direkt nach Bekanntwerden noch in der Nacht alle Systeme heruntergefahren und alle nötigen Personen und Institutionen informiert. Als Folge ist das gesamte IT-System der Krankenhäuser:

• Franziskus Hospital Bielefeld,
• Sankt Vinzenz Hospital Rheda-Wiedenbrück und
• Mathilden Hospital Herford

ausgefallen. Zum Ausmaß des Schadens sowie zu eventuellen Forderungen oder Bedingungen können die Betreiber zum jetzigen Zeitpunkt noch keine Angaben gemacht werden. Die Verantwortliche für die IT haben noch in der Nacht einen Krisenstab eingerichtet und mit der Analyse der Situation begonnen. Die Zugänge zu allen Systemen wurden unmittelbar gesperrt.

"Dank der IT-Sicherungssysteme sind Patientendaten für die Behandlung der Patienten aber noch verfügbar." sagt Dr. Jan Schlenker, Geschäftsführer der KHO gGmbH. Die zuständigen Behörden wurden informiert und die internen wie externen IT-Sicherheitsspezialisten arbeiten mit Hochdruck an der Aufklärung des Sachverhaltes und der Sicherung aller Daten.

"Unsere Sicherungsarbeiten laufen auf Hochtouren. Die Patientenversorgung ist weiterhin gewährleistet und der Klinikbetrieb läuft mit leichten technische Einschränkungen weiter, wir haben uns jedoch aus Sicherheitsgründen von der Notfallversorgung abgemeldet", so der stellvertretende Geschäftsführer Philipp Herzog.

Die Kliniken gehören zur KHO (Katholische Hospitalvereinigung Ostwestfalen gGmbH). Seit Juli 2022 stellen rund 3.300 Mitarbeiterinnen und Mitarbeiter der KHO gGmbH gemeinsam die medizinische Versorgung der Patienten in der Region Ostwestfalen sicher.

Alles ein Versehen?

Ergänzung: Die Lockbit-Operatoren wollen prüfen, warum die Kliniken angegriffen werden. Ich bin zum 29. Dezember 2023  auf X auf einen Tweet gestoßen – vx-underground hat mit den Lockbit Ransomware-Operatoren wegen des obigen Angriffs gesprochen. Hier die Aussage:

Yesterday we spoke with Lockbit ransomware group administrative staff regarding one of their affiliates attacking KHO (Katholische Hospitalvereinigung Ostwestfalen), a German hospital network. This attack has shut down 1,842 hospital beds, 23 specialist departments, and made it difficult to work for over 820 health professionals. Lockbit administration has agreed to further investigate the situation and evaluate the circumstances of the victim. However, in order to investigate this, Lockbit administration needs the decryption ID provided to the victim (KHO) which was listed in the ransomware note on the victims machine(s). If Lockbit administration rules this attack violated their terms of service they will issue a decryptor to the healthcare facility for free. If any of you have the decryption ID which was present in the ransomware note, please give it to us. Thank you.

Die Lockbit-Operatoren bräuchten die Decryption ID, die dem Opfer in einer Meldung auf den infizierten Systemen genannt worden sein sollte. Dann gibt es den Decryptor ggf. kostenlos.

Ähnliche Artikel:
"Cyber-Angriff" auf Klinikum Esslingen – Citrix-Bleed ausgenutzt?
LKA BW: Warnung an Krankenhäuser und Rehabilitationseinrichtungen vor CITRIX-Schwachstellen
Cyberangriff auf Uniklinik Frankfurt entdeckt?
Unfallkasse Thüringen erneut Opfer eines Cyberangriffs (18. Dez. 2023)
Cyberangriff auf 'BlueBrixx' (BB Services GmbH) – 21.12.2023
GvW Graf von Westphalen Opfer eines Cyberangriffs geworden (Dez. 2023)
EasyPark Opfer eines Cyberangriffs, Datenabfluss hat stattgefunden (Dez. 2023)
Convotis (Geiger BDT) bestätigt Cyberangriff, Infrastruktur über Citrix Netscaler ADC kompromittiert?
Inros Lackner SE: Gab es einen Cyberangriff bei der Firma? Ja!
Südwestfalen IT: Wiederanlauf nach Cyberangriff dauert länger; Betreiber werden Versäumnisse vorgeworfen
Booking.com von Cyberangreifern missbraucht – Phishing und Malware verschickt
Cyber-News: Details zum Dena-Angriff, Fresenius Medical Care, Bluetooth-Schwachstelle und mehr
Neue Cyber-Vorfälle: Cyberlink, Welltok-Gesundheitsdaten, etc.
Studie: Ursprung von 50% aller Cyberangriffe ist die Cloud
Cyberangriffe: 75 Prozent sehen Cloud-Infrastruktur als größte Risikoquelle