Auf die Kreisklinik Roth in Mittelfranken wurde ein Cyberangriff auf die IT verübt, wodurch die Internetverbindung der Klinik an außen am 7. Januar 2026 gekappt und die Notaufnahme von der Versorgung abgemeldet wurde. Inzwischen ist die Notaufnahme der Klinik aber wieder verfügbar.
Roth ist die Kreisstadt des mittelfränkischen Landkreises Roth. Die Stadt gehört zur Europäischen Metropolregion Nürnberg.
Angriff auf die Klinik-IT
Ein Blog-Leser aus der Ärzteschaft hat mich gestern über einen Cyberangriff auf die Kreisklinik Roth informiert.
Auf deren Webseite finden sich nur die Informationen aus obigem Screenshot, aus denen hervorgeht, dass die Kreisklinik Roth hat am Mittwoch, den 7. Januar 2026, die Internetverbindung vorsorglich nach außen getrennt habe. Hintergrund sei ein externer Zugriff auf das interne IT-Netzwerk.
Die eingesetzten Sicherheitsmechanismen, insbesondere die Antivirensoftware, habe nach aktuellem Stand ordnungsgemäß gegriffen, teilt die Klinik mit. Gleichwohl konnte nicht vollständig ausgeschlossen werden, dass es kurzzeitig zu einem externen Zugriff gekommen sein könnte. Entsprechende interne und externe Prüfungen wurden daher eingeleitet.
Patientenversorgung gesichert aber eingeschränkt
Die stationäre Patientenversorgung sowie der Betrieb im MVZ sei davon nicht betroffen und laufe kontinuierlich. Teilweise greife man, etwa bei der Übersendung von Laborergebnissen, auf frühere Kommunikationswege wie Fax zurück, heißt es. Rezepte und Krankschreibungen würden analog erstellt und für die Patientinnen und Patienten ausgedruckt.
Notaufnahme zeitweise abgemeldet
Aus Gründen der Patientensicherheit hat sich die Notaufnahme für einige Stunden abgemeldet, da unter anderem Empfang und Versand von radiologischen Aufnahmen nicht möglich war. "Die Notfallversorgung in der Region ist dennoch gesichert. Die Rettungsstelle ist informiert und leitet Notfälle in die umliegenden Krankenhäuser um.", hieß es. Die Notaufnahme ist aber seit dem 8. Januar 2026 wohl wieder in der Notfallversorgung angemeldet.
Die Untersuchung des Vorfalls läuft
Von der IT-Abteilung wurden nach dem Auftreten des Verdachts eines erfolgreichen Cyberangriffs die Krankenhausleitung eingebunden und die Notfallpläne aktiviert (siehe obige Maßnahmen). Zudem wurden alle gesetzlich und fachlich erforderlichen Stellen informiert. Dazu zählen die Abteilung Cybercrime des Landeskriminalamts, die zuständige Datenschutzaufsichtsbehörde sowie das Landesamt für Sicherheit in der Informationstechnik.
Parallel wurden externe IT-Forensik-Experten hinzugezogen. Die technische Analyse und die forensische Untersuchung dauern an. Das Landeskriminalamt Bayern hat nach Rücksprache mit dem Bayerischen Innenministerium entschieden, strafrechtliche Ermittlungen aufzunehmen. Ermittler des LKA sind am Mittwochnachmittag (7.1.2026) im Krankenhaus eingetroffen und stellen weiteren Untersuchungen an.
Die IT-Systeme der Kreisklinik Roth solle erst dann wieder vollständig mit dem Internet verbunden werden, wenn die Ermittlungen des Landeskriminalamts sowie die begleitenden forensischen Untersuchungen abgeschlossen seien und aus fachlicher Sicht Entwarnung gegeben werden könne. Falls jemand aus der Leserschaft mehr technische Details zum Vorfall weiß, kann er sich ja melden.
MVP: 2013 – 2016
Früher hatten Angreifer noch einen Ehrenkodex, dass sie medizinische Einrichtungen nicht angreifen. Die sollten sich echt schämen und ich hoffe, sie werden irgendwann gefasst und für ihr ruchloses Verhalten streng bestraft.
Das mit dem s.g. "Ehrenkodex" halte ich für ein Ger(i)ücht – siehe Graffitikunst und wie die (möglichen) Strafen aussehen, kennt man und frau ja mittlerweile – "Dududu (mit dem Zeigefinger zeig)…" und höchtens Geldstrafe mit Tagessätzen!
Naja, wie will man die Angreifer fassen?
Die kommen i.d.R. aus dem Ausland.
Es gab auch einen Angriff auf einen Server der Stadt Mannheim im Dezember.
Der kam lt. Mitteilung der Pressesprechering von außerhalb Europas.
Der Angriff konnte aber erfolgreich abgewehrt werden.
https://www.swr.de/swraktuell/baden-wuerttemberg/mannheim/cyberangriff-it-attacke-server-stadt-mannheim-abgewehrt-100.html
Die Attribuierung von Angriffen ist nicht trivial. Ich kann in Deutschland sitzen und mir problemlos eine "IP-Adresse aus Ebonien" besorgen und schon kann man von einem Angriff von außerhalb Europas faseln.
Der spannende Teil am Artikel ist, dass die "Fachleute" ihre Arbeit grundsätzlich nicht erledigt haben, wenn es bekannte Schwachstellen in den eingesetzten Produkten gab. Aber das spart der SWR lieber aus, würde es doch einen belangbaren Protagonisten und gar Arbeit bedeuten.
Hat mal jemand den SWR-Artikel gelesen? Da steht doch tatsächlich:
"Das IT-Sicherheitssystem der Stadt habe den Angriff aber frühzeitig erkannt. Direkt danach hätten die IT-Fachleute der Stadt … die betroffene Schwachstelle durch entsprechende Sicherheitsupdates geschlossen".
Wie kann man nur so merkbefreit sein, öffentlich zuzugeben, dass man Sicherheitsupdates verschlafen hatte?
Das sind gar keine zielgerichteten Attacken, sondern nur das Fischen im Tümpel der miserablen IT-Sicherheit. Davon ab gibt so einen Ehrencodex nicht und selbst wenn, halten sich die Leute, die ihn sich selbst geben, selbst nicht konsequent daran.
Es wäre so einfach das zu verhindern.
Das Zauberwort heißt getrennte Netze auf Hardwareebene.
Betr. "Falls jemand aus der Leserschaft mehr technische Details zum Vorfall weiß, kann er sich ja melden.":
Ich bezweifle, ob Artikel wie dieser auf längere Sicht eine heilsame Wirkung in Belangen der Informationssicherheit entfalten. Im Gegenteil: Sattsam bekannte, floskelhafte Wiederholungen wie "Notfallpläne aktiviert, "IT-Forensik-Experten hinzugezogen", und "strafrechtliche Ermittlungen" erlauben es angegriffenen Institutionen mit Unterstützung der Journaille (u. a. auch Golem, Heise) sich bequem und gewohnheitsmässig in der Opferrolle einzurichten und die Öffentlichkeit ruhig zu stellen. Heilsamer Druck wird so jedenfalls nicht aufgebaut.
Leider haben in Deutschland Journalisten kein Zeugnisverweigerungsrecht, wenn sie über Informationen verfügen, die sie im Gespräch mit Hackern erhielten, wenn diese Auskünfte "zur Aufklärung eines Verbrechens beitragen" können (Rechtsgrundlage § 53 StPO Absatz 2 Satz 2). Denn sonst wäre vorzuschlagen, dass sich die Presse zur Informationsbeschaffung gar nicht erst mit reflexhaft abwiegelnden Pressesprechern abgibt, sondern forciert mit der Gegenseite, also den Angreifern in Kontakt zu kommen versucht.
Jede oberflächliche Berichterstattung über Cyberangriffe wirkt exkulpierend und ist ein Bärendienst an Bemühungen zur Erhöhung der Informationssicherheit.
Kann man alles so sehen, muss man aber nicht.