Eine nationale Cyber-Attacke auf rumänische Krankenhäuser im Februar 2024 stellte eines der gravierendsten Angriffe auf Gesundheitssysteme weltweit dar. Die Kriminellen verbreiteten sich über eine gängige medizinische Software und setzten unzählige Leben aufs Spiel. Das nationale Cybersicherheitszentrum in Bukarest sah hilflos zu, wie die Eindringlinge das Netz durchdrangen. Cyber-Chef Dan Cimpean traf eine schwierige Entscheidung, doch die Anweisung ging aus: Die Krankenhäuser mussten unverzüglich die Verbindung zum Internet kappen.
Diese Maßnahme stoppte die Angreifer abrupt und verschaffte Zeit, um die Schwere des Angriffs zu bestimmen. Da alle vernetzten Geräte, E-Mails und Webbrowser abgeschaltet wurden, mussten das medizinische Personal auf analoge Verfahren zurückgreifen. Ärzte und Pflegekräfte improvisierten Arbeitsabläufe, um die Patientenversorgung zu sichern, während die IT-Teams versuchten, die Ursache des Eindringens zu ermitteln. Die Reaktionen der medizinischen Fachkräfte über vier Tage hinweg wurden international gelobt und dienten als Fallbeispiel für Katastrophenplaner.
Die Angreifer nutzten eine Ransomware namens BackMyData, um Dateien in unverständliche Zeichen umzuwandeln und forderten Lösegeld in Bitcoin. Das Pitești-Kinderkrankenhaus war eines der ersten Einrichtungen, die am Sonntag nach Beginn des Angriffs Fehler im System feststellten. Bis zum Morgen des Montags meldeten viele weitere Krankenhäuser, dass das Hippocrates-System außer Betrieb war. Die Cyber-Experten kooperierten mit dem Hersteller der Software, um die betroffenen Systeme zu identifizieren und die Eindringlinge auszusperren.
Die Ärzte entwickelten Notfalllösungen, um die Patientenakten zu erfassen. Sie baten Labore um Ergebnisse auf Papier und nutzten einfache Programme wie Excel, um die Patientenversorgung aufrechtzuerhalten. Diese Rückkehr zu analogen Prozessen half durch die relativ jüngste Digitalisierung der rumänischen Systeme. Eine Untersuchung ergab, dass zwanzigsechs Krankenhäuser mit BackMyData infiziert waren.
Die nationale Entscheidung, kein Lösegeld zu zahlen, wurde getroffen. Obwohl die Wartebereiche gefüllt blieben und Patienten Verärgerung zeigten, wurde betont, dass Krankenhäuser weder Kontakt zu den Angreifern aufnehmen noch Lösegeld zahlen sollten. Die IT-Teams stießen auf relativ aktuelle Datensicherungen, was eine schnelle Wiederherstellung ermöglichte. Innerhalb von fünf Tagen waren die meisten Krankenhäuser wieder online und funktionierten nahezu normal, ohne dass Todesfälle oder schwere Schäden an Patienten gemeldet wurden.
Die Vorfälle unterstrichen die Gefahr, die mit der zunehmenden Digitalisierung kritischer Infrastrukturen verbunden ist. Experten betonten, dass die Menge an Technologie das Risiko erhöhte. Die Erfahrung zeigte, dass regelmäßige Datensicherungen entscheidend waren, um bei solchen Ereignissen schnell reagieren zu können. Die Attacken zeigten, dass Krankenhäuser und Gesundheitseinrichtungen ein attraktives Ziel für Kriminelle waren, da die Störung kritischer Dienste das Lösegeld erhöhte.