Cyber-Attacken haben bereits erhebliche Schäden angerichtet. Neben Erpressungen und Lösegeldforderungen kam es bei Betroffenen zu erheblichen Betriebsunterbrechungsschäden. Cyber-Versicherungen mussten schon entsprechende Schadenzahlungen leisten.
Mit dem Hacker-Angriff auf die Düsseldorf Uniklinik wurde eine neue Eskalationsstufe erreicht: Laut einem Bericht des NRW-Justizministers starb eine lebensbedrohlich erkrankte Frau, die wegen des Angriffs auf die Server der Klinik in der Nacht zum 12. September in ein weiter entferntes Krankenhaus gebracht werden musste. Ihre Behandlung habe erst mit einstündiger Verspätung stattfinden können. Sie starb kurze Zeit später. Die Staatsanwaltschaft Wuppertal ermittelt bereits wegen des Verdachts der Computersabotage und wird das Verfahren möglicherweise um den Vorwurf der fahrlässigen Tötung erweitern.
Die Hacker hätten eine Schwachstelle in einer Anwendung ausgenutzt. „Die Sicherheitslücke befand sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware. Bis zur endgültigen Schließung dieser Lücke durch die Softwarefirma war ein ausreichendes Zeitfenster gegeben, um in die Systeme einzudringen“, teilte die Klinik mit. Die Angreifer hätten dafür gesorgt, dass nach und nach Systeme ausfielen und ein Zugriff auf gespeicherte Daten nicht mehr möglich war.
Die Wiederherstellung der IT-Systeme wird jetzt Wochen benötigen. Bei dem Hacker-Angriff sind nach bisherigen Erkenntnissen keine Daten gestohlen oder unwiederbringlich gelöscht worden. Das hätten Untersuchungen von IT-Experten ergeben, teilte die Klinik mit.
Cyber-Versicherungen schützen das versicherte Unternehmen gegen die Folgen von Datenverlust, Datenschutzverletzung, Hackerangriffe, Erpressung, Verletzung „geistiger Eigentumsrechte“, Persönlichkeitsrechtsverletzungen und Betriebsunterbrechung. Es werden dabei die entstanden Kosten ersetzt oder im Falle der Erpressung eventuell auch das notwendige Lösegeld bezahlt. Vor allem werden durch IT-Dienstleister eine Soforthilfe im Ernstfall und eine unmittelbare Krisenmanagement-Beratung gewährleistet.
Neben den sogenannten „Eigenschäden“ (wie Ersatz der IT-Infrastruktur, Wiederherstellung der Daten) werden auch die Haftpflichtschäden übernommen, also Vermögensschäden die Dritten entstehen, weil das Unternehmen einen Cyber-Vorfall hatte.
Es ist nicht auszuschließen, dass Angehörige der Verstorbenen nun Ansprüche gegen das Uniklinikum geltend machen, wenn sich nachweisen lässt, dass die Schutzmaßnahmen der Klinik mangelhaft waren und man es schuldhaft unterlassen hat, entsprechende Softwareupdates durchzuführen.