Nur eine Woche nach der Cyberattacke auf die größte Pipeline in den USA hat es in Irland den womöglich schwersten Hackerangriff in der Geschichte des Landes gegeben. Ziel war am Freitag der öffentliche Gesundheitsdienst HSE, der deshalb sein gesamtes Computersystem abschalten musste. Derweil wurden offenbar von Unbekannten die Server lahmgelegt, die von der für den Angriff auf die US-Pipeline mutmaßlich verantwortlichen Hackergruppe Darkside genutzt wurden.
„Es gibt einen bedeutenden Ransomware-Angriff auf die IT-Systeme von HSE“, erklärte die Behörde im Onlinedienst Twitter. Vorsorglich seien alle Systeme heruntergefahren worden. In den Krankenhäusern wurden alle nicht-dringenden Termine abgesagt.
Nach Angaben von Staatsminister Ossian Smyth war es „vermutlich der bisher schwerste kriminelle Cyberangriff auf den irischen Staat“. Es handele sich um eine „internationale Attacke“, aber „nicht um Spionage“, sagte er dem Sender RTE. „Das sind kriminelle Internet-Gangs, die Geld wollen.“
Auch HSE-Chef Paul Reid sprach von einer „international betriebenen kriminellen Operation“ und sagte RTE: „Wir befinden uns in einem sehr frühen Stadium, um die Bedrohung vollständig zu verstehen.“ Es werde versucht, das Problem „einzudämmen“. Bei der Cyberattacke wurde nach ersten Erkenntnissen ähnliche Schadstoff-Software wie bei dem Hackerangriff auf die größte Pipeline in den USA vor einer Woche verwendet.
Die Sicherheit der Patienten war laut HSE durch den Angriff nicht gefährdet. Die Behörde stellte zugleich klar, dass der Ablauf der Corona-Impfungen durch den Vorgang nicht betroffen sei. Die Impfungen „finden wie geplant statt“. Auch der Rettungsdienst und die Notaufnahmen seien nicht beeinträchtigt.
In der Rotunda-Entbindungsklinik in Dublin führte der Vorfall jedoch dazu, dass das Krankenhaus nur noch Notfälle und Frauen aufnahm, die mindestens in der 36. Schwangerschaftswoche sind. Der Angriff ziele auf Computer, auf denen Patientendaten gespeichert seien, sagte der Chef des Krankenhauses, Fergal Malone. Durch das Herunterfahren des IT-Systems werde jetzt mit Papierunterlagen gearbeitet, was zu Verzögerungen führe. Die technischen Geräte würden jedoch einwandfrei funktionieren.
Die Attacke zeigte laut Experten Ähnlichkeit mit dem Angriff auf die Colonial-Pipeline in den USA, der zu Panikkäufen an Tankstellen entlang der Ostküste der USA geführt hatte. Dafür macht die US-Bundespolizei Software der Hackergruppe Darkside verantwortlich.
Darkside-Software steckte zudem nach Unternehmensangaben auch hinter einem Angriff auf eine französische Tochtergesellschaft des japanischen Toshiba-Konzerns. Die auf Drucker spezialisierte Firma Toshiba TFIS teilte am Freitag mit, sie sei „am 4. Mai von Darkside-Software gehackt worden“.
Die mysteriöse Hackergruppe war im vergangenen Jahr erstmals aufgetaucht. Sie stellt ihre hochentwickelte Schadsoftware anderen Kriminellen zur Verfügung, damit diese Unternehmen angreifen und Lösegeld für die erbeuteten beziehungsweise gesperrten Daten erpressen können. Der Gewinn wird dann geteilt.
Die Gruppe bezeichnet sich selbst als unpolitisch und nur am Geld interessiert. Verbindungen zu einer Regierung habe sie nicht. Die USA erhoben aber den Vorwurf, dass die Verantwortlichen in Russland seien und die Schadsoftware von dort stamme. Die US-Behörden kündigten einen entschiedenen Kampf gegen Darkside an.
Am Freitag teilte die Cybergruppe des US-Militärs, die 780th Military Intelligence Brigade, eine Erklärung der US-Sicherheitsfirma Recorded Future im Kurzbotschaftendienst Twitter: Demnach wurden von Darkside genutzte Server offenbar von Unbekannten abgeschaltet.
Der Betreiber des Darkside-Erpressungstrojaners habe in einem Post erklärt, den Zugang auf die Server verloren zu haben, berichtete Recorded Future. Betroffen davon seien unter anderem der Blog der Gruppe und der Bezahl-Server. Auch sei durch Erpressung erbeutete Kryptowährung verlorengegangen, erklärte die Gruppe den Angaben zufolge. Recorded Future betonte aber, womöglich handele es sich auch nur um ein Täuschungsmanöver der Hackergruppe, um mit der mutmaßlich erbeuteten Kryptowährung abzutauchen.