Studie: Mindestens 750 US-Krankenhäuser waren während des CrowdStrike-Ausfalls im letzten Jahr von Störungen betroffen

Als heute vor einem Jahr ein fehlerhaftes Software-Update der Cybersicherheitsfirma CrowdStrike Millionen von Computern weltweit lahmlegte und sie in eine Todesspirale aus wiederholten Neustarts schickte, entsprachen die globalen Kosten all dieser abgestürzten Maschinen denen eines der schlimmsten Cyberangriffe der Geschichte. Die verschiedenen Schätzungen des weltweiten Gesamtschadens gehen teilweise in die Milliarden Dollar.

Eine neue Studie eines Teams von Cybersicherheitsforschern im medizinischen Bereich hat nun erste Schritte unternommen, um die Kosten der CrowdStrike-Katastrophe nicht in Dollar, sondern in Form des potenziellen Schadens für Krankenhäuser und ihre Patienten in den USA zu beziffern. Sie liefert Hinweise darauf, dass die Dienste Hunderter dieser Krankenhäuser während des Ausfalls unterbrochen waren, und gibt Anlass zur Sorge über potenziell schwerwiegende Auswirkungen auf Gesundheit und Wohlbefinden der Patienten.

Forscher der University of California in San Diego haben heute den ersten Jahrestag der CrowdStrike-Katastrophe mit der Veröffentlichung eines Artikels in JAMA Network Open, einer Publikation des Journal of the American Medical Association Network, begangen. Darin wird erstmals versucht, eine grobe Schätzung der Anzahl der Krankenhäuser vorzunehmen, deren Netzwerke von dem IT-Zusammenbruch am 19. Juli 2024 betroffen waren. Außerdem wird angegeben, welche Dienste in diesen Netzwerken offenbar gestört waren.

Durch die Untersuchung internetexponierter Bereiche von Krankenhausnetzwerken vor, während und nach der Krise stellten sie fest, dass an diesem Tag in mindestens 759 Krankenhäusern in den USA offenbar Netzwerkstörungen aufgetreten waren. Sie fanden heraus, dass mehr als 200 dieser Krankenhäuser von Ausfällen betroffen waren, die sich direkt auf Patienten auswirkten – von unzugänglichen Gesundheitsakten und Testscans bis hin zu offline gehenden fetalen Überwachungssystemen. Von den 2.232 Krankenhausnetzwerken, die sie scannen konnten, stellten die Forscher fest, dass 34 Prozent von ihnen offenbar von Störungen betroffen waren.

All dies deutet darauf hin, dass der CrowdStrike-Ausfall ein „erhebliches Problem für die öffentliche Gesundheit“ gewesen sein könnte, argumentiert Christian Dameff, Notfallmediziner und Cybersicherheitsforscher an der UCSD und einer der Autoren der Studie. „Hätten wir die Daten dieser Studie vor einem Jahr gehabt, als das passierte“, fügt er hinzu, „wären wir, glaube ich, viel besorgter darüber gewesen, welche Auswirkungen es tatsächlich auf das US-Gesundheitswesen hatte.“

CrowdStrike kritisierte in einer Stellungnahme gegenüber WIRED die UCSD-Studie und die Entscheidung von JAMA, sie zu veröffentlichen, scharf und bezeichnete die Arbeit als „Junk Science“. Sie weisen darauf hin, dass die Forscher nicht überprüft hätten, ob in den gestörten Netzwerken Windows- oder CrowdStrike-Software lief. Außerdem wurde darauf hingewiesen, dass Microsofts Cloud-Dienst Azure am selben Tag einen größeren Ausfall hatte, der möglicherweise für einige der Netzwerkstörungen im Krankenhaus verantwortlich war. „Rückschlüsse auf Ausfallzeiten und Patientenauswirkungen zu ziehen, ohne die Ergebnisse mit einem der genannten Krankenhäuser zu überprüfen, ist völlig unverantwortlich und wissenschaftlich nicht vertretbar“, heißt es in der Stellungnahme.

„Obwohl wir die Methodik und die Schlussfolgerungen dieses Berichts ablehnen, sind wir uns der Auswirkungen des Vorfalls vor einem Jahr bewusst“, heißt es in der Erklärung weiter. „Wie wir von Anfang an gesagt haben, entschuldigen wir uns aufrichtig bei unseren Kunden und den Betroffenen und konzentrieren uns weiterhin darauf, die Widerstandsfähigkeit unserer Plattform und der Branche zu stärken.“

Als Reaktion auf CrowdStrikes Kritik erklären die UCSD-Forscher, sie stünden an ihren Ergebnissen. Der von CrowdStrike festgestellte Azure-Ausfall, so betonen sie, habe in der Nacht zuvor begonnen und hauptsächlich die zentralen USA betroffen. Die von ihnen gemessenen Ausfälle hingegen hätten am 19. Juli gegen Mitternacht US-Ostküstenzeit begonnen – etwa zu der Zeit, als CrowdStrikes fehlerhaftes Update Computer zum Absturz brachte – und das ganze Land betroffen. (Microsoft reagierte nicht unmittelbar auf eine Bitte um Stellungnahme.) „Uns ist keine andere Hypothese bekannt, die solche gleichzeitigen, geografisch verteilten Dienstausfälle in Krankenhausnetzwerken, wie wir sie hier sehen, erklären würde“, schreibt Stefan Savage, Informatikprofessor an der UCSD und einer der Co-Autoren des Artikels, in einer E-Mail an WIRED. (JAMA lehnte eine Stellungnahme zu CrowdStrikes Kritik ab.)

Tatsächlich beschreiben die Forscher ihre Zählung der festgestellten Krankenhausstörungen lediglich als eine Mindestschätzung und nicht als Maß für den tatsächlichen Explosionsradius der CrowdStrike-Angriffe. Das liegt unter anderem daran, dass die Forscher nur etwa ein Drittel der über 6.000 amerikanischen Krankenhäuser scannen konnten. Dies lässt darauf schließen, dass die tatsächliche Zahl der betroffenen medizinischen Einrichtungen um ein Vielfaches höher sein könnte.

Die Ergebnisse der UCSD-Forscher stammen aus einem größeren Internet-Scanning-Projekt namens „Ransomwhere?“, das von der Advance Research Projects Agency for Health finanziert und Anfang 2024 gestartet wurde, um Ransomware-Ausfälle in Krankenhäusern aufzuspüren. Im Rahmen dieses Projekts untersuchten sie bereits US-Krankenhäuser mit den Scan-Tools ZMap und Censys, als sich im Juli 2024 die CrowdStrike-Katastrophe ereignete.

Bei den 759 Krankenhäusern, in denen die Forscher am 19. Juli einen Ausfall eines Dienstes feststellten, konnten sie mithilfe ihrer Scans auch analysieren, welche spezifischen Dienste offenbar ausgefallen waren. Dabei nutzten sie öffentlich zugängliche Tools wie Censys und das Lantern Project, um verschiedene medizinische Dienste zu identifizieren, und überprüften manuell einige webbasierte Dienste, die sie nutzen konnten. Sie stellten fest, dass in 202 Krankenhäusern Dienste ausfielen, die direkt mit den Patienten in Verbindung standen. Zu diesen Diensten gehörten Mitarbeiterportale zur Einsicht in Patientenakten, Systeme zur fetalen Überwachung, Tools zur Fernüberwachung der Patientenversorgung, sichere Dokumentenübertragungssysteme für die Verlegung von Patienten in ein anderes Krankenhaus, „präklinische“ Informationssysteme wie Tools zur Übermittlung erster Testergebnisse vom Krankenwagen an die Notaufnahme für Patienten mit zeitkritischen Behandlungen sowie Bildspeicher- und -abrufsysteme, mit denen Ärzte und Patienten die Ergebnisse von Scans zur Verfügung gestellt werden.

„Wenn ein Patient einen Schlaganfall erlitten hätte und der Radiologe schnell ein Scanbild ansehen müsste, wäre es viel schwieriger, es vom CT-Scanner zum Radiologen zu bringen, damit dieser es auswerten kann“, nennt Dameff ein hypothetisches Beispiel.

Die Forscher stellten außerdem fest, dass 212 Krankenhäuser Ausfälle betriebsrelevanter Systeme wie Personaleinsatzplanungsplattformen, Rechnungszahlungssysteme und Tools zur Verwaltung von Patientenwartezeiten aufwiesen. In einer weiteren Kategorie forschungsrelevanter Dienste waren laut der Studie 62 Krankenhäuser von Ausfällen betroffen. Der größte Teil der Ausfälle entfiel auf die Kategorie „Sonstige“, die Offline-Dienste umfasste, die die Forscher bei ihren Untersuchungen in 287 Krankenhäusern nicht vollständig identifizieren konnten. Dies deutet darauf hin, dass auch einige dieser Dienste möglicherweise nicht erfasst wurden.

„In diesem Artikel wird nicht erwähnt, dass beispielsweise ein Schlaganfall falsch diagnostiziert wurde oder dass es zu Verzögerungen bei der Behandlung lebensrettender Antibiotika kam. Aber das könnte der Fall sein“, sagt Dameff. „Ich denke, es gibt zahlreiche Belege für derartige Störungen. Es lässt sich kaum argumentieren, dass die Menschen nicht potenziell erheblich betroffen waren.“

Die Ergebnisse der Studie geben vereinzelten Berichten über die Auswirkungen des CrowdStrike-Ausfalls auf medizinische Einrichtungen, die bereits im letzten Jahr aufgetaucht waren, eine völlig neue Dimension. WIRED berichtete damals, dass sowohl das Baylor Hospital Network, ein großes gemeinnütziges Gesundheitssystem, als auch Quest Diagnostics Routineblutuntersuchungen nicht durchführen konnten. Das Bostoner Krankenhaus Mass General Brigham musste Berichten zufolge 45.000 seiner PCs wieder online bringen, was jeweils eine manuelle Reparatur erforderte, die 15 bis 20 Minuten dauerte.

In ihrer Studie versuchten die Forscher auch, die Dauer der Ausfallzeit der vom CrowdStrike-Ausfall betroffenen Krankenhausdienste grob zu messen. Dabei stellten sie fest, dass sich die meisten relativ schnell erholten: Etwa 58 Prozent der Krankenhausdienste waren innerhalb von sechs Stunden wieder online, und nur bei etwa 8 Prozent dauerte die Wiederherstellung mehr als 48 Stunden.

Dies sei eine deutlich kürzere Störung als die Ausfälle durch tatsächliche Cyberangriffe auf Krankenhäuser, so die Forscher: Massenhaft verbreitete Malware-Angriffe wie NotPetya und WannaCry im Jahr 2017 sowie der Ransomware-Angriff auf Change Healthcare , der die Zahlungsdienstleister-Tochtergesellschaft von United Healthcare Anfang 2024 traf, legten in den USA – oder im Fall von WannaCry in Großbritannien – zahlreiche Krankenhäuser für teilweise Tage oder Wochen lahm. Dennoch sollten die Auswirkungen des CrowdStrike-Debakels mit den absichtlich herbeigeführten digitalen Katastrophen in Krankenhäusern verglichen werden, argumentieren die Forscher.

„Die Dauer der Ausfallzeiten ist unterschiedlich, aber das Ausmaß, die Anzahl der im ganzen Land betroffenen Krankenhäuser, das Ausmaß und die potenzielle Intensität der Störung sind ähnlich“, sagt Jeffrey Tully, Kinderarzt, Anästhesist und Cybersicherheitsforscher, der die Studie mitverfasst hat.

Eine Verzögerung von Stunden oder sogar Minuten kann die Sterblichkeitsrate bei Herzinfarkt- und Schlaganfallpatienten erhöhen, sagt Josh Corman, Cybersicherheitsforscher mit Schwerpunkt auf medizinischer Cybersicherheit am Institute for Security and Technology und ehemaliger CISA-Mitarbeiter, der die UCSD-Studie überprüft hat. Das bedeutet, dass selbst ein kürzerer Ausfall patientenbezogener Dienste in Hunderten von Krankenhäusern konkrete und schwerwiegende – wenn auch schwer messbare – Folgen haben könnte.

Neben einer ersten Schätzung der möglichen gesundheitlichen Folgen dieses einzelnen Vorfalls betont das UCSD-Team, dass die eigentliche Aufgabe seiner Studie darin besteht, zu zeigen, dass es mit den richtigen Tools möglich ist, diese massiven Ausfälle medizinischer Netzwerke zu überwachen und daraus zu lernen. Das Ergebnis könnte ein besseres Verständnis dafür vermitteln, wie Krankenhäuser künftig vor solchen Ausfällen geschützt werden können – oder im Falle gezielt herbeigeführter Ausfälle durch Cyberangriffe und Ransomware.