Die Folgen eines Cyberangriffs auf den Pathologiedienstleister Synnovis im Juni 2024 werden immer deutlicher, wie aktuelle Untersuchungen zeigen. Demnach trug der Angriff – der zahlreiche Londoner Klinken massiv beeinträchtigt hatte –, auch zum Tod eines Patienten bei. Darüber berichtete unter anderem die BBC.

Laut NHS England liegt in diesem Fall ein "serious incident" vor, da Blutergebnisse durch die IT-Störung nicht rechtzeitig bereitgestellt werden konnten. Das führte nachweislich zu einer Verzögerung der Patientenversorgung und damit zum Tod eines Patienten. Die offiziellen Leitlinien betonen, dass auch "unbeabsichtigte oder unerwartete Vorfälle, Handlungen oder Unterlassungen, die zu Schaden oder Todesfällen führen", als schwerwiegende Sicherheitsvorfälle einzustufen sind.

Da der Tod des Patienten direkt auf die durch den Cyberangriff verursachte Verzögerung zurückzuführen ist, sind demnach eindeutig die Kriterien eines schwerwiegenden Vorfalls infolge eines "externen Ereignisses" im Gesundheitswesen erfüllt: "Acts and/or omissions occurring as part of NHS-funded healthcare [...] that result in: unexpected or avoidable death of one or more people."

Die verspätete Bereitstellung der Blutergebnisse wird als wesentlicher Hauptfaktor unter mehreren Ursachen angesehen, die letztlich zum Tod des Patienten beigetragen haben, wie auch das HIPAA Journal berichtet – ein Fachblatt für Datenschutz und IT-Sicherheit im Gesundheitswesen. Damit wäre das der erste Todesfall in Europa, der konkret mit Ransomware als Ursache in Zusammenhang gebracht wird.

Weitreichende Auswirkungen

Der Angriff, der der Cyberkriminellengruppe Qilin zugeschrieben wird, legte zentrale IT-Systeme lahm und führte dazu, dass zahlreiche Londoner Krankenhäuser ihre Dienstleistungen stark einschränken mussten. Mehr als 10.000 ambulante Termine und über 1.700 geplante Eingriffe, darunter auch lebenswichtige Behandlungen wie Organtransplantationen und Krebstherapien, mussten verschoben werden.

Zudem waren die IT-Systeme der Bluttransfusionslabore stark beeinträchtigt, was zu einem akuten Mangel an Blutkonserven, insbesondere der Blutgruppe 0, führte. In der Folge wurden nicht nur die Bevölkerung, sondern auch NHS-Mitarbeiter und Medizinstudierende aktiv zum Blutspenden aufgerufen. Außerdem wurden Medizinstudenten dazu angehalten, in betroffenen Kliniken auszuhelfen, etwa als Botengänger für Labordaten oder bei der Patientenbetreuung.

In den ersten Tagen nach dem Angriff konnten in einzelnen Kliniken nur noch ein Bruchteil der üblichen Bluttests durchgeführt werden, was insbesondere chronisch Kranke und Risikopatienten traf. Auch Hausarztpraxen, die auf die Laborleistungen von Synnovis angewiesen sind, waren betroffen, sodass Routineuntersuchungen nur verzögert oder gar nicht stattfinden konnten. Finanziell bezifferte Synnovis die Auswirkungen des Angriffs auf mindestens 32,7 Millionen Pfund, wie aus einem Bloomberg-Bericht hervorgeht.

Bereits seit Jahren gab es Spekulationen darüber, ob bereits Menschen infolge eines Cyberangriffs gestorben sind. In einem Fall handelte es sich um eine Patientin aus Düsseldorf, die starb, nachdem sie aufgrund eines Cyberangriffs in ein anderes Krankenhaus verlegt werden musste.