Laut einer Mitteilung der Staatsanwaltschaft Köln und des Landeskriminalamts Nordrhein-Westfalen (LKA NRW) gibt es derzeit keine Hinweise auf einen gezielten Cyber-Angriff auf ein Klinikum in Neuss.
Aus dem nun vorliegenden Ermittlungsbericht des Cybercrime-Kompetenzzentrums des Landeskriminalamts Nordrhein-Westfalen und des sachverständig beauftragten Analyse-Unternehmens GData Advanced Analytics gehen keine Hinweise auf einen gezielten Angriff von Computerkriminellen auf das Lukaskrankenhaus in Neuss hervor.
Die technische Auswertung hat ergeben, dass ein Server des Krankenhauses mit unterschiedlicher Schadsoftware infiziert worden ist, darunter auch mit einer sogenannten Ransomware (Erpressungstrojaner). Dem oder den Tätern ist es gelungen, die Firewall des Krankenhauses zu überwinden, um ihre Software auf einem dahinter liegenden Server zu platzieren. Die Machart der Schadsoftware und die Vorgehensweise deuten des Weiteren darauf hin, dass es sich nicht um einen gezielten Angriff auf eine kritische Infrastruktur handelt.
Insbesondere gibt es keine Anzeichen dafür, dass dem oder den Tätern bewusst war, dass es sich um einen Server eines Krankenhauses handelte. Hinweise auf eine Kompromittierung von Patientendaten hat die Analyse nicht ergeben.
Software-Herkunft weiter ungeklärt
Nach Bekanntwerden des Vorfalls wurde die ZAC (Zentralstelle und Ansprechpartner Cybercrime) der Staatsanwaltschaft Köln durch das Justizministerium Nordrhein-Westfalen mit der Leitung der Ermittlungen betraut. Vor Ort im Lukaskrankenhaus haben Spezialisten des Cybercrime-Kompetenzzentrums des Landeskriminalamts Nordrhein-Westfalen mit starken Kräften nahezu rund um die Uhr die aufwändigen Spurensicherungen und erste Ermittlungsschritte durchgeführt. Dabei setzten sie spezifische Hardware zur forensischen Datensicherung ein. Ein Analyst der Polizei Essen unterstützte die Spezialisten des LKA NRW. LKA und Staatsanwaltschaft lobten in diesem Zusammenhang die „vorbildliche Kooperation“ des Lukas-Krankenhauses mit den Strafverfolgungsbehörden. Die Ermittlungen zur Herkunft der Schadsoftware und dem oder den Verantwortlichen für die Infizierung dauern an.