Cyberangriff auf ein Spital 鈥� Zwischen IT-Sicherheit und Strafverfolgung

Ein geordneter Morgen in einem Spital nimmt eine dramatische Wendung: Ein Cyberangriff bringt Patienten in Lebensgefahr. W盲hrend sich das CERT auf die R眉ckkehr zum Normalbetrieb konzentriert, versucht die Strafverfolgung die T盲ter zu fassen. Ein Wettlauf gegen die Zeit beginnt 鈥� und zeigt, was den Kampf gegen Cyberkriminalit盲t entscheidet.

Text: Darja-Anna Yurovsky, publiziert am 24. Februar 2025

脺ber dem Spital der modernen Stadt 芦Digicity禄听in der Schweiz geht die Sonne auf. Das Pflegepersonal bereitet sich auf den Schichtwechsel vor. Doch als ein Pfleger die Medikamentendosierung 眉berpr眉ft, bemerkt er Unstimmigkeiten. Die verordnete Morphindosis w眉rde seinen Patienten t枚ten. Schnell wird ihm klar, dass es nicht das einzige manipulierte Patientendossier ist. Alarmiert ruft er die IT-Abteilung des Spitals um Hilfe.听

Der Angriff

Die IT-Abteilung stellt schnell fest, dass ihr Spital Opfer eines Cyberangriffs geworden ist. Die eigenen Ressourcen sind komplett ausgesch枚pft, aber der Klinikbetrieb muss weiterlaufen 鈥� ein IT-Ausfall oder die inkorrekten Daten k枚nnen Menschenleben kosten. Die IT-Leiterin alarmiert das Computer Emergency Response Team (CERT) von 芦Digicity禄. IT-Security-Expertin Mira Sommer und ihr Team sind schnell vor Ort. Ihr Ziel: den Angriff verstehen, Schutzmassnahmen einleiten und den Normalbetrieb mit intakten Daten wiederherstellen. Sie bek盲mpfen die Cyberkriminalit盲t, indem sie die Pl盲ne der Angreifer durchkreuzen und die Organisation f眉r zuk眉nftige Angriffe sicherer machen.

Klar ist, dass die Angreifer gegen das schweizerische Strafgesetz verstossen haben - sie sind unbefugt in ein System eingedrungen (Art. 143bis StGB) und haben Daten manipuliert (Art. 144 StGB). Ob auch Datendiebstahl vorliegt (Art. 143 StGB), eine Erpressung folgt (Art. 181 StGB) und das Opfer zu einer L枚segeldzahlung gen枚tigt wird (Art. 155 StGB), ist noch unklar.听
听

Das Dilemma

Mira r盲t, Strafanzeige zu erstatten. Die IT-Leiterin z枚gert: 芦M眉ssen wir das 眉berhaupt melden? Was bringt das? Sie k枚nnen ja nicht helfen! Haben die Polizei und Staatsanwaltschaft nicht genug zu tun? M眉ssen nicht wir die Cyberangriffe sowieso selbst bew盲ltigen?禄 Sie erw盲hnt einen fr眉heren Fall, bei dem die Zusammenarbeit mit der Polizei und der Staatsanwaltschaft nicht funktionierte und es zu keiner ernsthaften Strafverfolgung der Angreifer kam.听

听

Hinweis: Der beschriebene Fall sowie die darin vorkommenden Namen und Personen sind frei erfunden. Der Artikel basiert jedoch auf wahren Begebenheiten, die sich bei verschiedenen Institutionen tats盲chlich zugetragen haben. Die Darstellung dient ausschliesslich der Veranschaulichung der Zusammenarbeit zwischen einem Computer Emergency Response Team und der Strafverfolgung.

听

Mira erinnert die IT-Leiterin daran, dass ihre akute Priorit盲t zwar die Bew盲ltigung des Cyberangriffs ist, doch ohne die zeitnahe Einbindung der Strafverfolgung bleiben die T盲ter strafloses entsteht ein rechtsfreier digitaler Raum, der weitere Angriffe beg眉nstigt.听

Mira kennt die richtigen Kontakte. Sie ruft den Polizisten Leo Winter an, einen erfahrenen Cyberermittler. Er konnte schon einigen internationalen Banden das Handwerk legen. Beide verfolgen dasselbe Ziel: die digitale Sicherheit in 芦Digicity禄 verbessern. Doch ihre Aufgaben unterscheiden sich grundlegend.听

听

Different and common tasks of CERT and law enforcement. — Unterschiedliche und gemeinsame Aufgaben des CERT und der Strafverfolgung. Illustration: Darja-Anna Yurovsky, 绿茶直播

Mira will Spuren auswerten, Schutzmassnahmen ergreifen, den Angriff stoppen und so unbeschadet wie m枚glich zum Normalbetrieb zur眉ckkehren.
Leo sorgt f眉r die 枚ffentliche Sicherheit, Ruhe und Ordnung. In diesem Fall will er die T盲ter ermitteln und braucht verwertbare Beweise.
听

Je schneller er relevante Informationen erh盲lt, desto eher kann er ermitteln. Doch sind die Daten zu alt, wird die Verfolgung der T盲terschaft fast unm枚glich.听
Beide machen ihren Job, aber eine nachhaltige Wirkung auf die digitale Sicherheit haben sie nur Hand in Hand.听
听

Herausforderungen der Zusammenarbeit

Perspektive des CERT	Perspektive der Strafverfolgung听
Mira interessiert sich f眉r die Spuren der Angreifer, um sich ein Lagebild des Angriffs zu verschaffen. Damit kann sie n眉tzliche Massnahmen zum Schutz des Spitals und seiner Partnerorganisationen ergreifen. Informationen zur T盲terschaft als Personen n眉tzen ihr f眉r ihre Aufgabe wenig.	Die technischen Informationen von Mira f眉hren Leo auf die richtige F盲hrte. Er muss die Informationen aus dem Fall einer oder mehreren konkreten Personen zuordnen k枚nnen, um sie strafrechtlich zu verfolgen.听
Was die Ressourcen betrifft, muss Mira sicherstellen, dass ihre Arbeit kosteneffektiv ist. Ihr Engagement f眉r das Gemeinwohl von 芦Digicity禄 und die Wirtschaftlichkeit ihrer Arbeit 鈥� ein st盲ndiger Balanceakt 鈥� bestimmen, inwieweit sie ihre Zeit und ihr Wissen zu Leos Ermittlungen beitr盲gt. Im Gegensatz zu Leo kann sich Mira jedoch mit gegebenen finanziellen Ressourcen und schlanken Strukturen viel schneller auf die aktuellen Bedrohungen und den Fachmarkt anpassen.	Leo arbeitet unter enormem Druck, da Cyberkriminalit盲t immer weiter . Obwohl die Digitalisierung viele Vorteile bringt, verschiebt dies nicht nur Leben und Arbeit in den digitalen Raum, sondern auch die Kriminalit盲t. Stichwort: Cybercrime-as-a-Service. Leos Ressourcen, sowohl personell als auch fachlich, sind begrenzt. Fachkr盲fte werden schnell abgeworben, und die Polizei und Staatsanwaltschaft k枚nnen mit der Entwicklung neuer Bedrohungen und der Professionalisierung der Cyberkriminalit盲t kaum mithalten.
In Bezug auf rechtliche 惭枚驳濒颈肠丑办别颈迟别苍 hat Mira mehr Freiheiten als Leo, da ein CERT weniger an gesetzliche Einschr盲nkungen gebunden ist als eine Beh枚rde. Das bedeutet, dass sie in ihrer Arbeit auf alle technischen 尝枚蝉耻苍驳别苍 zur眉ckgreifen kann, deren Einsatz rechtlich nicht verboten sind. Trotzdem ist das Bewusstsein f眉r die eigene Strafbarkeit von Mira unerl盲sslich, damit sie nicht das Gesetz bricht, nur weil es technisch m枚glich ist. Ein schwieriger Balanceakt.	Leo hingegen ist an strikte gesetzliche Rahmenbedingungen gebunden. Er kann oft nicht in dem Masse handeln, wie es f眉r seine Arbeit erforderlich w盲re. Das Gesetz hinkt oft den Deliktsarten im digitalen Raum hinterher. Dies f眉hrt zu einem st盲ndigen Spannungsfeld, in dem er seine Handlungen mit den rechtlichen 惭枚驳濒颈肠丑办别颈迟别苍 genau abw盲gen muss. Er darf nur das, was ausdr眉cklich in der Strafverfolgung erlaubt ist.
Auch das politische System stellt f眉r beide eine Herausforderung dar. Mira orientiert sich st盲rker an gesellschaftlichen Werten und hat aufgrund der Flexibilit盲t ihres Arbeitsumfeldes mehr Spielraum auf nationaler und internationaler Ebene, um auf aktuelle Bedrohungen zu reagieren. Mira f眉hlt sich in ihrem schnellen und agilen Umfeld sehr wohl und es erleichtert ihre Arbeit.听	Leo ist stark an das f枚deralistische System gebunden, das die Zusammenarbeit zwischen verschiedenen Beh枚rden erschwert. Besonders problematisch wird dies, wenn es um die Bek盲mpfung von Cyberkriminalit盲t geht, die keine territorialen Grenzen kennt. In einem solchen System ist eine effiziente Zusammenarbeit anspruchsvoll.
Die Zusammenarbeit und das Vertrauen zwischen Mira und Leo ist ebenfalls nicht immer einfach. Mira muss oft ihre eigenen Grenzen setzen und sich auf ihren prim盲ren Auftrag konzentrieren. Das kann zu Spannungen f眉hren, wenn Leo Unterst眉tzung erwartet. Was ihre Informationen und Hilfe f眉r Leos Ermittlung n眉tzen, darf sie in einem laufenden Verfahren nur bedingt erfahren, was sie frustrierend findet.	Leo hingegen ist auf die Hilfe von Mira und anderen Partnern angewiesen. Die Zusammenarbeit wird jedoch oft durch rechtliche Einschr盲nkungen behindert. Beide Seiten wissen oft nicht, was ihre Arbeit beim Gegen眉ber tats盲chlich bewirkt 鈥� es entsteht eine 芦Black Box禄 Situation. Es bedarf viel Vertrauen, Fingerspitzengef眉hl und Pragmatismus. Mit der Zusammenarbeit kann man viel gewinnen, aber genauso viel verlieren.

Der gemeinsame Erfolg

Beide 鈥� Mira und Leo 鈥� verfolgen dasselbe Ziel: die nachhaltige digitale Sicherheit. Sie haben dieses Bewusstsein f眉r ihre komplement盲re Aufgabe entdeckt und l枚sen so erfolgreich F盲lle.

Das heutige Ziel ist die Sicherheit des Spitals in 芦Digicity禄. Trotz vieler Hindernisse finden Mira und Leo eine L枚sung. Die Angreifer wollten Chaos stiften, sie haben Daten manipuliert und die korrekten Daten entwendet. Sie fordern ein L枚segeld. Mira sp眉rt die Herkunft des Angriffs auf, Leo aktiviert seine Kontakte. Die Bande wird im Ausland gestellt, ein Eilverfahren f眉r internationale Rechtshilfe erm枚glicht die R眉ckholung der Daten und das alles innerhalb von 48 Stunden! Mira kann mit den richtigen Daten den IT-Sicherheitsvorfall bew盲ltigen und das Spital zum Normalbetrieb zur眉ckf眉hren. Leo hat seine T盲terschaft gefasst und kann mit den Informationen von Mira eine l眉ckenlose Beweiskette der Tat vorlegen. Ohneeinander w盲re das niemals m枚glich gewesen
听

Die Essenz

Transparenz, gegenseitiges Verst盲ndnis und abgestimmte Zusammenarbeit sind essenziell, um Cyberkriminalit盲t effektiv zu bek盲mpfen 鈥� heute und in Zukunft.

脺ber die Autorin

Wenn Darja-Anna nicht gerade den Hyperfokus packt und versucht, mit digitaler Forensik ein R盲tsel zu l枚sen, spricht sie mit Menschen und versucht ihre Begeisterung f眉r das Thema IT-Security weiterzugeben. Nebenbei managt sie Computer-Security-Incidents und freut sich 眉ber jedes neue Puzzelst眉ck. Seit 2020 macht sie dies mit Leidenschaft f眉r 绿茶直播 CERT.

Cyber Security