Cyberangriff auf ein Spital – Zwischen IT-Sicherheit und Strafverfolgung
Ein geordneter Morgen in einem Spital nimmt eine dramatische Wendung: Ein Cyberangriff bringt Patienten in Lebensgefahr. Während sich das CERT auf die Rückkehr zum Normalbetrieb konzentriert, versucht die Strafverfolgung die Täter zu fassen. Ein Wettlauf gegen die Zeit beginnt – und zeigt, was den Kampf gegen Cyberkriminalität entscheidet.

Ãœber dem Spital der modernen Stadt «Digicity» Ìýin der Schweiz geht die Sonne auf. Das Pflegepersonal bereitet sich auf den Schichtwechsel vor. Doch als ein Pfleger die Medikamentendosierung überprüft, bemerkt er Unstimmigkeiten. Die verordnete Morphindosis würde seinen Patienten töten. Schnell wird ihm klar, dass es nicht das einzige manipulierte Patientendossier ist. Alarmiert ruft er die IT-Abteilung des Spitals um Hilfe.Ìý
Der Angriff
Die IT-Abteilung stellt schnell fest, dass ihr Spital Opfer eines Cyberangriffs geworden ist. Die eigenen Ressourcen sind komplett ausgeschöpft, aber der Klinikbetrieb muss weiterlaufen – ein IT-Ausfall oder die inkorrekten Daten können Menschenleben kosten. Die IT-Leiterin alarmiert das Computer Emergency Response Team (CERT) von «Digicity». IT-Security-Expertin Mira Sommer und ihr Team sind schnell vor Ort. Ihr Ziel: den Angriff verstehen, Schutzmassnahmen einleiten und den Normalbetrieb mit intakten Daten wiederherstellen. Sie bekämpfen die Cyberkriminalität, indem sie die Pläne der Angreifer durchkreuzen und die Organisation für zukünftige Angriffe sicherer machen.
Klar ist, dass die Angreifer gegen das schweizerische Strafgesetz verstossen haben - sie sind unbefugt in ein System eingedrungen (Art. 143bis StGB) und haben Daten manipuliert (Art. 144 StGB). Ob auch Datendiebstahl vorliegt (Art. 143 StGB), eine Erpressung folgt (Art. 181 StGB) und das Opfer zu einer Lösegeldzahlung genötigt wird (Art. 155 StGB), ist noch unklar.Ìý
Ìý
Das Dilemma
Mira rät, Strafanzeige zu erstatten. Die IT-Leiterin zögert: «Müssen wir das überhaupt melden? Was bringt das? Sie können ja nicht helfen! Haben die Polizei und Staatsanwaltschaft nicht genug zu tun? Müssen nicht wir die Cyberangriffe sowieso selbst bewältigen?» Sie erwähnt einen früheren Fall, bei dem die Zusammenarbeit mit der Polizei und der Staatsanwaltschaft nicht funktionierte und es zu keiner ernsthaften Strafverfolgung der Angreifer kam.Ìý
Ìý
Hinweis: Der beschriebene Fall sowie die darin vorkommenden Namen und Personen sind frei erfunden. Der Artikel basiert jedoch auf wahren Begebenheiten, die sich bei verschiedenen Institutionen tatsächlich zugetragen haben. Die Darstellung dient ausschliesslich der Veranschaulichung der Zusammenarbeit zwischen einem Computer Emergency Response Team und der Strafverfolgung.
Ìý
Mira erinnert die IT-Leiterin daran, dass ihre akute Priorität zwar die Bewältigung des Cyberangriffs ist, doch ohne die zeitnahe Einbindung der Strafverfolgung bleiben die Täter strafloses entsteht ein rechtsfreier digitaler Raum, der weitere Angriffe begünstigt.Ìý
Mira kennt die richtigen Kontakte. Sie ruft den Polizisten Leo Winter an, einen erfahrenen Cyberermittler. Er konnte schon einigen internationalen Banden das Handwerk legen. Beide verfolgen dasselbe Ziel: die digitale Sicherheit in «Digicity» verbessern. Doch ihre Aufgaben unterscheiden sich grundlegend.Ìý
Ìý

- Mira will Spuren auswerten, Schutzmassnahmen ergreifen, den Angriff stoppen und so unbeschadet wie möglich zum Normalbetrieb zurückkehren.
- Leo sorgt für die öffentliche Sicherheit, Ruhe und Ordnung. In diesem Fall will er die Täter ermitteln und braucht verwertbare Beweise.
Ìý
Je schneller er relevante Informationen erhält, desto eher kann er ermitteln. Doch sind die Daten zu alt, wird die Verfolgung der Täterschaft fast unmöglich.Ìý
Beide machen ihren Job, aber eine nachhaltige Wirkung auf die digitale Sicherheit haben sie nur Hand in Hand.Ìý
Ìý
Herausforderungen der Zusammenarbeit
Perspektive des CERT | Perspektive der StrafverfolgungÌý |
Mira interessiert sich für die Spuren der Angreifer, um sich ein Lagebild des Angriffs zu verschaffen. Damit kann sie nützliche Massnahmen zum Schutz des Spitals und seiner Partnerorganisationen ergreifen. Informationen zur Täterschaft als Personen nützen ihr für ihre Aufgabe wenig. | Die technischen Informationen von Mira führen Leo auf die richtige Fährte. Er muss die Informationen aus dem Fall einer oder mehreren konkreten Personen zuordnen können, um sie strafrechtlich zu verfolgen.Ìý |
Was die Ressourcen betrifft, muss Mira sicherstellen, dass ihre Arbeit kosteneffektiv ist. Ihr Engagement für das Gemeinwohl von «Digicity» und die Wirtschaftlichkeit ihrer Arbeit – ein ständiger Balanceakt – bestimmen, inwieweit sie ihre Zeit und ihr Wissen zu Leos Ermittlungen beiträgt. Im Gegensatz zu Leo kann sich Mira jedoch mit gegebenen finanziellen Ressourcen und schlanken Strukturen viel schneller auf die aktuellen Bedrohungen und den Fachmarkt anpassen. | Leo arbeitet unter enormem Druck, da Cyberkriminalität immer weiter . Obwohl die Digitalisierung viele Vorteile bringt, verschiebt dies nicht nur Leben und Arbeit in den digitalen Raum, sondern auch die Kriminalität. Stichwort: Cybercrime-as-a-Service. Leos Ressourcen, sowohl personell als auch fachlich, sind begrenzt. Fachkräfte werden schnell abgeworben, und die Polizei und Staatsanwaltschaft können mit der Entwicklung neuer Bedrohungen und der Professionalisierung der Cyberkriminalität kaum mithalten. |
In Bezug auf rechtliche ²Ñö²µ±ô¾±³¦³ó°ì±ð¾±³Ù±ð²Ô hat Mira mehr Freiheiten als Leo, da ein CERT weniger an gesetzliche Einschränkungen gebunden ist als eine Behörde. Das bedeutet, dass sie in ihrer Arbeit auf alle technischen ³¢Ã¶²õ³Ü²Ô²µ±ð²Ô zurückgreifen kann, deren Einsatz rechtlich nicht verboten sind. Trotzdem ist das Bewusstsein für die eigene Strafbarkeit von Mira unerlässlich, damit sie nicht das Gesetz bricht, nur weil es technisch möglich ist. Ein schwieriger Balanceakt. | Leo hingegen ist an strikte gesetzliche Rahmenbedingungen gebunden. Er kann oft nicht in dem Masse handeln, wie es für seine Arbeit erforderlich wäre. Das Gesetz hinkt oft den Deliktsarten im digitalen Raum hinterher. Dies führt zu einem ständigen Spannungsfeld, in dem er seine Handlungen mit den rechtlichen ²Ñö²µ±ô¾±³¦³ó°ì±ð¾±³Ù±ð²Ô genau abwägen muss. Er darf nur das, was ausdrücklich in der Strafverfolgung erlaubt ist. |
Auch das politische System stellt für beide eine Herausforderung dar. Mira orientiert sich stärker an gesellschaftlichen Werten und hat aufgrund der Flexibilität ihres Arbeitsumfeldes mehr Spielraum auf nationaler und internationaler Ebene, um auf aktuelle Bedrohungen zu reagieren. Mira fühlt sich in ihrem schnellen und agilen Umfeld sehr wohl und es erleichtert ihre Arbeit.Ìý | Leo ist stark an das föderalistische System gebunden, das die Zusammenarbeit zwischen verschiedenen Behörden erschwert. Besonders problematisch wird dies, wenn es um die Bekämpfung von Cyberkriminalität geht, die keine territorialen Grenzen kennt. In einem solchen System ist eine effiziente Zusammenarbeit anspruchsvoll. |
Die Zusammenarbeit und das Vertrauen zwischen Mira und Leo ist ebenfalls nicht immer einfach. Mira muss oft ihre eigenen Grenzen setzen und sich auf ihren primären Auftrag konzentrieren. Das kann zu Spannungen führen, wenn Leo Unterstützung erwartet. Was ihre Informationen und Hilfe für Leos Ermittlung nützen, darf sie in einem laufenden Verfahren nur bedingt erfahren, was sie frustrierend findet. | Leo hingegen ist auf die Hilfe von Mira und anderen Partnern angewiesen. Die Zusammenarbeit wird jedoch oft durch rechtliche Einschränkungen behindert. Beide Seiten wissen oft nicht, was ihre Arbeit beim Gegenüber tatsächlich bewirkt – es entsteht eine «Black Box» Situation. Es bedarf viel Vertrauen, Fingerspitzengefühl und Pragmatismus. Mit der Zusammenarbeit kann man viel gewinnen, aber genauso viel verlieren. |
Der gemeinsame Erfolg
Beide – Mira und Leo – verfolgen dasselbe Ziel: die nachhaltige digitale Sicherheit. Sie haben dieses Bewusstsein für ihre komplementäre Aufgabe entdeckt und lösen so erfolgreich Fälle.
Das heutige Ziel ist die Sicherheit des Spitals in «Digicity». Trotz vieler Hindernisse finden Mira und Leo eine Lösung. Die Angreifer wollten Chaos stiften, sie haben Daten manipuliert und die korrekten Daten entwendet. Sie fordern ein Lösegeld. Mira spürt die Herkunft des Angriffs auf, Leo aktiviert seine Kontakte. Die Bande wird im Ausland gestellt, ein Eilverfahren für internationale Rechtshilfe ermöglicht die Rückholung der Daten und das alles innerhalb von 48 Stunden! Mira kann mit den richtigen Daten den IT-Sicherheitsvorfall bewältigen und das Spital zum Normalbetrieb zurückführen. Leo hat seine Täterschaft gefasst und kann mit den Informationen von Mira eine lückenlose Beweiskette der Tat vorlegen. Ohneeinander wäre das niemals möglich gewesen
Ìý
Die Essenz
Transparenz, gegenseitiges Verständnis und abgestimmte Zusammenarbeit sind essenziell, um Cyberkriminalität effektiv zu bekämpfen – heute und in Zukunft.
Ãœber die Autorin
Wenn Darja-Anna nicht gerade den Hyperfokus packt und versucht, mit digitaler Forensik ein Rätsel zu lösen, spricht sie mit Menschen und versucht ihre Begeisterung für das Thema IT-Security weiterzugeben. Nebenbei managt sie Computer-Security-Incidents und freut sich über jedes neue Puzzelstück. Seit 2020 macht sie dies mit Leidenschaft für Â̲èÖ±²¥ CERT.