Vor einigen Wochen gab es einen spektakulären Fall von Cyber-Erpressung, denn ein Hacker legte die Universitätsklinik in Düsseldorf tagelang lahm. Dabei kam es auch zu einem Todesfall, denn eine Frau verstarb, da das Krankenhaus nicht von der Rettung angefahren werden konnte.
Der Fall hat weltweit für Aufsehen gesorgt, denn es war der angeblich erste Cyberangriff, der einen Todesfall zur Folge hatte. Das Justizministerium des Landes Nordrhein-Westfalen hat damals Ermittlungen aufgenommen, gegen den oder die Erpresser wurde wegen des
Vorwurfs der fahrlässigen Tötung ermittelt. Dabei gab es wohl auch Überlegungen, die Ermittlungen auf die IT-Verantwortlichen an der Universität auszudehnen, da angenommen wurde, dass hier eine ungepatchte Lücke ausgenützt worden war.
Gut zwei Monate später hat sich der Staub gelegt und mittlerweile steht fest: Der Vorwurf der fahrlässigen Tötung ist nicht haltbar. Denn wie
Wired berichtet, steht nun fest, dass die 78-Jährige, die an einen Aortenaneurysma litt, aller Wahrscheinlichkeit nach auch dann gestorben wäre, wenn sie regulär in die Klinik gekommen wäre.
Erpressung hatte keine Auswirkung
Nach zwei Monaten langer Ermittlungen hat der Kölner Oberstaatsanwalt Markus Hartmann bekannt gegeben, dass es nicht genügend Beweise für den Vorwurf der fahrlässigen Tötung gebe. Zwar könne man laut Hartmann die Beeinträchtigung des Krankenhauses durch die erpresserische Krypto-Software nicht leugnen, für den Tod könne man die Hacker aber nicht verantwortlich machen: "Die Verzögerung hatte keine Bedeutung für das Endergebnis. Der medizinische Zustand war die einzige Ursache für den Tod, und das ist völlig unabhängig von der Cyberattacke."
Am Tatbestand der Erpressung und des Hacking ändert das aber natürlich nichts. Denn Hartmann ist überzeugt, dass es nur eine Frage der Zeit ist, dass sich tatsächlich ein Todesfall auf eine Ransomware-Attacke zurückführen lässt: "Wenn der Patient in einem etwas weniger schweren Zustand ist, könnte ein Angriff sicherlich ein entscheidender Faktor sein."