Die technische Auswertung habe zudem ergeben, dass ein Server des Krankenhauses mit unterschiedlicher Schadsoftware infiziert worden sei, unter anderem mit einer Ransomware. Dem oder den Tätern sei es gelungen, die Firewall des Krankenhauses zu überwinden, um die Software auf einem dahinter liegenden Server zu platzieren. Die Machart der Schadsoftware und die Vorgehensweise würden darauf hindeuten, dass es sich nicht um einen gezielten Angriff auf eine kritische Infrastruktur handelte. Insbesondere gebe es keine Anzeichen dafür, dass dem oder den Tätern bewusst war, dass es sich um einen Server eines Krankenhauses handelte. Hinweise auf eine Kompromittierung von Patientendaten habe die Analyse zudem nicht ergeben.

Das Cybercrime-Kompetenzzentrum der Staatsanwaltschaft Köln wurde nach Bekanntwerden des Vorfalls durch das Justizministerium NRW mit der Leitung der Ermittlungen betraut. Spezialisten des Cybercrime-Kompetenzzentrums übernahmen vor Ort im Lukaskrankenhaus und nahezu rund um die Uhr, auch am Wochenende, die aufwändigen Spurensicherungen und führten erste Ermittlungsschritte durch. Dabei setzten sie spezifische Hardware zur forensischen Datensicherung ein. Ein Analyst der Polizei Essen unterstützte die Spezialisten des LKA NRW. Die zügige technische Aufarbeitung des Vorfalls sei insbesondere der vorbildlichen Kooperation des Lukaskrankenhauses zu verdanken.

Die Ermittlungen zur Herkunft der Schadsoftware und dem oder den Verantwortlichen für die Infizierung dauern an.