Es geschah aus heiterem Himmel und mitten in den letzten Vorbereitungen für den Festakt anlässlich des 100-jährigen Bestehens des Caritasverbands der Erzdiözese München und Freising: Cyberkriminelle legten die zentrale IT-Infrastruktur lahm. Für die Caritas war das eine Katastrophe: 350 Dienste und Einrichtungen waren von der IT-Großstörung betroffen. „Das war der worst case”, sagt Rainer Hoffmann, Geschäftsführer der Caritas Berchtesgadener Land. Kommunikation und Dokumentation waren mit einem Mal erheblich eingeschränkt. Ein ehrenamtlicher „Dankeabend” musste abgesagt werden, weil alle Daten der Gäste gelöscht waren. „Eines von vielen Fiaskos”, sagt Hoffmann.

Attacke Ende August

Kriminelle Angreifer hatten sich Ende August über einen Link in einer E-Mail mit einem Virus Zugang zu Servern und zum Netzwerk des Caritasverbands für München und Oberbayern verschafft. Mithilfe eines Trojaners konnten sich die Kriminellen zwei Wochen in der IT-Infrastruktur der Caritas umschauen, Systeme ausspähen, Daten stehlen und verschlüsseln, sagt Bettina Bäumlisberger. Erst am 10. September hinterließen die Cyber-Kriminellen auf einem Caritas-Server eine Nachricht mit einer hohen Lösegeldforderung. Über die konkrete Höhe schweigt man sich bei der Caritas aus. Kolportiert wurde, dass es sich dabei um eine Millionensumme handelt. „Unseren Kernauftrag, den Dienst am Menschen, konnten unsere Mitarbeiter aufrechterhalten”, sagt Caritasdirektor Prof. Dr. Hermann Sollfrank.

Digitales Arbeiten findet jähes Ende

Umgehend wurde die IT-Infrastruktur außer Kraft gesetzt, „damit nichts und niemand mehr hineinkommt”, sagt Caritas-Sprecherin Bäumlisberger. Daten gelangten damit auch nicht mehr nach draußen. Alles, was über das Caritas-Netzwerk, auf den Dienst-Rechnern und zentral über Server erarbeitet, erledigt und abgespeichert worden war, war nicht mehr zugänglich. Das digital vernetzte Arbeiten hatte schlagartig ein Ende gefunden - vorübergehend. 

Auch Dienste im BGL, Traunstein, Mühldorf und Altötting betroffen

Auch die Dienste der Caritas im Berchtesgadener Land, in Traunstein, Mühldorf und Altötting waren davon betroffen - einige unter vielen. Die Behebung des weitreichenden Schadens veranlasste die Verantwortlichen zu einer vorübergehenden Umstellung auf Analogbetrieb. Der Caritas-Vorstand etablierte zeitnah einen Krisenstab und erstattete Anzeige. Externe Cyber-Spezialisten und Beamte der Ermittlungsbehörden kamen als Berater an Bord. Die Öffentlichkeit wurde über das Vorkommnis in Kenntnis gesetzt. Ein Fragen- und Antwortenkatalog wurde erarbeitet und auf die Webseite gestellt. Daten gegen Geld, so lautete die Forderung der Cyberkriminellen: „Drohungen und Einschüchterungen gehören zum üblichen Repertoire solcher Erpresser”, weiß Bettina Bäumlisberger. 

Verband will Lösegeld nicht zahlen

Der Vorstand des Caritasverbands München-Freising entschied sich gegen die Zahlung des Lösegeldes. „Im rechtsfreien Raum der Organisierten Kriminalität gibt es keine Verbindlichkeit und erst recht keine Garantie, dass die Cyberkriminellen die Daten nicht doch noch in die Öffentlichkeit bringen”, heißt es bei der Caritas. 

Den eigentlichen Betrieb konnte der Angriff nicht zum Stillstand bringen, betont die Pressesprecherin. Eingeschränkt seien vor allem Kommunikation, Planung und Dokumentation gewesen. Klienten konnten weiterhin per Telefon erreicht werden, Informationen wurden über die Webseite verbreitet. Die Erreichbarkeit über E-Mail wurde sukzessive neu aufgebaut. „An erster Stelle stand, die Caritas-Arbeit für die uns anvertrauten Menschen in den Altenheimen, Kitas Werkstätten sowie in der Sozialberatung aufrechtzuerhalten”, sagt Bäumlisberger. Verbunden war das anfangs mit großen Schwierigkeiten: ohne Computer, ohne Datenleitungen, zu Beginn teils noch ohne Telefon und Drucker. In der stationären und ambulanten Pflege wurde auf die analogen Papier-Dokumentationen zurückgegriffen. 

Digitaler Transformationsprozess wird beschleunigt

In den ersten Wochen nach dem Angriff lag der Fokus noch darauf, die für den Verband betriebswirtschaftlich „lebenswichtigen Prozesse” - wie etwa die Finanzbuchhaltung - wieder aufzubauen, um die Liquidität zu wahren, weiß die Sprecherin. 

Keine Krise, die nicht auch eine Chance bietet: „Wir beschleunigen derzeit unseren digitalen Transformationsprozess.” Geplant war das eigentlich innerhalb der nächsten vier Jahre. Der Cyberangriff hat das Handeln beim Sozialverband beschleunigt. „Wir stellen nicht einfach nur unsere alte IT-Struktur wieder her, sondern wir bauen ein neues, zukunftsfähiges und vor allem sicheres IT-Haus auf”, sagt Bettina Bäumlisberger. Die Wegstrecke dorthin erfordert laut Caritas viel Expertise, Geduld, aber auch monetäre Mittel.

Erster Meilenstein ist gesetzt

Ein erster Meilenstein im Wiederaufbau der IT-Umgebung nach der Cyberattacke sei zudem bereits erreicht worden, teilt die Sprecherin mit. Alle rund 5000 Mitarbeiter, die schon vor der Cyberattacke einen persönlichen E-Mail-Account hatten, können nun wieder auf ein Caritas-eigenes E-Mail-Konto zugreifen. Der Unterschied: Die Adressen enden nun auf „@caritasmuenchen.org”, nicht mehr auf „.de”. Auch Laptops und Drucker werden nach und nach wieder verfügbar gemacht. So müssen momentan auch alle Endgeräte und Daten, die in der Zeit des Cyberangriffs im Einsatz waren, gereinigt werden.

„Das heißt, Daten werden gewaschen und neu installiert.” Pro Woche schaffen die Experten maximal 400 Notebooks. Zudem müssen Anwendungen und Programme angebunden und Schnittstellen definiert werden. „Priorität hat, unsere künftigen IT-Umgebungen vor weiteren Cyberangriffen zu schützen”, teilt die Caritas mit. Dort weiß man: Die technischen Fähigkeiten potenzieller Angreifer sind groß. 

Mitarbeiter werden geschult

Es sei notwendig, das Systeme so aufzustellen, dass Angriffe erkannt oder deren Ausbreitung verhindert werden können - bestenfalls im Vorfeld. Auch Mitarbeiter werden künftig regelmäßig geschult. „Sie müssen wissen, wie sie mit verdächtigen E-Mails oder Dateien umgehen sollen”, sagt Bäumlisberger. „Die ersten Schritte sind getan”, so Bäumlisberger. Weiterhin wartet viel Arbeit auf die Caritas: Um den angerichteten Schaden aufzuarbeiten.

kp