Jedes Unternehmen kann Opfer einer Cyberattacke werden

Vor etwa drei Jahren wurde der Caritasverband der Erzdiözese München und Freising e.V. durch eine Cyberattacke quasi komplett lahmgelegt. Das Sozialunternehmen nutzte den Zwischenfall, um seine IT-Infrastruktur neu aufzustellen. Der Leiter der IT-Koordination des Caritasverbands, Torben Hardt, will durch Erfahrungsaustausch wie beim kommenden Fachkongress Cybersecurity für Risiken sensibilisieren und Lösungen aufzeigen. 

Herr Hardt, was ist genau im September 2022 bei Ihnen passiert? 
Hardt: Bereits einige Wochen zuvor waren Cyberkriminelle vermutlich durch einen E-Mail-Link mit einem Schadcode in das Netzwerk des Caritasverbands München und Freising e.V.  eingedrungen. Sie hebelten die Sicherheitsarchitektur aus, entwendeten einen geringen Teil unserer Daten und verschlüsselten schließlich die Systeme. Die Folge: 10.000 Beschäftigte konnten ab dem 11. September 2022 nicht mehr digital arbeiten. 

Was wollten die Kriminellen von Ihnen? 
Hardt: Die Angreifer verlangten ein hohes Lösegeld, anderenfalls würden sie die erbeuteten Daten im Darknet veröffentlichen. Wir haben uns aber nach der verantwortungsvollen Prüfung der Relevanz der entwendeten Daten entschieden, nicht auf die Forderung einzugehen.  

Was haben Sie stattdessen gemacht? 
Hardt: Die soziale Arbeit mit und am Menschen lief die ganze Zeit weiter. Aber: Viele Prozesse, die sonst digital abliefen, wurden nun analog gemacht. Zudem zeigten die Mitarbeitenden viel Eigeninitiative, indem sie sich beispielsweise auf privaten Wegen über Dienstpläne abgestimmt haben. Die interne Kommunikation war enorm erschwert – mitunter kamen Informationen erst nach Monaten bei den Mitarbeitenden wirklich an. Und natürlich haben wir in Windeseile schnellstmöglich gesäuberte Endgeräte bereitgestellt, teilweise neu gekauft und auch geleast. Diese wurden dann in unseren Einrichtungen mit LTE-Hotspots genutzt. 

Was haben Sie getan, um wieder voll arbeitsfähig zu sein? 
Hardt: Der Caritasverband hatte vor der Cyber-Attacke ohnehin schon den Plan, seine IT-Infrastruktur auszulagern. Dieser Prozess wurde nun beschleunigt vorangetrieben. Zusätzlich nutzten wir die Arbeitsumgebung von Microsoft 365, um auch ohne eigene IT-Systeme einigermaßen arbeitsfähig zu sein. Aufgrund von Compliance-Vorgaben konnten wir dies jedoch nicht innerhalb des Diözesan-Netzwerks tun, weshalb wir in über 350 Einrichtungen alle Endgeräte neu aufsetzen mussten und auch neue Netzwerk-Verbindungen einrichten mussten.  

Wie lange hat dieser Prozess gedauert? 
Hardt: Bereits ab Ende des Jahres 2022 befanden sich die wichtigsten Systeme in einem Übergangsbetrieb. Die komplette Umstellung der IT-Infrastruktur inklusive des Rollouts neuer Images auf allen Endgeräten sowie des kompletten Umbaus der Netzwerk-Infrastruktur war Mitte 2024 abgeschlossen, also knapp zwei Jahre nach dem Angriff. Der bereits geplante und ursprünglich für einen Zeitraum von mehreren Jahren anvisierte digitale Transformationsprozess in eine sichere und zukunftsträchtigere Cloud-Lösung konnte durch den Angriff vorzeitig umgesetzt werden. 

Welchen Vorteil hat es, die IT-Infrastruktur auszulagern? 
Hardt: Wir arbeiten nun mit dem gemeinnützigen IT-Dienstleister SoCura gGmbH – einer Tochtergesellschaft des Malteser Hilfsdienstes e. V. zusammen. Unser Anliegen als Wohlfahrtsverband ist es, unsere Mittel effizient einzusetzen, um Menschen zu helfen. Es macht Sinn, das IT-Know-How zu bündeln, damit mehr gemeinnützige Träger profitieren können. Daher ist auch ein signifikanter Teil der IT-Mitarbeitenden in die gemeinnützige Gesellschaft gewechselt. Während der Verband sich auf sein Kerngeschäft fokussieren kann, kann der Dienstleister sich um die IT-Infrastruktur und -Sicherheit kümmern. 

Ist das auch eine Empfehlung an andere Sozialunternehmen? 
Hardt: Es geht immer so lange gut, wie es gut geht. Aber wenn es zu einem Angriff kommt, muss man rasch reagieren und die Expertise haben, um die richtigen Schritte einzuleiten. Zum einen gilt es, von vornherein Umgebungen zu schaffen, in denen Angreifer möglichst langsam vorankommen, beispielsweise durch Mittel wie Segmentierung der Netzwerke und Management des Netzwerkverkehrs oder sonstige härtende Konzepte. Das verschafft Zeit, den Angriff zu erkennen - was natürlich besonders rasch geschehen soll - und Gegenmaßnahmen einzuleiten. Hierzu ist es unbedingt erforderlich, die richtige Fähigkeit verfügbar oder bereits vor einem Angriff entsprechende präventive Verträge geschlossen zu haben.  . 

Hätte man den Angriff auf Ihr System verhindern können? 
Hardt: Im Nachhinein ist man natürlich immer schlauer, aber letztlich kann kaum eine  Organisation einen Angriff wirklich verhindern. Aber man kann durch Tools und optimierte Prozesse sicherstellen, dass eine Cyberattacke schneller bemerkt wird. Eigentlich müsste man das Thema Cybersicherheit genauso hoch gewichten wie den Brandschutz. . Doch Investitionen in IT-Infrastruktur, IT-Sicherheit und ähnliche Themen werden nur äußerst zurückhaltend in den Verhandlungen mit den Kostenträgern berücksichtigt. Es wäre hilfreicher , wenn es auch für unsere Branche klare gesetzliche Vorgaben gäbe. Die NIS-2-Richtlinie der EU wird zwar auch bald in Deutschland umgesetzt werden, schließt aber kleinere Träger außerhalb der Gesundheitswirtschaft aus. Doch auch sie müssen an ihre Sicherheit denken.  

Was wird Ihre wichtigste Botschaft beim Fachkongress Cybersecurity sein? 
Hardt: Jedes Unternehmen sollte darauf vorbereitet sein, Opfer zu werden. Natürlich muss man auch in Prävention investieren. Aber sowohl durch die Digitalisierung insgesamt als auch die weltpolitische Lage wird die Bedrohungslage stärker. Und die Angriffe werden auch mithilfe Künstlicher Intelligenz besser. Von daher muss sich jedes Unternehmen Gedanken darüber machen, wie die Prozesse weiterlaufen können, wenn die IT nicht funktioniert.  

Vielen Dank für das Gespräch.