Bereits seit dem 8. November sind bei der Schleidener Caritas alle Rechner „offline“: Kriminelle haben mit eingeschleuster Schadsoftware Dateien und Computer verschlüsselt und verlangen Lösegeld. Die Kriminalpolizei ermittelt.
Dateien und Computer verschlüsseltDie Schleidener Caritas wird mit Hackerangriff erpresst
Von Thorsten Wirtz
Lesezeit 3 Minuten
Nach einer Cyberattacke mit Ransomware bleiben beim Schleidener Caritasverband derzeit die Computerbildschirme schwarz. Caritas-Vorstand Ute Stolz (r.), Shabnam Sadat Sharifi und rund 500 weitere Mitarbeiter sind betroffen.
Copyright: Thorsten Wirtz
„Sie müssen sich das wirklich wie in einem schlechten Film vorstellen“, beschreibt Arndt Krömer, Pressesprecher des Caritasverbands für die Region Eifel, den Moment, als den Mitarbeitern im Schleidener Caritas-Haus klar wurde, dass sie Ziel einer Cyber-Attacke geworden waren: „Im Drucker lag das in englischer Sprache verfasste Erpresserschreiben: ‚Wir haben Ihre Systeme verschlüsselt – nehmen Sie Kontakt mit uns auf, wenn Sie wieder Zugriff erhalten wollen‘ stand da in etwa sinngemäß.“
Solche Attacken sind keine Seltenheit: Cyber-Angriffe mittels Ransomware stellen nach wie vor das größte Cyber-Risiko für Unternehmen weltweit dar, heißt es im aktuellen Cyber-Bericht der Allianz-Versicherung. Erst im August machte ein ähnlicher Fall beim deutschen Autozulieferer Continental Schlagzeilen – an der Aufklärung des Falles wirkt mittlerweile sogar das amerikanische FBI mit.
„Wir geben keinem Mitarbeiter die Schuld“
„Die Frage ist nicht, ob ein solcher Angriff passiert, sondern nur, wann er passiert – das haben uns alle Experten, die in den Fall involviert sind, klargemacht“, sagt Krömer. Da stimmt auch Caritas-Vorstandsmitglied Ute Stolz zu: „Wir geben keinem Mitarbeiter die Schuld. Man kann sich letztlich nicht gegen solche Angriffe schützen.“ Die ersten Gegenmaßnahmen wurden zwar umgehend veranlasst, das Ausmaß der Schäden ist trotz des schnellen Eingreifens externer IT-Experten jedoch noch unklar.
Im Schleidener Caritas-Haus lag am Morgen des 8. November das engliischsprachige Erpresserschreiben im Drucker. Seitdem wurden alle Rechner vom Netz genommen.
Copyright: Thorsten Wirtz
Alle digitalen Arbeitsabläufe mussten umgestellt werden: Internet, E-Mail-Verkehr und generell die Arbeit am Rechner pausieren seit dem Angriff, der bereits am 8. November stattfand. Telefonisch sind alle Mitarbeiter erreichbar, und E-Mails können über private Geräte, die nicht im Caritas-Netzwerk eingeloggt sind, ebenfalls abgerufen werden. „Wir können immer noch nicht beziffern, wie hoch der Schaden letztlich für uns sein wird. Fest steht aber, dass viele Arbeiten doppelt gemacht werden müssen“, sagt Krömer.
Betroffen davon sind zum Beispiel die ambulanten Pflegekräfte, die ihre Arbeiten im Normalfall direkt beim Patienten digital erfassen. „Die Dokumentation läuft derzeit auf Papier, muss für die Abrechnung später aber in die digitalen Systeme nachgetragen werden“, erklärt Krömer. Ute Stolz spricht allen Mitarbeitenden unterdessen ein großes Lob aus: „Ich bewundere, wie kreativ und engagiert unsere Mitarbeiter mit dieser Situation umgehen.“ Nach den Erfahrungen der Corona-Pandemie, der Flutkatastrophe und des Kriegs in der Ukraine sei das die nächste große Herausforderung, auf die man gerne verzichtet hätte, sagt Stolz.
Hackerangriff auf Caritas in Schleiden – Kripo Bonn ermittelt
Der Schutz der Daten von Kunden, Klienten, Mitgliedern sowie den insgesamt rund 500 Mitarbeitenden habe höchste Priorität, heißt es von der Caritas. „Die Datenschutz- und Ermittlungsbehörden wurden nach Bekanntwerden des Vorfalls sofort in Kenntnis gesetzt und stehen mit unseren Experten im engen Austausch. Bei der Kriminalpolizei wurde umgehend Anzeige erstattet“, fasst Krömer den Ablauf nach Bekanntwerden der Attacke zusammen. Die Ermittlungen in dem Fall hat inzwischen die Kriminalpolizei Bonn übernommen – zum aktuellen Stand wollte ein Sprecher des Präsidiums jedoch keine Angaben machen.
„Ein Datenabfluss scheint nicht ausgeschlossen zu sein, auch wenn ein solcher von den hinzugezogenen IT-Forensikern bisher nicht nachgewiesen werden konnte“, berichtet Caritas-Sprecher Krömer: „Unabhängig davon haben wir Kontakt zu den genannten Personengruppen und potenziell Betroffenen aufgenommen und sie über mögliche Risiken informiert.“ Auf die Forderung der Erpresser einzugehen und das Lösegeld für die Freigabe der gekaperten Daten zu zahlen, habe für den Caritasverband nie zur Disposition gestanden: „Wir verhandeln nicht mit Kriminellen“, sagt Krömer.
Man arbeite mit Hochdruck an einer sicheren Wiederherstellung der IT-Systeme sowie der Aufklärung möglicher Datenabflüsse. „In den nächsten Tagen oder Wochen erwarten wir aber weiterhin technische Probleme und einen gestörten Betriebsablauf“, sagte Krömer.
Ransomware verschlüsselt Dateien und Computer
- Das Wort „Ransomware“ stammt aus dem Englischen und enthält den Begriff „Ransom“, was übersetzt „Lösegeld“ bedeutet. Ransomware (oder auch Verschlüsselungstrojaner oder Erpressungstrojaner) ist ein Schadprogramm für Computer, das dafür sorgt, dass der Rechner für den Nutzer gesperrt und nur gegen ein Lösegeld wieder freigeschaltet werden kann.
- Die Schadsoftware verschlüsselt entweder die Dateien oder den gesamten Computer. Befindet sich das infizierte Gerät in einem Netzwerk, beispielsweise in einem Unternehmen, kann die Schadsoftware sich auf das gesamte Netzwerk ausbreiten und alle Geräte verschlüsseln. So können komplette Unternehmen, Krankenhäuser und Universitäten lahmgelegt werden.
- Die Häufigkeit von Ransomware-Angriffen bleibt laut eines aktuellen Berichts der Allianz-Versicherung weltweit hoch, ebenso wie die damit verbundenen Schadenskosten: Im Jahr 2021 gab es einen Rekord von 623 Millionen Angriffen, doppelt so viele wie im Jahr 2020, berichtet das Unternehmen.