Hacker-Angriffe auf kirchliche Einrichtungen häufen sich
Kriminellen Hackern ist nichts heilig. Genauso wie Unternehmen und Behörden werden auch kirchliche Einrichtungen immer häufiger Ziel von Cyberangriffen mit "Erpressungstrojanern": Meist über vertrauenswürdig aussehende E-Mails werden Beschäftigte dazu verleitet, auf Links zu klicken oder Dateianhänge zu öffnen, mit denen Schadsoftware ins System einer Einrichtung eingespielt wird. Diese Software setzt sich im System fest und verschlüsselt Daten. Die Kriminellen verlangen dann ein Lösegeld, um wieder Zugriff auf die Daten zu gewähren – und oft auch, um auf eine Veröffentlichung der sensiblen Daten zu verzichten.
Besonders schwer wurde vor kurzem die Caritas in München getroffen: Mit 10.000 Beschäftigten ist sie einer der größten Caritas-Verbände überhaupt – und seit Mitte September im Notbetrieb, jedenfalls was die Technik angeht. Den eigentlichen Betrieb konnte der Angriff nämlich nicht zum Stillstand bringen, berichtet die Pressesprecherin des Münchener Caritasverbands, Bettina Bäumlisberger: "Unsere Kerntätigkeit ist analog, nicht digital: Dienst am Menschen." Eingeschränkt seien vor allem Kommunikation, Planung und Dokumentation. Klientinnen und Klienten erreiche man per Telefon, Informationen können über die Webseite verbreitet werden, und langsam werde auch die Erreichbarkeit über E-Mail wieder aufgebaut.
Viel ist nicht über den eigentlichen Angriff bekannt. Von Anfang an waren Polizei und Staatsanwaltschaft informiert. Der Leiter der "Zentralstelle Cybercrime Bayern", Oberstaatsanwalt Thomas Goger, hat immerhin schon einen Ermittlungsansatz: "Im Moment deuten die Spuren in Richtung der bekannten Ransomware-Gruppierung BlackCat", sagt er, mehr kann er noch nicht mitteilen. Er sieht bei den Kriminellen keine Vorbehalte, was Angriffe auf soziale Einrichtungen angeht. "Dass Täter etwa Skrupel hätten, kirchliche oder sonst gemeinnützige Einrichtungen anzugreifen, könnte ich jedenfalls nicht bestätigen", sagt er, auch wenn die Cybercrime-Ermittler keine Statistik darüber führen, welche Arten von Einrichtungen und Unternehmen Ziel von Angriffen werden.
In seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland, der Ende Oktober erschienen ist, setzt das Bundesamt für Sicherheit in der Informationstechnik Ransomware in den Bereichen Wirtschaft, Staat und Verwaltung jeweils an die Spitze der Liste der gefährlichsten Bedrohungen. Im Vergleich zu den Vorjahren sei die Gefahr sogar noch gestiegen.
Kriminalität als Dienstleistung – die Caritas spielt nicht mit
Die Wahllosigkeit der Ziele gehört zum Geschäftsmodell von "BlackCat". Sie bieten ihre Dienste als "Cybercrime-as-a-Service" (CCaaS) an: So wie man bei seriösen Softwareanbietern unter dem Schlagwort "Software-as-a-Service" fertige E-Mail-Server oder Warenwirtschaftssysteme als Dienstleistung mieten kann, ohne selbst eine Serverinfrastruktur aufzubauen, kann man auch bei "BlackCat" ohne große Technikkenntnisse Cyberangriffe gegen gutes Geld einkaufen. "CCaaS erlaubt es einem Angreifer, nahezu jeden Schritt eines Angriffs als Dienstleistung oder zumindest die dafür notwendige Schadsoftware von anderen Cyber-Kriminellen zu beziehen", erläutert das BSI in seinem Lagebericht. Das sei wohl auch ein treibender Faktor dafür, dass die Bedrohung immer größer wird.
"Die Menschen hinter dem Angriff wissen genau, was sie tun, wie sie es tun müssen und was sie erreichen wollen. Das ist eine klassische Erpressungssituation. Daten gegen Geld, so einfach ist die Rechnung der Cyberkriminellen", erläutert der Münchner Caritas-Direktor Hermann Sollfrank. Diese Rechnung ging aber bei der Caritas nicht auf: Von Anfang an war klar, dass sie kein Lösegeld zahlen würde. "Es gibt im rechtsfreien Raum der Organisierten Kriminalität keinen Rechtsanspruch", betont Sollfrank. Es gebe keine Verbindlichkeit und keine Garantie, dass Cyberkriminelle die sensiblen Daten trotz Zahlung des Lösegelds nicht doch veröffentlichen. Stattdessen wird in München nun eine alternative IT-Infrastruktur aufgebaut. Obwohl es Sicherungen aller betroffenen Daten gibt, ist das ein aufwendiger Prozess: Schließlich kann man Backups nicht einfach einspielen, ohne absolut sicher zu sein, dass sie nicht auch die Schadsoftware enthalten.
"Wir müssen jetzt einfach durchhalten", sagt Bäumlisberger. Die Caritas-Pressesprecherin ist aber überzeugt, dass ihr Verband das bewältigen werde: "Die Haltung der Mitarbeitenden ist gut, alle helfen mit, mit dieser Situation gut fertig zu werden. In der Krise ist die Caritas immer stark", betont sie. Auch die Feier des hundertjährigen Jubiläums der Münchner Caritas kurz nach dem Angriff fand statt. Ganz bewusst hatte sich der Sozialverband dazu entschieden: "Wir lassen uns doch von ein paar Kriminellen nicht vom Feiern abhalten!", erklärt Bäumlisberger.
Auch der Vatikan steht im Fokus von Hackern
Wie viele kirchliche Einrichtungen Ziel von derartigen Angriffen werden, ist auch in der Kirche nicht bekannt. Auf Anfrage konnte der Deutsche Caritas-Verband keine Zahlen nennen. Sicher ist aber: Die Angriffe nehmen zu. Neben der Münchner Caritas hat es im September auch die Dienstleistungsgesellschaft des Sozialverbands SKM erwischt. Der Caritas-Fachverband, der sich unter anderem um wohnungslos und straffällig gewordene Menschen kümmert, war aber nicht so schwer betroffen: Schon Ende des Monats konnte der Verband mitteilen, dass seine Systeme wieder voll funktionsfähig seien.
Manchmal sind Hacks auch einfach nur albern: Vor einigen Jahren gelang es Hackern, eine Sicherheitslücke bei Vatican News auszunutzen und gefälschte Nachrichten zu veröffentlichen – so wie diese, in der es hieß, Papst Franziskus hätte erklärt, dass Gott eine Zwiebel sei.
Die Angriffe auf die Caritas dürften der häufigste Fall sein. Doch nicht nur kriminelle, die es auf Geld abgesehen haben, sind eine Gefahr. Auch Hacker im Auftrag von Staaten haben es auf kirchliche Einrichtungen abgesehen – dann aber nicht willkürlich, sondern sehr gezielt. 2020 berichteten IT-Fachmedien von gezielten Angriffen der dem chinesischen Staat nahestehenden Hackergruppe "Mustang Panda" gegen den Vatikan, die Diözese Hongkong und weitere kirchliche Einrichtungen. Auch das von katholischen Orden, Hilfswerken und Bistümern getragene China-Zentrum in Sankt Augustin bei Bonn war ein Ziel. Gegenüber katholisch.de bestätigte das China-Zentrum, derartigen Angriffen ausgesetzt gewesen zu sein, äußerte sich aber nicht weiter zu den Folgen. Man habe seither "entsprechendes Augenmerk" darauf.
Schulungen sollen Aufmerksamkeit stärken
Seit Jahren warnen die kirchlichen Datenschutzaufsichten vor Angriffen und berichten regelmäßig über die Gefahren von Erpressungstrojanern. Da bei Cyberangriffen immer auch personenbezogene Daten betroffen sind, müssen sie als Datenschutzvorfall an die zuständige Aufsicht gemeldet werden. Der Vorsitzende der Konferenz der Diözesandatenschutzbeauftragten, Steffen Pau, empfiehlt kirchlichen Einrichtungen, ihr Risiko zu analysieren und passende technische und organisatorische Maßnahmen zum Schutz zu ergreifen. "Neben den technischen Systemen, die zum Beispiel Angriffe erkennen oder deren Ausbreitung verhindern sollen und organisatorischen Maßnahmen, wie zum Beispiel einer internen Vorgabe zum Umgang mit verdächtigen E-Mails oder Dateien für die Mitarbeitenden, sind regelmäßige Schulungen und Informationen der Mitarbeitenden sehr wichtig", betont der Leiter des Katholischen Datenschutzzentrums Dortmund. Außerdem seien regelmäßige Datensicherungen wichtig – und zwar so, dass die Daten im Schadensfall auch tatsächlich wiederhergestellt werden können.
"Ein falscher Klick kann zu Schäden von mehreren Hunderttausend Euro führen", warnt auch der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski, der für die Caritas in München zuständig ist. Auch er berichtet davon, dass sich die Angriffe auf kirchliche EDV-Anlagen in jüngster Zeit häufen. Wie sein nordrhein-westfälischer Kollege empfiehlt er regelmäßige Schulungen.
Aber auch wer diese Hinweise berücksichtigt, kann nicht auf absolute Sicherheit hoffen. "Natürlich waren wir vorbereitet", betont Bäumlisberger. Aber dass es dann doch passiert, damit rechne man nicht. Der Standard in der IT-Sicherheit sei hoch – aber auch die Fähigkeiten der Angreifer sind groß. Fragt man Bäumlisberger, welchen Tipp sie anderen kirchlichen Einrichtungen mitgibt, setzt sie Sensibilisierung und Aufmerksamkeit bei der Arbeit an die allererste Stelle: "Awareness, awareness, awareness!", ist ihr Ratschlag gegen Cyberkriminelle.