Der Caritas-Verband München und Oberbayern ist Opfer eines kriminellen Hackerangriffs geworden. Wie die Münchner Polizei am Dienstag mitteilte, hat das für Cybercrime, also für Verbrechen in der virtuellen Welt, zuständige Dezernat 12 die Untersuchungen übernommen. Polizeisprecher Werner Kraus bestätigte, dass eine Lösegeld-Forderung bei der Caritas hinterlassen wurde, einen "höheren Betrag in Krypto-Währung" zu bezahlen, um wieder Zugriff auf die Daten der Organisation zu bekommen. Genaueres wollte er aus ermittlungstaktischen Gründen nicht mitteilen.
Die Caritas hatte am Montagnachmittag selbst bekanntgegeben, dass es am Wochenende eine "Großstörung zentraler IT-Systeme" gegeben habe. Davon betroffen sind mehrere Server und etliche Rechner des mit rund 10 000 Beschäftigten größten Wohlfahrtverbands in Oberbayern. Wie der Vorstandsvorsitzende Herrmann Sollfrank einräumte, gebe es "konkrete Hinweise, dass es den Cyberkriminellen gelungen ist, trotz aller Schutzvorkehrungen Daten aus unseren Systemen abzugreifen".
Um welche Daten es sich genau handelt und wie sensibel diese unter Umständen sind, könne derzeit allerdings noch nicht festgestellt werden. Unmittelbar nach Bekanntwerden der Attacke seien die Server der Caritas quasi "einbetoniert" worden, wie es Sprecherin Bettina Bäumlisberger formuliert. Damit sollte verhindert werden, dass weitere Daten abgezogen werden. Der Verband hat Anzeige erstattet.
Bei einem Angriff auf die digitale Infrastruktur wie jetzt bei der Caritas schleusen Kriminelle eine Schadsoftware in die Computer-Systeme von Unternehmen oder Organisationen ein. Mit Hilfe dieser sogenannten Ransomware werden dann Daten verschlüsselt, für die Freigabe fordern die Erpresser in aller Regel Geld in Form von Krypto-Währungen wie Bitcoin. Die Wege dieses virtuellen Zahlungsmittels sind im Internet kaum nachzuverfolgen.
Die Täter solcher Erpressungsversuche kommen meistens aus dem Ausland, häufig aus Osteuropa. "Ob's in diesem Fall auch so ist, wissen wir noch nicht", sagte Polizeisprecher Kraus. Geklärt werden müsse auch noch, auf welchem Weg die Schadsoftware in die Systeme der Caritas eingeschleust wurde. Gängige Methode ist eine E-Mail mit einem Anhang, in dem ein sogenannter Trojaner versteckt ist. Der wird durch das Öffnen des Anhangs aktiviert, breitet sich zunächst unbemerkt aus und kapert die Daten.
Newsletter abonnieren:München heute
Neues aus München, Freizeit-Tipps und alles, was die Stadt bewegt im kostenlosen Newsletter - von Sonntag bis Freitag. Kostenlos anmelden.
IT-Sicherheitsexperten raten daher, sich vor dem Anklicken von Anhängen in E-Mails stets zu vergewissern, dass sie von einem vertrauenswürdigen Absender kommen. Außerdem empfehlen sie, die Daten regelmäßig zu sichern. Zumindest solche Back-ups habe die Caritas gemacht, sagt Sprecherin Bäumlisberger: "Wir können die gesicherten Daten aber erst hochfahren, wenn wir wieder ein sicheres System haben." Derzeit analysiert die Polizei noch die Situation und sucht nach dem Einfallstor der Kriminellen; wenn das diagnostiziert worden ist, folge die Überlegung, wie es zu schließen oder abzuschaffen ist. "Das wird keine Sache von ein oder zwei Tagen sein", vermutet Bäumlisberger.
Derweil organisiert der Caritas-Verband seinen Betrieb um, der "läuft jetzt im analogen Modus", sagt Bäumlisberger. Die 350 Dienste und Einrichtungen, die die Caritas in der Erzdiözese München und Freising betreibt, seien von der Attacke kaum spürbar betroffen, "die Arbeit mit Menschen ist das Wichtigste, und die läuft sowieso immer auf einer persönlichen Ebene ab". Manche Dinge wie zum Beispiel die Dokumentation einer Pflege, die bislang digital für die Kassenabrechnung erledigt worden ist, werde vorläufig auf Papier festgehalten. Zu Beeinträchtigungen komme es auch bei der Kommunikation: So sind die Mitarbeiter der Caritas derzeit nur telefonisch zu erreichen, nicht aber per E-Mail.
Der für den 25. September in Rosenheim terminierte Festakt des Caritas-Verbandes zu seinem 100-jährigen Bestehen sei durch die Attacke nicht gefährdet, versichert Bettina Bäumlisberger: "Da sind wir schon sehr weit in den Planungen, der wird trotzdem stattfinden." Der Cyberangriff sei zwar eine Überraschung gewesen, die es zum Geburtstag nicht gebraucht hätte, "aber wir wollen uns von diesen Kriminellen auch nicht so sehr beeindrucken lassen".