Nichts geht mehr

Wie klassische Einbrecher kommen auch Datendiebe bevorzugt zu einer Zeit, in der niemand da ist. Adobe Stock/ronstik

Sonntag, 11. September 2022 beim Caritasverband München und Freising: Alle PCs und Laptops der 10.000 Beschäftigten bleiben ausgeschaltet. Es gibt keine E-Mails, keine Internetverbindung, keine Daten von Laufwerken, keinen Zugang zu IT-Systemen. Hochprofessionelle Cyberkriminelle haben den Verband attackiert. Es war ihnen gelungen, alle Schutzsysteme und Sicherheitsbarrieren zu durchbrechen. Was der Sozialverband zu dem Zeitpunkt im September noch nicht wusste: Bereits Wochen vorher waren die Kriminellen in das IT-Netzwerk eingedrungen und hatten viele Ebenen und Verzweigungen durchforstet. Am Samstag, den 10. September, verschlüsselten sie alle Systeme und platzierten ihre Lösegeldforderung in Millionenhöhe. Digital vernetztes Arbeiten hatte schlagartig ein Ende - zum Glück nur vorübergehend.

Der Cyberangriff

Ab etwa Mitte August 2022 waren Cyberkriminelle in die Systeme des Caritasverbands der Erzdiözese München und Freising ­(DiCVM) eingedrungen. Sie verschafften sich einen virtuellen Brückenkopf, erkundeten von dort aus das Netzwerk des DiCVM, identifizierten und kompromittierten wichtige Systeme. Die Attacke wurde sehr typisch ausgeführt - vermutlich durch eine E-Mail mit einem Link auf einen Schadcode. Damit verschafften sich die Angreifer administrative Berechtigungen. Der Schadcode, ein "Payload", wurde von den eigenen Schutzmechanismen wie Firewall, Netzwerkfiltern und Virenscannern nicht erkannt. Die IT-foren­sische Untersuchung geht davon aus, dass der erste Schadcode eine sogenannte Zero-Day-Vulnerability war, eine öffentlich nicht bekannte und daher nicht vom jeweiligen Softwarehersteller geschlossene Lücke.

Mit den erbeuteten Berechtigungen konnten die Angreifer unbemerkt die Kontrolle übernehmen und die Sicherheitsarchitektur aushebeln. Sie installierten weitere Malware und begannen mit einem im Nach­hinein betrachtet sehr zufälligen Datenklau. Diese Daten wurden primär genutzt, um den Abschluss des Angriffs vorzubereiten: die Verschlüsselung wichtiger Datenspeicher und Server. Dadurch konnte der DiCVM auf wesentliche Daten und Fachverfahren nicht mehr zugreifen. Die Hacker forderten "Lösegeld" für die kompromittierten Daten und Systeme. Der DiCVM lehnte ab.

Als durch die interne IT-Organisation die Attacke und die beginnende Verschlüsselung der Systeme bemerkt wurde, wurden sofort technische Gegenmaßnahmen ergriffen und Systeme isoliert. So konnte die schädliche Wirkung auf Systeme und Netze eingedämmt und gewährleistet werden, dass keine Beeinträchtigung extern betriebener Fachverfahren (zum Beispiel SAP) oder ein Übergriff auf verbundene Netze erfolgte.

Sofort war klar, dass der Cyberangriff auch das Ziel hatte, das Vertrauen von Mit­arbeitenden, Klient:innen, Angehörigen, Geschäftspartnern und allen, die den Verband unterstützen, zu erschüttern und die Caritas erpressbar zu machen. Dieser Krise konnte nur mit planvollem Krisenmanagement und einer schnellen und offenen Kommunikation nach innen und außen begegnet werden. Ein täglich mehrfach tagender Krisenstab wurde etabliert, zu dem der dreiköpfige Vorstand und die Leitungen der Abteilungen IT und Kommunikation gehörten. Unterstützt wurde der Krisenstab von einem externen Krisenmanager der Cyber­versicherung.

Der Umgang mit der Krise

Not macht erfinderisch. Die Kommunikation lief in den ersten Tagen über das mobile Internet von Handys, privaten E-Mail-Konten und Chatgruppen, SMS- und Fax-Ketten sowie telefonisch. Damit blieb der Verband handlungsfähig. Diese schnelle Reaktion war wichtig. Denn spätestens ab Montag, den 12. September, wurden die Führungskräfte in der Münchner Zentrale und in den 350 Einrichtungen von Fragen überrollt.

Die kurzfristigen Aufgaben des Krisenstabs waren

◆  die Verhandlungsführung mit den Erpressern,

◆  Sicherung der Liquidität sowie der Kommunikationsfähigkeit nach innen und außen,

◆  die Steuerung der IT-Forensik,

◆  Informationsmanagement innerhalb des Verbands,

◆  die Steuerung und Gestaltung der Öffentlichkeits­arbeit und internen Kommunikation,

◆  die Gestaltung eines Notbetriebs der wichtigsten IT-Verfahren für den DiCVM gemeinsam mit externen Partnern,

◆  planmäßiger Wiederaufbau der IT, priorisiert nach Geschäftsprozessen.

Ein erweiterter Krisenstab gemeinsam mit der ersten Führungsebene kümmerte sich um das Allerwichtigste: die Kernaufgabe der Caritas, die Arbeit für Menschen in den Altenheimen, in den Kitas und Werkstätten sowie in der Sozialberatung aufrechtzuerhalten - ohne Computer und Datenleitungen.

Erkenntnisse aus dem Vorfall

Die Priorisierung von Liquidität und Kommunikation ist entscheidend in einer exis­tenziellen Krisensituation. Die Organisation wird mit Überforderung, Ohnmacht und Kommunikationslosigkeit umgehen müssen - auch im Topmanagement. Deshalb ist Kommunikation in der Krise Chefsache.

Die Botschaften müssen klar, trans­parent, zeitnah, zielgruppengerecht und passgenau erfolgen, um bei allen Mitarbeitenden, Klient:innen und Stakeholdern Missverständnissen und Ängsten vorzubeugen. Von Vorteil war, dass die öffentliche Website des DiCVM und die Social-Media-Kanäle unabhängig von der internen IT betrieben wurden. Diese Systeme konnten umgehend für die Krisenkommunikation, etwa für eine umfangreiche Fragen-und-Antworten-Liste (FAQ) genutzt werden. In der Krise sind gute und verlässliche Dienstleister unendlich wertvoll. Nicht zu kurz kommen darf auch die Zusammenarbeit mit dem Aufsichtsrat.

Organisatorische Verbesserungen

Eine Erfahrung während der Krise: Die Arbeit für die Menschen funktionierte auch ohne IT-Unterstützung. Dies hat allerdings überaus große Anstrengungen von allen Beteiligten erfordert. Viele Prozesse wurden ad hoc umgestaltet, um handlungsfähig zu bleiben. Notfallpläne wurden entwickelt, die es Diensten, Einrichtungen und Geschäftsbereichen ermöglichen, sich auf weitere Ausfälle von IT-Systemen vorzubereiten.

Zur Schulung der Mitarbeitenden und zur Steigerung der "Awareness", also des Problem- und Risikobewusstseins, wurden tätigkeits- und personabasierte Kenntnisstufen für den Umgang mit IT sowie Informationssicherheit und Datenschutz erarbeitet. Diese Überlegungen sollen 2025 umgesetzt und in digitalen Lerninhalten abgebildet werden. Zusätzlich werden Schulungen angeboten und Informationskampagnen (zum Beispiel Phishing-Simulationen) durchgeführt.

Die IT wurde völlig neu aufgestellt

Nach der Cyberattacke nutzte der DiCVM die Krise als Chance. Die alte IT wurde nicht wiederhergestellt, sondern vollständig neu aufgebaut. Dies ging mit der sukzessiven Übergabe der Betriebsverantwortung an Dienstleister einher, allen voran die SoCura Systems gGmbH. Dadurch können Skalenvorteile genutzt werden und das IT-Betriebs- sowie Sicherheitsniveau ­angehoben werden. Im Einzelnen wurden folgende technischen Maßnahmen umgesetzt:

◆  Der IT-Betrieb wird nun konsequent durch den Dienstleister mit Sicherheitsmechanismen und -tools sowie dafür qualifizierten Mitarbeitenden überwacht.

◆  Für alle Nutzer:innen ist eine Mehrfaktor-Authentifikation für die Nutzung von IT-Systemen erforderlich, sofern der Zugriff nicht aus Standorten und Einrichtungen des DiCVM erfolgt.

◆  Die unterschiedlichen Applikations-Betriebsumgebungen sind strikt voneinander getrennt (Segmentierung).

◆  Kollaborationswerkzeuge und Dateiablagen wurden in die Microsoft-Cloud (M365) verlagert.

◆  Nach wie vor sind nicht alle Fachapplikationen in einem einzelnen Rechenzentrum, sondern über mehrere Betriebsumgebungen verteilt, um so ­etwaige Angriffe auf ein Rechenzentrum möglichst schnell von anderen Fachverfahren entkoppeln zu können.