Der Cyberangriff auf die Sozial-Holding kann jeden treffen

Herr Wallrafen, Ihr Pflegeunternehmen ist eines der ersten, das gehackt wurde?

Helmut Wallrafen: Das hätte ich auch gedacht, aber das stimmt nicht. Ich habe vom BSI, dem Bundesamt für Sicherheit in der Informationstechnik, erfahren, dass voriges Jahr mindestens 40 Pflegeheime gehackt wurden. Dass man von denen bisher nichts gehört hat, ist aber typisch für die Altenpflege: Man spricht als Betroffener nicht über solche Sachen, weil man denkt, das werfe ein schlechtes Licht auf einen. Aber warum soll ein Betreiber schlecht sein, wenn er gehackt wird? Es muss deutlich werden, dass wir alle angreifbar sind und vorbeugen müssen. Die Kollegen können aus unserem Fall lernen. Deshalb war für mich von vornherein klar, dass ich offen über die Cyberattacke reden werde, sofern dadurch nicht die Ermittlungen beeinträchtigt werden.       

Wie ging es am Morgen des 17. März los, und wie haben Sie überhaupt gemerkt, dass Sie Opfer einer Cyberattacke geworden sind?

Morgens zwischen sechs und halb sieben schaue ich mir normalerweise immer die Mails auf meinem Diensthandy an. Da erschien dann der Hinweis, dass keine Verbindung hergestellt werden kann. Gut, dachte ich mir, da klemmt wieder was, so etwas kommt gelegentlich vor. Als ich dann in unsere Verwaltung ankam, habe ich wie immer kurz in jedes Zimmer geschaut und gegrüßt. Dann sagte der Erste, er käme nicht ins System, dann die Nächste – so ging es dann weiter, bis klar wurde, dass wir gehackt worden waren. Wir erhielten dann ein einziges Textdokument von einem virtuellen Server und öffneten es – da war dann sinngemäß zu lesen: 'Wir sind es, für 100.000 Dollar Lösegeld stellen wir alles wieder so her, wie es war.' Das ist Cyberkrieg.

Wie haben Sie reagiert?

Ich habe alle zu einer Krisensitzung zusammengetrommelt, vor allem auch unseren externen Cyberbeauftragten, der uns testweise regelmäßig angreift, um Schwachstellen zu identifizieren. Das hat er so etwa alle halbe Jahr gemacht und fand dann auch immer ein Problem, das wir lösen mussten. Aber das Wichtigste war, erst einmal alles runterzuschalten, sämtliche Rechner vom Netz zu nehmen. Das haben wir zentral gemacht, aber dann mussten wir natürlich vor Ort alle Leitungskräfte informieren und die Lage erklären. Das allein ist schon mühsam, ohne die Möglichkeit, Mails zu schreiben. Es müssen wirklich alle Computer ausgeschaltet bleiben, keiner darf mehr benutzt werden. Da ist die Disziplin aller gefragt.

Sie haben auch schnell die Polizei eingeschaltet…

Ja, das steht natürlich auch ganz oben auf dem Notfallplan. Auch den Datenschutzbeauftragten und das BSI mussten wir sofort informieren. Das BSI sorgt dafür, dass das Unternehmen augenblicklich von allen kritischen Netzwerken getrennt wird. Diese drei Punkte gehören alle zum klassischen Notfallplan. Da gibt es aber noch etwas, das ebenfalls wichtig ist, das ich nur jedem empfehlen kann und das auch die Sicherheitsbehörden immer sagen: Bewahren Sie Ihre Passwörter nicht nur auf ihrem Rechner auf, notieren Sie sie am besten auch auf Papier. Es gibt doch so viele Institutionen, mit denen wir nur digital zu tun haben, bei denen wir uns ganz schnell abmelden mussten, damit die Hacker die Passwörter nicht missbrauchen. Etwa die Stelle, bei der wir freie Heimplätze melden. Oder auch Instagram: Stellen Sie sich nur vor, die posten richtig rufschädigende Dinge in unserem Namen – das kriegt man nie wieder richtig eingefangen.

Haben Sie eigentlich mal dran gedacht, die 100.000 Dollar Lösegeld zu zahlen?

Nein, davon raten auch Landeskriminalamt und BSI dringend ab. Das gibt einem doch keine Sicherheit. Man weiß nicht, ob sie die Daten bei sich wirklich vernichten. Allerdings hat das LKA uns den Tipp gegeben, eine emotionale E-Mail an die Hacker im Darknet zu schicken. Ich war sehr überrascht, dass ausgerechnet das LKA uns diesen Vorschlag macht. Nun, ja, warum nicht, ich habe mich also hingesetzt und von unserer gemeinnützigen Holding erzählt, die das Zuhause von so vielen Pflegebedürftigen ist und, und, und… Aber die ließen sich in unserem Fall nicht erweichen.    

Wie hoch ist der finanzielle Schaden?

Bis heute haben wir 250.000 Euro für Hard- und Software ausgeben, die mir keiner zurückzahlt. Die rund 45 alten Rechner hier in der Zentrale müssen alle vernichtet werden, weil sie zu nah dran sind, es ist nicht auszuschließen, dass sie immer noch schlafende Viren bergen, selbst wenn sie – wie ich es ausdrücke – gewaschen werden. Das funktioniert mit den Rechnern in den Heimen, aber nicht bei denen hier in der Verwaltung, wo alles seinen Ausgang nahm. 

Wissen Sie eigentlich, wie Sie gehackt wurden?

Ursache war nicht, wie man vielleicht denken mag, ein unbedarfter Nutzer, der einen mit Viren beladenen Anhang geöffnet hat. Es ist in der IT-Abteilung hier in der Verwaltung passiert. Die Kriminellen haben mit einem Treiber an einem Sonntag das System angegriffen. Zwölfmal haben sie den Angriff versucht, am Ende sind sie durchgekommen. Das passierte bereits im Februar 2024, ein Jahr hat sich das Virus also schlafend gelegt, am 17. März hat es dann alles platt gemacht.

Das alles zeigt mir: Niemand kann sich sicher sein. Wir hatten die aktuellste Firewall, unseren externen Datenschützer und so weiter. Unser Fall ist so gesehen auch eine Botschaft an alle IT-Gläubigen. Sie sollten nie denken, die Hacker schaffen das eh nicht. Das sind keine Studenten mehr, die Robin Hood spielen, das sind Kriminelle, die im Darknet Daten verkaufen.

Aber wir hatten auch Glück im Unglück: Es sind vor allem die drei Server mit den Verwaltungsdaten gehackt worden. Den vierten Server mit den sensiblen Bewohner- und Mitarbeiterdaten hat es zum Glück nicht erwischt.

Das Interview führte Kirsten Gaede