Mal wieder ein Informationssplitter aus dem Bereich Cybersicherheit, der mir durch Zufall unter die Augen gekommen ist. Die Caritas in München wurde 2022 Opfer eines Cyberangriffs und es war klar, dass man mit längeren Ausfallzeiten rechnen müsse. Nun sind fast zwei Jahre vergangen und die Caritas glaubt nun die Folgen des Angriffs wirtschaftlich verkraftet zu haben. Aber es sind immer noch Investitionen wegen dieses Vorfalls zu stemmen. Hier nochmals ein Blick auf den Sachverhalt.
Anzeige
Cyberangriff auf Caritas in 2022
Ich habe im Blog nachgeschaut, die Caritas München und Oberbayern wurde im September 2022 Opfer eines Cyberangriffs. Die IT dieser Organisation wurde mit einer Ransomware lahm gelegt. Ich hatte seinerzeit im Blog-Beitrag Ransomware-Angriff auf Caritas München und Oberbayern (Sept. 2022) berichtet.
Die Münchner Caritas rechnet bereits damals mit längerfristigen Einschränkungen bei der EDV, da der Ransomware-Angriff wohl umfangreich war und die Organisation wegen eingestellter E-Mail-Kommunikation auf FAX-Geräte zur Kommunikation zurückgreifen musste. Damals wurde bekannt, dass beim katholischen Sozialverband 350 Dienste und Einrichtungen mit etwa 10.000 Mitarbeitern von dem Angriff betroffen waren.
Caritas Sprecherin Bettina Bäumlisberger sagte seinerzeit, dass in den Pflegeheimen oder Kindergärten ohnehin vieles noch analog laufe und deswegen die Computerprobleme nicht so gravierend seien. SentinelOne bestätigt, dass mehrere Server und Rechner der Organisation mit rund 10 000 Beschäftigten von diesem Vorfall betroffen waren. Der Vorstandsvorsitzende Herrmann Sollfrank musste einräumen, "dass es konkrete Hinweise gebe, dass es den Cyberkriminellen gelungen sei trotz aller Schutzvorkehrungen Daten aus den Systemen abzugreifen". Welche Daten bei dem Angriff genau gestohlen wurden und wie sicherheitskritisch diese sind, blieb allerdings noch unklar. Zeitnah nach Bekanntwerden der Attacke seien die Server der Caritas "eingefroren" (wohl heruntergefahren) worden, damit keine weiteren Daten exfiltriert werden, hieß es.
Die langen Schatten des Angriffs
Ich habe den Fall nicht weiter verfolgt, bin aber diese Woche auf nachfolgenden Tweet gestoßen, der die Folgen des Angriffs verdeutlicht. Die Caritas hat fast zwei Jahre gebraucht, um wirtschaftlich über den Cyberangriff hinwegzukommen.
Anzeige
Der Bayerische Rundfunk (BR) hat das Ganze im Beitrag München: Caritas nach Cyber-Angriff wieder im Finanzplus nachbereitet. Es wurden Daten von Mitarbeitern und Caritas-Klienten gestohlen, was einen immensen Schaden verursachte. Der Ransomware-Vorfall in der IT im September 2022 hat der Organisation ein Minus von 23 Millionen Euro beschert. Erst im Juli 2024 konnte die Caritas wieder ein Plus von 2 Millionen Euro auf ihrem Konto verbuchen, wie Caritas-Finanzdirektor Thomas Schwarz bei der Vorstellung der Zahlen für das Jahr 2023 anmerkte.
Der Schaden durch den Cyber-Angriff 2022 ist aber auch im Sommer 2024 noch nicht vollständig ausgestanden. Caritas-Finanzdirektor Thomas Schwarz merkt an, dass "auch noch im laufenden Jahr Aufwendungen durch die Renovation unserer IT" anfallen. Erst Ende des Monats Juli 2024 werde die digitale Infrastruktur wieder auf Stand sein. "Deswegen haben wir natürlich eine Belastung von über zwei Jahren gehabt, die durch diesen Cyber-Angriff entstanden ist – neben den weiteren Herausforderungen, die die Sozialwirtschaft insgesamt hat und hatte", so Schwarz.
Der Vorfall und die Nachbereitung zeigen, wie drastisch die Folgen von Cyberangriffen sein können. Und die Caritas ist eine Organisation und kein Produktionsbetrieb. Trotzdem gab es gravierende Schäden durch den Ransomware-Angriff.
Anzeige
"dass in den Pflegeheimen […] ohnehin vieles noch analog laufe"
Glück gehabt.
Das ist ja das, wovon unser Gesundheitsminister weg will.
Gerade in der Pflege ist es ja inzwischen so, daß praktisch jeder Handgriff (Medikamentengaben, nächtliche Kontrollbesuche, Vitalwerte, bis hin zu Flüssigkeitseinfuhr- und -ausfuhrprotokollen) dokumentiert werden muß, im Ernstfall auch gerichtsfest. Ein nicht unerheblicher Anteil der täglichen Arbeitszeit.
Bei einer Bekannten (städtisch, nicht Caritas) wird das inzwischen alles per Tablet (die dahinter stehende IT kenne ich nicht näher) gemacht wird. Unvorstellbar, wenn z.B. die Frage "welche Morphin-Dosis hat denn die Bewohnerin letzte Woche bekommen" nicht mehr oder nur noch unscharf aus der Erinnerung beantwortet werden kann.
Hinzu kommt, daß der Umgang mit IT für viele Pflegende ein Hilfsmittel und nicht Kernkompetenz ist – oft sogar nur angelernt, weil es eben vor 20 Jahren noch nicht Bestandteil der Ausbildung oder des Examens war.
Bedenkliche Entwicklung.
oder die aktuelle Morphin-Dosis direkt online verändert werden kann…
"Bedenkliche Entwicklung."
Absolut. Der Kern hinter dieser Entwicklung ist aber immer noch, dass man einen so überbordenden Dokumentationsaufwand geschaffen hat, dass der Umgang damit die Organisationsfähigkeiten so sehr überfordert, dass das quasi nach ausufernder IT schreit, um das vielleicht in den Griff zu kriegen.
Das war ja nicht immer so, sondern es wurde eine Aufgabenschere mit den Schenkeln "immer mehr Dokumentation" und "immer katastrophale Arbeitsorganisation" geschaffen, die immer weiter auseinanderklaffte.
Ich habe mittlerweile mehrere Leute im Freundes- und Bekanntenkreis, die den Beruf hingeschmissen haben, weil sie sich dem nicht mehr gewachsen fühlten.
Eine ist dem System fast zum Opfer gefallen, weil Intensivstation und Personalmangel zu zu vielen gleichzeitigen Anforderungen führten und die Priorisierung der Patienten zu angeblichen Dokumentationsmängeln.
Wie immer müssten hier zuerst die tatsächlich zugrunde liegenden Probleme gelöst werden, bevor man daran denken sollte, da IT drüber zu rollen. Stattdessen geht man davon aus, dass sich alle Probleme für die Betreiber mit nur ausreichend viel IT-Zeugs von selbst lösen werden.
Die naheliegende Logik, dass es mit der IT genauso laufen wird, wie es mit Nicht-IT-Prozessen gelaufen ist, scheint da einfach nicht zu greifen.
Auch die Erkenntnis, dass eine 100%ige Fachkraft, die zu 50% mit ganz anderen Dingen belastet wird, keine 100%ige Fachkraft mehr ist, scheint niemand zu kommen.
Dann wirft man Leute im besten Fachkraftstadium, z.B. im 30. Dienstjahr, halt auch einfach irgendwelches Zeug vor die Füße und sagt "mach mal". Und aus der Fachkraft wird im besten eine überforderte und dann dysfunktionale Fachkraft.
Das gilt auch für niedergelassene Ärzte, den ganzen Sektor.
In mehreren Gesprächen mit einem Facharzt ging es auch um die Digitalisierung und die unsäglichen Prozesse, extrem schwer einhaltbare Vorschriften und die Erkenntnis, dass die eigentliche Arbeit am Patienten immer mehr in den Hintergrund tritt.
Da sitzt man als IT-Fachkraft dann mit einem Arzt am Tisch und nimmt aus den Beschreibungen die Erkenntnis mit, dass in die fertig ausgebaute Praxis dann auch ein IT-Dienstleister einziehen könnte, weil die gesamte Infrastruktur dafür dann da ist. Man sieht eine überschaubare Aufgabe, schließlich macht man sowas ja tagtäglich.
Und dann hört man die Verzweiflung aus den Schilderungen heraus und erkennt, dass das eine enorme Belastung ist, die nicht nur finanziell, sondern auch arbeitsorganisatorisch und mitarbeiterbezogen ist.
Ganz zum Schluss wird einem dann klar, dass man mit einem 50jährigen Spezialisten seines Fachs am Tisch sitzt, der eigentlich darüber nachdenkt, alles hinzuschmeißen. Weil er halt kaum noch das machen kann, was seine tatsächlichen Kompetenzen sind, er nur kaum Mitarbeiter finden, die den entstandenen Ansprüchen gewachsen sind und ihn der Umfang der nötigen Investitionen an den finanziellen Ruin treibt.
Da werden ja nicht nur ein paar Computer hingestellt und die Leute mit aufwendigen Kartenlösugen in Schach gehalten. Nein, da hängen auch zu digitalisierenden Diagnosegeräte dran, zu digitalisierenden Bestände und unsägliche digitale Prozesse bei Dritten, wenn man z.B. einen OP-Saal buchen und abrechnen will.
Es ist einfach katastrophal, was da im medizinischen Bereich im Bereich der Digitalisierung abgeht.
Gerade noch beim Augenarzt am Tresen gestanden … "muss ich mal abbrechen und neu beginnen …" – und im Hintergrund ein Kabelverhau, mit einem PC/Server, einer Fritz!Box, der KIM-Hardware etc.
Das Problem scheint nicht für jeden gleich hart aufzuschlagen.
Bei einer Psychologin ein Nebengespräch geführt, weil außer einem Telefon mit Türsprechanlage und -öffner keine Technik zu sehen war. Quintessenz: macht nur integrierte Versorgung und Direktverträge, muss wohl nicht elektronisch. Sie lehnt aufgrund der Sensibilität ihrer Daten jede elektronische Datenverarbeitung ab, die nicht für sie nachvollziehbar sicher ist. Es gab wohl einen Anlauf, aber ihre Fragen konnten nicht zufriedenstellend beantwortet werden.
Alles Papier und ein veritabler Stahlschrank für die Akten.
Mir ging das Herz auf.
Insbesondere, weil ich als Kunde bei ihr war und beruflich natürlich nur die anderen kennenlerne.
Hmm, bei 23 Mio Miesen stelle ich mir die ganz banale Frage, wieviel "Lösegeld" die Hacker damals verlangt haben, und ob eine Zahlung nicht günstiger gewesen wäre…
Naja, vielleicht hat das wenigstens für eine Verbesserung der IT-Sicherheit bei der Caitas gesorgt und so manchem Entscheider die Augen geöffnet.
Geht jetzt schon dem Vatikan das Geld aus?
Die Caritas finanziert sich selbst, nicht durch den Vatikan und auch nicht durch die kath Kirche. Habe selbst bei der Kjf in der IT gearbeitet, dass Problem ist wie überall, dass IT eine ungeliebte Abteilung ist die " kein Geld braucht" . Schon wegen einen Bleistift musste man einen schriftlichen Anforderungsantrag stellen. Die Schulen werden zu 90 % über die Staatsregierung finanziert. Die IT wir waren 3 im 2. Support für 4500 Mitarbeiter. 1 Stelle Teilzeit für Netzwerk, aber Einkauf und Verwaltung der IT war mit 3 Stellen besetzt. Dazu kommt, dass zu meiner Zeit, noch Server 2008 gelaufen sind, weil einfach Personal fehlte um die upzugraden. An extern Vergabe war auch nur Sandkasten Spiel, man wollte viel Leistung für wenig Geld. Strelle mal so in den Raum, nicht die Kirche finanziert Caraitas und kjf sondern die Gelder gehen in die andere Richtung. Von den Einrichtungen –> Kirchenverwaltung, Bistum usw.
Ich glaube ja nicht an so was wie Ethik unter den Cyberkrimminellen / Erpressern: "Zahlen Sie bitte und dann sind wir weg".
Womöglich schlummert noch ein unentdecktes Ding im System. Und dann geht das grad so weiter.
Alles neu macht der Mai.
Die Zahlung wäre weiteres verschenktes Geld gewesen, denn das System hätte dennoch neu aufgesetzt werden müssen.
naja, wenn sie knapp 2 Jahre "danach" schon wieder 2 Mio. EUR im Plus sind scheint der Laden ja nicht allzu unrentabel zu arbeiten …
Stand heute in einem Caritasverband in NRW:
Tägliche Arbeit findet per thin client auf Windows 2012R2 Basis statt – inklusive ungepatchten Chrome (gibt ja keine mehr) als Hauptbrowser. Mich wundert es, dass es bisher noch keinen massiven Malware Befall gab…
Gearbeitet wird mit einem externen IT-Dienstleister, eine Lösung sei "in Arbeit"