Hackerangriff legt Caritas-IT seit Monaten lahm

Bis heute arbeitet die IT des Caritasverbands nur im Notbetrieb. Laut von Meerbeck wird die vollständige Wiederherstellung voraussichtlich bis März dauern. Alle Rechner, die von Mitarbeitern genutzt wurden, müssen vollständig gelöscht und neu aufgesetzt werden. Erst danach können Daten wieder regulär verarbeitet werden. Rund 20 Terabyte Daten sind betroffen.

"Wir setzen unser gesamtes System neu auf und fangen im Grunde bei null an", sagt van Meerbeck. Weil es nicht um eine bloße Wiederherstellung gehe, dauert es so lange. Es gehe darum, jede mögliche Art von Schadsoftware zu tilgen. Die Server bleiben bis auf Weiteres vollständig vom Internet getrennt. Man sei jedoch arbeitsfähig. Schon zwei Wochen nach dem Hacker-Angriff, Ende November, konnte der Caritas-Verband das Gehalt inklusive Weihnachtsgeld auszahlen.  

Die Dokumentationsdaten aus der ambulanten Pflege werden jetzt lokal erfasst. Die Pflegefachkräfte müssen die Tablets täglich einsammeln und zur Geschäftsstelle bringen, wo die Daten per Kabel ohne Internetverbindung übertragen werden. Der erste Tag der Attacke sei für die Pflegekräfte ein absoluter Ausnahmezustand gewesen: Alle digitalen Informationen waren verschwunden, innerhalb kürzester Zeit haben sie die nötigen Daten bei Ärzten und Apothekern eingeholt. Van Meerbeck ist beeindruckt vom Engagement der Kollegen: Selbst aus dem Frei oder Urlaub sind zur Krisensitzung gekommen, um über die nächsten Schritte zu beraten.           

Schaden bis zu einer halben Million

Die Schadensbehebung wird nach Einschätzung des Verbands zwischen 350.000 und 500.000 Euro kosten. Bislang sind rund 100.000 Euro angefallen. Ob und in welchem Umfang eine Cyberversicherung einspringt, ist noch offen. Klar ist: Ein erheblicher Teil der Kosten bleibt beim Träger.

Bemerkenswert ist die Dauer des Ausfalls. Zum Vergleich: Nach einem Hackerangriff auf die Sozial-Holding Mönchengladbach im Jahr 2025 konnte der Betrieb nach wenigen Wochen weitgehend normalisiert werden. In Dinslaken und Wesel hingegen zieht sich der Wiederaufbau über Monate hin.

Hackerbande aus Georgien ging leer aus

Nach Erkenntnissen der Ermittlungsbehörden handelt es sich um eine international agierende Hackergruppe mit Sitz in Georgien, die bereits zahlreiche Organisationen angegriffen hat. Das Ziel der Täter war es, Systeme zu verschlüsseln und Lösegeld zu erpressen. Die Täter boten an, die Daten gegen Zahlung freizugeben oder sie andernfalls zu veröffentlichen. Der Verband lehnte eine Zahlung ab – auch auf Anraten von Polizei und Sicherheitsexperten.

Ob personenbezogene Daten von Mitarbeitern, Klienten oder Bewohnern abgeflossen sind, ist noch unklar. Der Verband kann dies bislang weder bestätigen noch ausschließen. Sollte es zu Veröffentlichungen im Darknet kommen, werden Betroffene umgehend informiert und unterstützt.

Der Caritasverband informiert Angehörige und Betroffene auf der Website transparent über mögliche Risiken. Er rät zu erhöhter Wachsamkeit bei Phishing-Mails, verdächtigen Anrufen oder Schreiben und zur regelmäßigen Kontrolle von Kontobewegungen. Auch vor Betrugsversuchen an der Haustür wird ausdrücklich gewarnt.

"Wir waren nicht unvorsichtig"

"Wir waren nicht unvorsichtig, wir haben keine veraltete Software genutzt", sagt van Meerbeck. Der Verband habe rund 450 geschützte Zugänge und VPN-Verbindungen betrieben. Der Angriff zeige jedoch, wie verletzlich selbst gut abgesicherte Systeme sind.

Für die Pflegebranche ist dieser Fall ein weiteres Warnsignal, erst im März 2025 wurde die Sozial-Holding der Stadt Mönchengladbach Zeil eines Hacker-Angriffs. Cyberangriffe bedeuten nicht nur kurzfristige Störungen, sondern können auch monatelange Einschränkungen, hohe Zusatzkosten und einen erheblichen organisatorischen Aufwand nach sich ziehen. Laut dem Verband sei die Qualität der Pflege jedoch nicht beeinträchtigt. Der Preis dafür ist jedoch hoch – finanziell und personell.

Kirsten Gaede