Wie sicher ist die Kirche vor Datenklau und Erpressung?

Kriminelle Geschäfte mit sensiblen Daten

Eine Hackergruppe erpresst derzeit Hunderte Unternehmen auf der Welt. Die Kriminellen fordern Lösegeld in Höhe von sage und schreibe 70 Millionen US-Dollar. Könnten solche oder ähnliche Hacker-Angriffe auch kirchliche Einrichtungen treffen?

Sind Datenklau und Erpressung auch bei Kirchlichen Institutionen möglich? / © serdjophoto (shutterstock)
Sind Datenklau und Erpressung auch bei Kirchlichen Institutionen möglich? / © serdjophoto ( shutterstock )

DOMRADIO.DE: Was haben Sie gedacht, als Sie vor einigen Tagen diese Nachricht von einem erneuten weltweiten Hackerangriff gehört haben?

Steffen Pau (Leiter des Katholischen Datenschutzzentrums, Diözesandatenschutzbeauftragter für die Erzdiözesen Köln und Paderborn): Das ist immer schade, wenn so etwas passiert. Aber normal ist es ja zum Glück noch nicht, dass solche Angriffe passieren – gerade in so einem Ausmaß. In dem konkreten Fall ist ja jetzt auch eine Sicherheitslücke in der Software ausgenutzt worden, die vorher zumindest noch nicht öffentlich bekannt war.

Solche Angriffe können natürlich immer wieder passieren, weil keine Software wirklich fehlerfrei ist. Und wenn solche Schutzlücken dann durch die falschen Personen entdeckt werden, können sie auch mal zu solchen kriminellen Zwecken ausgenutzt werden.

DOMRADIO.DE: Wie sieht es denn mit der Datensicherheit in der katholischen Kirche aus? Diese Frage stellt sich dann automatisch, wenn weltweit Firmen betroffen sind.

Pau: Grundsätzlich kann man bei den Angriffen zwei Vorgehensweisen unterscheiden. Das, was wir jetzt auch bei dem amerikanischen Unternehmen gesehen haben, ist ein gezielter Angriff auf ein Ziel, das sich eine Hackergruppe ganz bewusst ausgesucht hat. Sie hat eine Schwachstelle ausfindig gemacht und über diese Verschlüsselung der Daten erpresst sie jetzt das Unternehmen.

Bestimmte Sachen müssen zusammenkommen, damit sie Ziel so einer gezielten Attacke werden. Das muss ja nicht immer ein Softwarefehler sein, aber da wird sehr viel Energie reingesteckt, um dann die Erpressung zu starten.

DOMRADIO.DE: Aber wenn es theoretisch jemand auf die katholische Kirche abgesehen hat und dann gezielt die Kirche angreift, also eben diese Daten haben möchte, dann wäre das schon denkbar?

Pau: Auszuschließen ist das natürlich nicht. Die Frage ist: Wie interessant ist die konkrete Einrichtung für diese Gruppe, die da aktiv wird? Das muss ja nicht immer finanzielle Hintergründe haben.

DOMRADIO.DE: Regierungen, Supermärkte, Energieversorger – Hackerangriffe können jeden treffen. Das haben wir in den letzten Jahren gesehen. Merken Sie denn auch was von vermehrten Hackerangriffen auf Kirchendaten? Gibt es das schon?

Pau: In diesem großen Stil sind es zum Glück noch Einzelfälle, wobei man in vielen Fällen wahrscheinlich gar nicht erfährt, wenn solche Angriffe stattfinden, wenn sie eben nicht solche gravierenden Auswirkungen für die Kunden dieses Unternehmens haben. Aber was sicherlich jeder von uns kennt, ist, dass im Postfach immer wieder E-Mails landen, die versuchen, einen dazu zu bewegen, auf irgendwelche Links zu klicken.

DOMRADIO.DE: Phishing-Mails nennt sich das, glaube ich, oder?

Pau: Genau. Das sind auch Versuche, sie persönlich dazu zu bewegen, darauf zu klicken, das zu öffnen damit sich dann eben eventuell auf Ihrem Rechner oder schlimmer noch in Ihrem Netzwerk, im Einrichtungsnetzwerk, im Unternehmensnetzwerk ebensolche Verschlüsselungstrojaner verbreiten.

DOMRADIO.DE: Wird das denn mehr in den Bistümern und in den Pfarrgemeinden?

Pau: Die Bedrohungslage über diese Mails, die zu Dutzenden, zu Hunderten in den Postfächern landen, ist, glaube ich, gleichbleibend. Da ist es einfach wichtig, dass die kirchlichen Einrichtungen immer wieder ihre Beschäftigten sensibilisieren, vorsichtig mit E-Mails umzugehen, deren Herkunft man nicht kennt und über deren Inhalt man nicht sicher etwas weiß. Da ist Vorsicht beim Anklicken von Links, die man nicht zuordnen kann oder mit dem Öffnen von Dateien, ohne sie vorher vielleicht mal durch einen Virenscanner gejagt zu haben, geboten.

DOMRADIO.DE: Sie haben schon gesagt, es geht ja nicht immer nur ums Geld. Jetzt schauen wir mal auf die Daten, die da vielleicht wertvoll sein könnten bei der Kirche. Abgesehen davon, dass man die Computersysteme in den Bistümern vielleicht lahmlegen könnte, gäbe es da tatsächlich auch die Gefahr von Datenklau, also dass wirklich sensible Daten nach außen dringen könnten?

Pau: Die Gefahr lässt sich nie hundertprozentig ausschließen, aber genau wie andere Unternehmen außerhalb der Kirche sichern die kirchlichen Einrichtungen ihre Daten natürlich so, dass dieser Fall nicht vorkommen sollte. Aber wie jetzt der Fall des amerikanischen Unternehmens wieder zeigt: Sie werden da dieses Risiko nie völlig ausschließen können. Aber die Bistümer tun alles dafür, dass die Daten, die ja nicht an die Öffentlichkeit kommen sollen, dann eben auch entsprechend vertraulich bleiben.

Das Interview führte Jann-Jakob Loos.


Quelle:
DR