Thought Leadership
Ein Ransomware-Angriff hat am 27. April 2025 die IT-Systeme der Arbeiterwohlfahrt (AWO) in Gießen lahmgelegt. Die Angreifer drangen in die Server ein, verschlüsselten sämtliche Daten und hinterließen eine Lösegeldforderung, wie die Gießener Allgemeine berichtet.
Markus Weber, Geschäftsführer von dokuworks und externer Leiter des eingerichteten Krisenstabs, bezeichnet den Vorfall laut der Zeitung als „typischen Ransomware-Angriff“. Er vermutet, dass die AWO dabei nicht gezielt ins Visier genommen wurde. Vielmehr scannt die bekannte, aber nicht namentlich genannte Tätergruppe automatisiert das Internet nach verwundbaren Servern. Die genaue Schwachstelle, die den Angreifern Zugang verschaffte, ist noch unbekannt – forensische Untersuchungen laufen derzeit.
Betrieb läuft trotz IT-Ausfall weiter
Trotz des massiven IT-Ausfalls konnte die Betreuung in den AWO-Einrichtungen aufrechterhalten werden. „Die Betreuung der Menschen war jederzeit gewährleistet“, bestätigt Weber. Allerdings müssen die Mitarbeiter auf analoge Arbeitsweisen zurückgreifen – beispielsweise wird die Patientendokumentation vorübergehend mit Stift und Papier statt am Computer geführt.
Nils Neidhart, Geschäftsführer der AWO Gießen, ergänzt: „Selbstverständlich waren und sind einige Prozesse für unsere Mitarbeitenden aufwendiger und insbesondere umständlicher, aber wir können uneingeschränkt unserem Auftrag nachkommen.“
Dank vorhandener Backups konnte bereits ein rudimentärer IT-Betrieb wiederhergestellt werden. Um weitere Zugriffe durch die Angreifer zu verhindern, bleiben viele Systembereiche jedoch vom Internet getrennt. Sämtliche Laptops aus den Einrichtungen wurden eingesammelt und werden neu aufgesetzt.
Keine Verhandlungen mit den Angreifern
Aus ermittlungstaktischen Gründen macht Weber keine Angaben zur Höhe der Lösegeldforderung. Die AWO steht in engem Kontakt mit Polizei, Landeskriminalamt und der Landesdatenschutzbehörde. Eine Zusammenarbeit mit den Tätern wird kategorisch ausgeschlossen.
Der Krisenstabsleiter rechnet damit, dass die Angreifer möglicherweise entwendete Daten im Darknet zum Verkauf anbieten könnten. Dabei handelt es sich vermutlich um Kontaktdaten wie E-Mail-Adressen, Postadressen oder Telefonnummern von Kunden und Angehörigen. Besonders sensible Informationen wie Patientendaten oder Medikationspläne waren laut Weber auf speziell gesicherten Systemen gespeichert, die von dem Angriff nicht betroffen waren.
