Thought Leadership
Cyberkriminelle aus dem russischen Umfeld haben laut AWO die IT-Infrastruktur des Wohlfahrtsverbands lahmgelegt. Der Angriff erfolgte über Erpressungssoftware, die systematisch die Systeme verschlüsselte.
Der AWO-Kreisverband Karlsruhe-Land mit Hauptsitz in Bruchsal wurde vergangene Woche Opfer einer koordinierten Ransomware-Attacke, wie Badische Neueste Nachrichten berichtet. Nach Angaben von AWO-Prokurist Christian Holzer ist die kriminelle Lynx-Gruppe für den Angriff verantwortlich, die den Behörden bereits aus früheren Fällen bekannt ist. Sie soll aus dem “russischen Milieu” stammen.
Systematische Kompromittierung der IT-Systeme
Die Attacke begann am Mittwoch zunächst mit Störungen des E-Mail-Systems, bevor sich die Schadsoftware sukzessive durch die gesamte IT-Infrastruktur ausbreitete. Die verwendete Ransomware blockierte letztlich den Zugriff auf zentrale Systeme und verschlüsselte Datenbestände.
Sofort nach Entdeckung der Kompromittierung leitete die AWO Notfallmaßnahmen ein: Die betroffenen Systeme wurden isoliert und vom Netzwerk getrennt, um eine weitere Ausbreitung der Schadsoftware zu verhindern. Externe IT-Sicherheitsexperten übernahmen die forensische Untersuchung des Vorfalls.
Lösegeldforderung und Ermittlungen
Die Angreifer stellten eine Lösegeldforderung in Höhe von 200.000 Euro für die Freigabe der verschlüsselten Daten. Der Wohlfahrtsverband erstattete umgehend Strafanzeige bei der Polizei. Die Ermittlungen werden vom Landeskriminalamt geführt, zusätzlich sind die zuständigen Datenschutzaufsichtsbehörden in den Fall involviert.
Intensive Wiederherstellungsarbeiten der IT-Spezialisten bis spätabends ermöglichten es, die zentrale IT-Infrastruktur bereits am Folgetag wieder in Betrieb zu nehmen. Eine abschließende Bewertung, ob und in welchem Umfang personenbezogene Daten abgegriffen wurden, steht noch aus.
Datenbestand und Sicherheitsmaßnahmen
Nach Angaben von Holzer befinden sich auf den Servern hauptsächlich administrative Daten wie Arbeitsverträge der Mitarbeiter, jedoch keine als hochsensibel eingestuften Informationen. Als Reaktion auf den Vorfall plant die Organisation eine Verschärfung ihrer IT-Sicherheitsrichtlinien.
Sämtliche Mitarbeiter wurden über den Sicherheitsvorfall informiert und für potenzielle Bedrohungen sensibilisiert. Zusätzlich sind Schulungsmaßnahmen zur Cybersicherheit vorgesehen, um die Widerstandsfähigkeit gegen künftige Angriffe zu erhöhen.
Nicht der erste AWO-Angriff
Der aktuelle Vorfall ist nicht der erste Ransomware-Angriff auf eine AWO-Einrichtung in den vergangenen Monaten. Bereits am 27. April 2025 legten Cyberkriminelle die IT-Systeme der Arbeiterwohlfahrt in Gießen lahm. Die Angreifer drangen dabei in die Server ein, verschlüsselten sämtliche Daten und hinterließen eine Lösegeldforderung.
