Am Abend des 18. Oktober 2023 ist im Naturkundemuseum Berlin pl\u00f6tzlich Schluss. \u201eUnser IT-Leiter will ins Bett gehen, guckt noch mal, ob ein Datentransfer, den er angeregt hat, richtig l\u00e4uft und sieht, dass wir angegriffen werden\u201c, erz\u00e4hlt Johannes Vogel im Herbst zwei Jahre darauf: \u201eEr zieht daraufhin den Stecker, macht das gesamte Museum dicht, schaltet es ab.\u201c <\/p>\n
Am n\u00e4chsten Tag kommen die Mitarbeiter wie immer in das altehrw\u00fcrdige Haus an der Invalidenstra\u00dfe. \u201eWir wussten alle, dass wir nicht die modernste IT-Anlage hatten\u201c, erinnert sich der Direktor. Dass zum Beispiel zwei-, dreimal im Jahr einen halben Tag die E-Mails nicht funktionierten, das war man gewohnt. \u201eNur dieses Mal\u201c, sagt er, \u201ewar es anders.\u201c <\/p>\n
Das Naturkundemuseum ist weit \u00fcber Berlin hinaus bekannt. Kinder zu Besuch in der Hauptstadt schleppen ihre Eltern hierher, um die viele Meter hohen Dinosaurier<\/a>-Skelette am Eingang der Ausstellung zu bewundern. An Wochenenden stauen sich Menschenschlangen vor der Pforte manchmal 200 bis 300 Meter die Stra\u00dfe entlang. 1,65 Millionen Menschen kamen zuletzt pro Jahr, im Schnitt 4500 G\u00e4ste pro Tag. Als das Museum gebaut wurde, regierte Deutschland noch ein Kaiser. Am 2. Dezember 1889 er\u00f6ffnete Wilhelm II.<\/a> das Haus.<\/p>\n Bis heute ist es eine geachtete Institution \u2013 und weit mehr als nur ein Ort, an dem Familien ausgestorbene Tiere und Pflanzen bestaunen. Urspr\u00fcnglich ein Teil der Humboldt-Universit\u00e4t, geh\u00f6rt das Museum seit 2009 zur au\u00dferuniversit\u00e4ren Leibniz-Gemeinschaft. Wissenschaftler arbeiten hier eng mit anderen Forschern in aller Welt zusammen und geben ihre Erkenntnisse weiter. Mehr als 30 Millionen Objekte geh\u00f6ren zur Sammlung. <\/p>\n \u201eUnser Auftrag ist es, das Wissen, das wir generieren, mit der Welt zu teilen\u201c, sagt Vogel. Die Wissenschaft lebt vom Austausch, von der Reproduzierbarkeit von Forschungsergebnissen, daf\u00fcr braucht es Daten. \u201eDen Gelehrten im stillen K\u00e4mmerlein gibt es nicht mehr, es l\u00e4uft alles digital.\u201c Bis zum Hackerangriff vom 18. Oktober war das so. Danach ist das Museum f\u00fcr Monate offline \u2013 in Teilen sogar bis heute. Das hat Folgen.<\/p>\n Treffen kann es jeden \u2013 Privatpersonen, Firmen, Beh\u00f6rden<\/a>, auch Museen. 333.268 F\u00e4lle von Cybercrime z\u00e4hlte das Bundeskriminalamt 2024. Pr\u00e4gend waren vor allem schwere Straftaten wie Ransomware-Angriffe, eine zunehmende Zahl von DDoS-Kampagnen gegen kritische Infrastrukturen und politische Institutionen, hei\u00dft es. Die Grenzen zwischen finanzieller und politischer Motivation verschwimmen dabei zusehends. Und die Sch\u00e4den sind enorm. Laut einer Studie des Branchenverbands Bitkom lagen sie im Jahr 2024 bei 289,2 Milliarden Euro. Das sind 6,7 Prozent der deutschen Wirtschaftsleistung.<\/p>\n Cyberangriffe verursachen aber nicht nur wirtschaftliche Verluste, sie bedrohen die Art, wie wir leben. 2020 etwa wurde die Uniklinik D\u00fcsseldorf Opfer einer solchen Attacke. Die Notaufnahme musste geschlossen, Patienten verlegt werden. Eine 78-j\u00e4hrige Frau starb.<\/p>\n Was ist der \u00dcberfall auf ein Museum im Vergleich zu einem Cyberangriff auf ein Krankenhaus, den Bundestag oder wie j\u00fcngst auf europ\u00e4ische Flugh\u00e4fen? Eine Petitesse, \u00fcber die es sich zwei Jahre sp\u00e4ter kaum noch zu reden lohnt? Beifang im gro\u00dfen Spiel geldgieriger Krimineller und ihrer Hinterm\u00e4nner in Moskau, Peking oder Pj\u00f6ngjang? Oder zeigt der Angriff auf ein in die Wissenschaftsinfrastruktur eingebundenes Museum, wie feindliche Akteure versuchen, die freiheitliche Gesellschaft zu verunsichern? Wie ihnen das auch gelingt? Dass wir verletzlich sind?<\/p>\n Wie unter einem Brennglas l\u00e4sst sich am Fall des Naturkundemuseums beschreiben, was es mit Institutionen, ihren Leitern und den Mitarbeitern macht, wenn sich Gangster ihrer IT bem\u00e4chtigen. Besucher sehen in dem Museum vor allem die Sammlung l\u00e4ngst ausgestorbener Lebewesen in einem alten Haus. Das aber ist nur der f\u00fcr G\u00e4ste sichtbare Teil. Dieser Betrieb geht ungest\u00f6rt weiter. <\/p>\n Anders ist es f\u00fcr die Wissenschaftler, die hier forschen, Sammlungen erstellen und bewahren. F\u00fcr sie ist der \u00dcberfall eine Katastrophe, \u201eschlimmer als ein Einbruch in die private Wohnung\u201c, erinnert sich Stephan Junker, Gesch\u00e4ftsf\u00fchrer des Museums. \u201eDie Leute arbeiten hier wissenschaftlich, in ihren Projekten steckt oft ihr ganzes Leben, ihre Karriere.\u201c <\/p>\n Manche, so ist aus dem Museum zu h\u00f6ren, haben sich aus Verzweiflung neue Jobs gesucht. \u201eEs sind nicht die Schlechtesten, die gegangen sind, weil es hier \u00fcber viele Monate f\u00fcr sie nichts zu tun gab\u201c, erz\u00e4hlt ein fr\u00fcherer Mitarbeiter. Der Datenaustausch mit anderen Naturkundemuseen im Ausland sei weitgehend zum Erliegen gekommen. Bis heute. \u201eDarunter leiden wiederum Arbeitsgemeinschaften, die auf Drittmittel angewiesen sind.\u201c <\/p>\n Vogel und Junker sind die K\u00f6pfe des Naturkundemuseums. Bis auf wenige Pressestatements haben sie sich zwei Jahre lang kaum \u00f6ffentlich zu ihren Erlebnissen \u00e4u\u00dfern wollen. Sie waren damit besch\u00e4ftigt, den Schaden zu beheben. Au\u00dferdem: Wer erz\u00e4hlt schon gern, wie machtlos es sich anf\u00fchlt, wenn man \u00fcberfallen wird? Mit WELT AM SONNTAG sprechen sie erstmals ausf\u00fchrlich \u00fcber die Wochen und Monate nach der Attacke, die andauernden Folgen.<\/p>\n Vogel ist als Direktor der Mann f\u00fcr die wissenschaftliche Ausrichtung der Institution, einer mit Ideen, der Politiker f\u00fcr sich zu gewinnen wei\u00df. Das ist wichtig, weil es nur so finanzielle Unterst\u00fctzung gibt. Verheiratet ist der Professor f\u00fcr Botanik mit einer Ur-Urenkelin des Evolutionsbiologen Charles Darwin<\/a>. Ein Tiefseekrebs ist nach ihm benannt. <\/p>\n Vogel ist gro\u00df, tr\u00e4gt B\u00fcrstenhaarschnitt und einen gewaltigen geschwungenen Schnurrbart, wie Horst Lichter, der Moderator der TV-Sendung \u201eBares f\u00fcr Rares\u201c. Fr\u00fcher h\u00e4tte man einen wie ihn als gestandenen Kerl bezeichnet. Wenn Vogel etwas besch\u00e4ftigt, dreht der 62-J\u00e4hrige an seinen erdbeerroten Manschettenkn\u00f6pfen. Im Gespr\u00e4ch \u00fcber den Hackerangriff spielt er oft daran. Es ist zu sp\u00fcren, wie sehr ihn die Ereignisse noch immer besch\u00e4ftigen.<\/p>\n Junker, der Gesch\u00e4ftsf\u00fchrer, sorgt daf\u00fcr, dass Geh\u00e4lter gezahlt werden, Rechnungen beglichen und Computer funktionieren. Zum Gespr\u00e4ch erscheint er im schmal geschnittenen dunkelblauen Anzug, zu dem er Sneaker tr\u00e4gt. Anfangs ist er zur\u00fcckhaltender als Vogel. Er l\u00e4sst erkennen, wie wichtig es ihm ist, dass sein Haus bei all den internen Sch\u00e4den nicht auch noch in der \u00d6ffentlichkeit dumm dasteht. Wiederholt macht er klar, wor\u00fcber er reden will und wor\u00fcber nicht. Der Mann ist Jurist, das pr\u00e4gt.<\/p>\n Im Herbst 2023 geht es nach dem \u00dcberfall Schlag auf Schlag. Der Gesch\u00e4ftsf\u00fchrer steht morgens im Badezimmer, als er von dem Angriff erf\u00e4hrt. Wie das so ist: Anfangs denken alle, dass das Problem nicht so riesig sein k\u00f6nne, weil die IT-Abteilung schnell den Stecker gezogen habe. \u201eDas war ein Brute-Force-Angriff\u201c, erz\u00e4hlt Junker. Bei derartigen Attacken testen leistungsstarke Rechner des Angreifers alle m\u00f6glichen Passwort-Kombinationen, bis es passt. <\/p>\n Selbst zwei Jahre danach ist augenscheinlich, wie sehr Junker das besch\u00e4ftigt. \u201eDas Problem dabei, die Angreifer waren auch nicht erst seit dem Vorabend drin.\u201c Zwei Wochen schon haben sie sich im System eingenistet. 84 Terabyte werden bis zum 18. Oktober verschl\u00fcsselt. \u201eDas ist eine Menge, aber im Verh\u00e4ltnis zu unseren Gesamtzahlen relativ wenig\u201c, erkl\u00e4rt Junker.<\/p>\n Seit Jahren digitalisiert das Museum nach und nach seine Exponate. Wespen, K\u00e4fer, Ameisen. Es gibt nichts, was nicht abfotografiert und dann auf digitale Speicher \u00fcbertragen wird. Es ist ein kleinteiliges, oft m\u00fchsames Gesch\u00e4ft. Dabei fallen riesige Datenmengen an, die gesichert werden m\u00fcssen. F\u00fcr manche Wissenschaftler ist die digitale Sammlung fast ebenso wichtig wie die Tiere und Pflanzen in den Vitrinen. Wenn Datentr\u00e4ger von Kriminellen verschl\u00fcsselt oder Datenverbindungen gekappt werden, ist das f\u00fcr Forscher, als ob jemand das Geb\u00e4ude leer ger\u00e4umt h\u00e4tte: Sie k\u00f6nnen nicht mehr arbeiten.<\/p>\n Was Vogel und Junker zu diesem Zeitpunkt nicht ahnen: Der \u00dcberfall ist weitaus gr\u00f6\u00dfer, die Folgen sind tiefgehender, als es anfangs scheint. Deshalb wird die Tat sie auch viel l\u00e4nger besch\u00e4ftigen, als sie sich am Anfang jemals vorzustellen wagen. Wochen allein dauert es, bis klar wird, was geschehen ist. \u201eDie sind eingedrungen und haben dann eine Software installiert, die von unseren Sicherheitssystemen nicht erkannt werden konnte, weil sie extra einen speziellen Code geschrieben haben, den bis dahin kein Sicherheitssystem entdecken konnte\u201c, sagt Vogel. \u201eDann haben sie sich unseren schnellsten Rechner gesucht und sich von da aus gezielt durchs System bewegt. Unbemerkt.\u201c<\/p>\n Am Ende ist \u2013 aus digitaler Sicht \u2013 nahezu alles kaputt. Im Museum wei\u00df man das heute so genau, weil es von Experten untersucht wurde. Das Landeskriminalamt war da. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnologie (BSI) auch. Und mit NTT Data ein externer Dienstleister.<\/p>\n Ist das System geknackt, hilft nur Komplett-Austausch<\/p>\n Nach dem 18. Oktober beginnt ein Wettlauf gegen die Zeit. Patrick Schraut, Manager und Cybersecurity-Experte bei NTT, kennt das aus vielen F\u00e4llen. Wenn er und seine Mitarbeiter gerufen werden, kommt es auf jeden Moment an. Wie im Naturkundemuseum. <\/p>\n Schraut allerdings spricht nicht \u00fcber konkrete Kundenbeziehungen, sondern nur \u00fcber das allgemeine Vorgehen im Fall der F\u00e4lle: Noch w\u00e4hrend des ersten Notrufs installieren die Retter eine Software beim Opfer, um ihrerseits Informationen dar\u00fcber zu bekommen, was von den Angreifern bereits verschl\u00fcsselt wurde und wie tief sie ins System eingedrungen sind. \u201eUnser Ziel ist es, den Vorfall so schnell wie m\u00f6glich einzud\u00e4mmen und die Ausbreitung zu stoppen\u201c, sagt der Fachmann. Wenn der Kunde allerdings anrufe, weil er gerade festgestellt hat, dass alle Bildschirme schwarz bleiben und \u2013 wie bei Unternehmen schon geschehen \u2013 30.000 Computerarbeitspl\u00e4tze von einem Ransomware-Angriff betroffen sind, sei es zu sp\u00e4t.<\/p>\n Im Naturkundemuseum war genau das der Fall. Zwar zieht der IT-Chef nur 20 Minuten, nachdem eine Hackergruppe aus Russland, wie sich bald herausstellt, die Verschl\u00fcsselung gestartet hatte, den Stecker. Doch gibt es noch ein viel gr\u00f6\u00dferes Dilemma, das erst sp\u00e4ter bekannt wird: Die Gangster \u201ehaben unser Active Directory infiltriert\u201c, so Vogel, das Adressbuch des Netzwerks. \u201eDas bedeutet, wir haben heute noch ein Problem mit den Daten, weil wir das System noch nicht voll ersetzen konnten.\u201c Es ist zerst\u00f6rt worden und muss neu aufgebaut werden.<\/p>\n Laien wissen oft nicht, was das hei\u00dft. Man muss sich das vorstellen wie Einbrecher, die in ein riesiges Wohnhaus eingedrungen sind \u2013 allerdings nicht nur in eine Wohnung, sondern in jede. Sie haben sich nicht blo\u00df einen Zentralschl\u00fcssel besorgt, die Elektrik gehackt, Zahlenschl\u00f6sser manipuliert. Schlimmer: Sie k\u00f6nnen nahezu alles ver\u00e4ndern, Passw\u00f6rter wie Schl\u00f6sser austauschen, Bewohner vor die T\u00fcr setzen, indem sie Accounts l\u00f6schen. Sie haben jetzt die Macht.<\/p>\n Deshalb hilft es auch nichts, den Schl\u00fcssel einer einzigen Wohnung im Schlie\u00dfsystem auszuwechseln. Ist das System gehackt, muss es komplett getauscht werden. Und: Wie bei den unz\u00e4hligen Kisten auf Dachboden und Keller muss jede Datei aus der alten infiltrierten Welt sorgf\u00e4ltig darauf untersucht werden, ob die Einbrecher nicht Abh\u00f6rwanzen oder Bomben darin hinterlassen haben. Jeder Computer muss komplett gel\u00f6scht und danach neu aufgesetzt werden. Im Naturkundemuseum betrifft das 1000 Rechner.<\/p>\n Selbst Sisyphos w\u00e4re an dieser Arbeit verzweifelt. Schrauts Leute von NTT Data sind darauf spezialisiert. Sobald ein neuer Notfall bei ihnen eingeht, r\u00fccken sie mit einem Team beim Opfer an. Zun\u00e4chst \u00fcbernehmen sie das Krisenmanagement vor Ort. Manchmal passiert es, dass Mitarbeiter nicht an ihren Arbeitsplatz kommen, weil elektronische Hausausweise nicht mehr funktionieren und die T\u00fcren sich nicht \u00f6ffnen lassen. \u201eDas muss kommuniziert werden\u201c, erkl\u00e4rt Schraut. \u201eOder es kann sein, dass wir die Produktion stoppen m\u00fcssen, weil es keine Disposition mehr gibt, keine Lkw kommen, um die Waren abzuholen und sich alles auf dem Fabrikhof stapelt.\u201c Oberstes Ziel sei es, den Betrieb weiterlaufen zu lassen oder zumindest m\u00f6glichst schnell wieder aufzunehmen.<\/p>\n In dieser Beziehung hatte das Naturkundemuseum Gl\u00fcck: \u201eDer Besucherbetrieb lief problemlos weiter, weil das Kassensystem v\u00f6llig getrennt vom Rest der IT war\u201c, berichtet Junker. Es ist eine der Lehren, die sie wohl nie vergessen werden. Weil auch Geh\u00e4lter und Rechnungen \u00fcber separate Systeme herausgehen, bleibt das Museum zahlungsf\u00e4hig. Das aber ist dann alles, was nach dem Tag X noch funktioniert.<\/p>\n In einer E-Mail geben die T\u00e4ter zu erkennen, was sie wollen: Geld. Anfangs zeigen sie sich konziliant, stellen Hilfe bei dem IT-Problem in Aussicht, ohne direkt \u00fcber L\u00f6segeld zu sprechen. \u201eDas h\u00f6rte sich an wie bei der Mafia: Wir machen dir ein Angebot, das du nicht ablehnen kannst\u201c, formuliert es Junker. \u201eAber als \u00f6ffentliche Einrichtung zahlen wir nicht.\u201c Der Staat verhandelt nicht mit Verbrechern, ist eine Lehre aus den RAF-Erpressungsversuchen vor knapp 50 Jahren. Au\u00dferdem entsteht im Museum der Eindruck, dass es nicht ums Geld allein geht, sondern darum, Wissenschaft und Gesellschaft zu schw\u00e4chen. Sp\u00e4ter outen sich die T\u00e4ter und drohen, erbeutete Daten im Darknet zu ver\u00f6ffentlichen. Ein Weilchen noch spielen sie mit dem Museum, wie Katz und Maus. Irgendwann sind die Daten im Netz.<\/p>\n Schraut, der Experte, kennt das Vorgehen der Cyberkriminellen: \u201eSie fordern Geld f\u00fcr den Entschl\u00fcsselungscode sowie daf\u00fcr, dass sie die geklauten Daten nicht ver\u00f6ffentlichen.\u201c Oftmals verkaufen sie die Daten dennoch an interessierte Dritte. In der Regel r\u00e4t er davon ab, die L\u00f6segeldforderung zu erf\u00fcllen. \u201eIn Einzelf\u00e4llen, wenn die Daten ansonsten unwiederbringlich verloren w\u00e4ren und das Unternehmen existenziell bedroht ist, kann man dar\u00fcber diskutieren.\u201c Aber er empfehle, zun\u00e4chst mit den T\u00e4tern zu verhandeln, um Zeit zu gewinnen und die Sch\u00e4den zu bewerten.<\/p>\n Als die L\u00f6segeldforderung eingeht, tappen die Betroffenen im Museum im Dunkeln. \u201eZu dem Zeitpunkt wussten wir noch nicht, dass unser ganzes System ruiniert war\u201c, sagt Vogel heute. Selbst wenn L\u00f6segeld geflossen w\u00e4re, h\u00e4tten die T\u00e4ter mit ihrem Zugang zum Active Directory jederzeit wieder zugreifen k\u00f6nnen. \u201eBis in alle Ewigkeit. An der L\u00f6sung dieses Problems arbeiten wir heute noch \u2013 fast zwei Jahre sp\u00e4ter \u2013, weil wir eine komplett neue IT-Welt aufbauen m\u00fcssen.\u201c <\/p>\n Dazu geh\u00f6re es auch, die potenziell kompromittierten Daten der alten Welt in einem langsamen, z\u00e4hen Prozess in die neue IT-Welt zu \u00fcberf\u00fchren. \u201eNichts von dem, was bisher auf unseren Rechnern war, k\u00f6nnen wir einfach so hin\u00fcberziehen.\u201c Denn alles muss peinlich genau auf Hinterlassenschaften der Angreifer untersucht werden.<\/p>\n Zur Wahrheit geh\u00f6rt auch, dass die IT-Welt des Museums zum Zeitpunkt des \u00dcberfalls arg angeschlagen ist. Am 23. August 2023, also knapp zwei Monate zuvor, kommt es zu gravierenden IT-Problemen. \u201eInfolge einer technischen St\u00f6rung k\u00f6nnen wir gegenw\u00e4rtig auf ein zentrales Laufwerk, auf dem auch Teilbereiche von wissenschaftlichen Daten gespeichert sind, nicht zugreifen\u201c, teilt das Museum damals in einer Pressemitteilung mit. Bereits zu diesem Zeitpunkt k\u00f6nnen Forscher teilweise nicht mehr arbeiten, weil Festplatten nicht mehr laufen, so berichten es Mitarbeiter. Eine Sicherungskopie l\u00e4sst sich nicht einspielen. Damals ist die Rede davon, dass allein eine erste Bestandsaufnahme mehrere Wochen dauern werde. Kurz darauf schlagen die Russen zu.<\/p>\n Mit der Bew\u00e4ltigung eines Cyberangriffs ist es f\u00fcr ein Unternehmen oder eine Institution wie mit der Therapie einer langwierigen Krankheit im deutschen Gesundheitssystem. Wer Geld hat und privat versichert ist, bei dem geht es schneller mit MRT-Untersuchung, Operation und anschlie\u00dfender Reha. Der Rest schleppt sich oft siech \u00fcber Monate dahin. Genaue Preisangaben f\u00fcr spezialisierte IT-Notfalldienstleistungen sind schwer zu finden. Je nach Qualit\u00e4t und Gr\u00f6\u00dfe des eingesetzten Teams kommen da schnell sechsstellige Betr\u00e4ge zusammen, die sich ein von der \u00f6ffentlichen Hand finanziertes Museum nicht lange leisten kann.<\/p>\n Dabei k\u00f6nnen Opfer von Hackerangriffen jede Hilfe gebrauchen. Schrauts Leute rollen an mit einem eigenen Lkw. Ausger\u00fcstet mit starken Firewalls, einem eigenen Zugang zum Internet sowie frischen Notebooks f\u00fcr die Chefs versuchen sie, den Betrieb beim Kunden am Laufen zu halten oder wieder in Gang zu bringen. \u201eDamit k\u00f6nnen wir 50 bis 100 zentrale Systeme rasch wiederherstellen, also zum Beispiel Lohnabrechnung, Kommunikation, Logistik oder Produktionssteuerung \u2013 nicht die ganze IT, aber genug, damit der Betrieb wieder lebensf\u00e4hig ist\u201c, sagt der Experte. Oft aber ist viel analoge Arbeit n\u00f6tig. Dann m\u00fcssen etwa Banken angerufen werden, damit die L\u00f6hne an die Mitarbeiter \u00fcberwiesen werden.<\/p>\n Es geht immer noch schlimmer als beim Museum, wie andere Vorf\u00e4lle zeigen. Am 6. Juli 2021 bemerkt die IT-Abteilung des Landkreises Anhalt-Bitterfeld einen Fehler auf ihren Rechnern. Mitarbeiter k\u00f6nnen nicht auf Daten zugreifen, weil sie verschl\u00fcsselt sind. Kriminelle Hacker verlangen Geld. Autos k\u00f6nnen nicht mehr zugelassen oder abgemeldet werden. Ausl\u00e4ndische Studenten bekommen Probleme mit ihren Aufenthaltspapieren. Das Ganze gewinnt solche Ausma\u00dfe, dass der Landrat nach drei Tagen den Katastrophenfall ausruft, um vom Bund Hilfe zu erhalten. Die Bundeswehr r\u00fcckt zur Unterst\u00fctzung an. Die Folgen des Hackerangriffs waren ein Jahr sp\u00e4ter noch zu sp\u00fcren.<\/p>\n Auf Hilfe der Bundeswehr hat ein Museum kein Anrecht. Stattdessen beginnen in Berlin qu\u00e4lende Monate. \u201eDie Menschen, die hier arbeiten, haben eine unendlich hohe Identifikation mit ihrer T\u00e4tigkeit und dieser Organisation\u201c, sagt Vogel. In einem Unternehmen gehe f\u00fcr die meisten Mitarbeiter das Leben weiter, solange das Geld flie\u00dft. Hier sei das anders: \u201eF\u00fcr die Wissenschaftler ist ihre Forschung ihr Leben. Dieser Angriff hat die Leute nachhaltig verletzt\u201c, so der Museumsdirektor. Wissenschaftler haben keinen Zugriff mehr auf ihre Rechner, aufs Netzwerk des Museums, auf die E-Mails. <\/p>\n In Berlin herrscht digitale Nacht. Der Betrieb ruht, erst Tage, dann Wochen, bald sind es Monate. Es ist ein Dilemma: \u201eAlle Naturkundemuseen schicken ihre Daten in gemeinsame Netzwerke\u201c, erkl\u00e4rt Vogel. Von dem einen Museum kommt dies, von dem anderen jenes. Wissenschaftler forschen so an ihren Projekten. \u201eDa konnten wir jetzt zwei Jahre lang nicht mitarbeiten. Weil das Letzte, was wir wollen, ist, dass wir ein Datenpaket herausschicken und etwa das Naturkundemuseum Helsinki deshalb untergeht.\u201c<\/p>\n Der erzwungene Stillstand f\u00fchrt zu weiteren Problemen: \u201eEin gro\u00dfer Teil der bei uns besch\u00e4ftigten Wissenschaftler arbeitet mit befristeten Arbeitsvertr\u00e4gen\u201c, sagt Junker. \u201eDie prek\u00e4re Gruppe hier sind Promovierende und Postdocs.\u201c M\u00fchsam haben sie sich oft die Gelder f\u00fcr ihre Promotion erk\u00e4mpft. \u201eIhnen lief nach dem Angriff die Zeit weg.\u201c<\/p>\n Selbst wer unbefristet arbeitet, ist tief getroffen. Die Wissenschaftler haben den Anspruch, global mit ihrer Arbeit aufzufallen, zu gl\u00e4nzen, so Vogel. \u201eUnd das mussten wir ihnen verbieten.\u201c 50 Leute durften noch im kompromittierten System arbeiten mit einer Software, die nach Auff\u00e4lligkeiten suchte. F\u00fcr alle anderen \u2013 insgesamt 500 Personen \u2013 war Feierabend. Das geht an die Nerven. Vogel erinnert sich: \u201eF\u00fcr uns beide als die obersten Verantwortlichen dieser Organisation war es das Wichtigste, dass es irgendwie weiterging.\u201c Die Mitarbeiter h\u00e4tten dagegen nicht selten gesagt: Es sei ja ganz sch\u00f6n, dass man sein Geld bekomme, aber sie wollten forschen.<\/p>\n \u201eGenauso teuer, digitale Sammlungen zu unterhalten\u201c<\/p>\n Psychologische \u00dcberforderung gibt es in solchen Stresssituationen bei allen Beteiligten. Junker und Vogel m\u00fchen sich. \u201eWissenstransfer passiert in erster Linie \u00fcber Menschen, die rein- und wieder rausgehen aus so einer Institution wie unserem Museum\u201c, sagt Junker. Promotionen seien Ausbildungsphasen, \u201edie Leute sollen dann mit einer gewissen Reputation unsere Einrichtung verlassen\u201c. Doch das ist nicht mehr m\u00f6glich. Karrieren drohen zu enden, bevor sie \u00fcberhaupt begonnen haben, weil Kriminelle den Stecker ziehen. Das Museum verl\u00e4ngert daraufhin die Vertr\u00e4ge f\u00fcr die Betroffenen. Das kostet Geld. Zum Gl\u00fcck gibt es Hilfe durch die Leibniz-Gemeinschaft. \u201eWir haben eine soziale Verpflichtung gehabt\u201c, sagt Junker.<\/p>\n Manchmal aber reicht nicht einmal das. Die Chefs m\u00fcssen psychologische Betreuung organisieren, weil Mitarbeiter sich existenziell bedroht f\u00fchlen. Auf Versammlungen der Belegschaft wird der Ton gegen\u00fcber der F\u00fchrung schnell rau. Betroffene f\u00fchlen sich ungeh\u00f6rt, unverstanden. Viele stammen nicht aus Berlin, haben hier weder Familie noch Privatleben. Nun ist auch noch die berufliche Zukunft in Gefahr. Zum Gl\u00fcck gibt es am Museum eine funktionierende Studentenvertretung. Sie f\u00e4ngt Betroffene auf. \u201eDas war ein riesiges Gl\u00fcck in dieser psychisch belastenden Situation\u201c, sagt Vogel.<\/p>\n F\u00fcr die Stimmung der Truppe spielen die bereits vor dem Angriff abgeschmierten Festplatten sp\u00e4ter keine unbedeutende Rolle. F\u00fcr die Mitarbeiter sind sie ein Indiz, wie viel bei der IT im Argen liegt, die doch so wichtig ist f\u00fcr eine Wissenschaftseinrichtung, die intellektuell und finanziell vom Austausch lebt. Frust ist die Folge.<\/p>\n An allen Ecken brennt es. Das Museum muss sehen, dass es nach und nach seine Ger\u00e4te wieder in Gang bringt \u2013 mit m\u00f6glichst geringen Kosten. \u201eWeil wir keine internen E-Mails mehr verschicken konnten, haben wir das Schwarze Brett wieder eingef\u00fchrt und dort handschriftlich Botschaften drangeh\u00e4ngt \u2013 Tagesbotschaften, wo wir stehen\u201c, sagt Junker. Es ist keine ideale L\u00f6sung, gibt er heute zu. <\/p>\n Erst im Februar, f\u00fcnf Monate nach dem Angriff, funktionieren die Mails wieder. Warum niemand fr\u00fcher mit privaten E-Mail-Adressen arbeitet, ist ehemaligen Mitarbeitern ein R\u00e4tsel. Aber in \u00f6ffentlichen Einrichtungen haben nun mal Betriebsr\u00e4te mitzureden, wenn private Mailaccounts auf privaten Ger\u00e4ten f\u00fcr den Job genutzt werden sollen. Alles hat seine T\u00fccken.<\/p>\n Mithilfe von NTT Data baut das Museum eine sogenannte Waschstra\u00dfe auf, in der die \u201ebeschmutzten\u201c Rechner gereinigt werden: Die NTT-Leute schlagen in einem Container auf dem Museumshof ihr Camp auf. \u201eSie haben viel Geld genommen\u201c, sagt Junker. Aber: \u201eOhne sie h\u00e4tten wir es nicht geschafft.\u201c<\/p>\n Jeder Rechner wird eingesammelt, um ihn neu aufzusetzen. Dem Museum kommt die Erfahrung in seinem Kerngesch\u00e4ft zugute. \u201eWir sind ja eine Organisation, die Ordnung schafft\u201c, sagt Vogel. Also r\u00fccken die Mitarbeiter im ersten Stock im gro\u00dfen Saal dieses riesigen Hauses Schreibtische aneinander. Sammlungsregale aus Stahl werden im Raum aufgestellt, nur stehen dieses Mal keine Fische, Schlangen oder Insekten drin, sondern die IT-Hardware des Museums. Wie im Teilelager einer Fabrik. <\/p>\n \u201eDie Leute wurden angerufen und mussten ihren Rechner vorbeibringen\u201c, erinnert sich Junker. Alles, was an Software alt ist, wird abget\u00f6tet, dann kommt ein neues Betriebssystem drauf, und erst danach werden die sauberen Daten aus den Backups aufgespielt. Zehn Tage sp\u00e4ter k\u00f6nnen die Rechner wieder abgeholt werden.<\/p>\n Vogel und Junker sch\u00f6pfen Mut aus der Waschstra\u00dfe, dem Gef\u00fchl, dass es vorangeht, die Leute an einer L\u00f6sung arbeiten. \u201eWir sind in diese Recovery Street gern reingegangen, weil da so viel positive Energie herrschte\u201c, erinnert sich Vogel heute. \u201eDas war eine Gruppe \u201aforged in battle\u2018, wie man im Englischen sagt\u201c \u2013 im Kampf gest\u00e4hlt. Junker erg\u00e4nzt, nat\u00fcrlich sei es angenehmer, in so eine Waschstra\u00dfe zu gehen und zu sehen, \u201ewie es brummt und wie am Wiederaufbau gearbeitet wird, als nur dar\u00fcber verzweifelt zu sein, dass man seine Daten schnell braucht, weil man einen Abgabetermin hat.\u201c Beides sei menschlich aber absolut verst\u00e4ndlich.<\/p>\n Einzelne Formulierungen lassen erahnen, wie schwierig es f\u00fcr die beiden war: \u201eWir als F\u00fchrung hier mussten die Z\u00e4hne zusammenbei\u00dfen und durch\u201c, sagt Vogel, w\u00e4hrend er im Gespr\u00e4ch aus den gro\u00dfen Fenstern auf den Hof schaut. Viele Mitarbeiter dagegen wollten ihren Schmerz reflektiert sehen. \u201eIn solchen Situationen absoluten Drucks kann ich das leider nicht so gut leisten. Und das hat gefehlt.\u201c <\/p>\n In den Mitarbeiterversammlungen geht es turbulent zu. Vogel und Junker erkl\u00e4ren, der eine auf Englisch, der andere auf Deutsch. Komikhaft m\u00fcsse es gewirkt haben, erinnert sich der Direktor. Sie seien nicht verstanden worden. \u201eUnd dann wurde es eben halt auch manchmal richtig laut \u2013 nach dem Motto \u201aYou don\u2019t feel our pain\u2018.\u201c Der Vorwurf sitzt.<\/p>\n Trotz Waschstra\u00dfe brauchen sie im Saal an der Invalidenstra\u00dfe ewig. Anders als ein Konzern etwa kann ein Museum nicht jede Menge Geld mobilisieren, um das Ganze zu beschleunigen. \u201eWir haben insgesamt vier Millionen Euro ausgegeben, um die Folgen zu beheben\u201c, sagt Junker. Das Geld kommt auch von der Leibniz-Gemeinschaft. Mehr aber ist nicht drin. \u201eWenn wir jetzt ein gro\u00dfes Unternehmen w\u00e4ren, dann h\u00e4tten wir ja sofort das Geld, um parallel eine komplett neue IT-Welt zu bauen\u201c, glaubt Vogel. Fehlen die Mittel, ist die Handlungsf\u00e4higkeit begrenzt.<\/p>\n Jana Hoffmann kennt das nur zu gut. Fast elf Jahre hat die Wissenschaftlerin f\u00fcr das Naturkundemuseum gearbeitet, bevor sie im Januar zum \u201eSenckenberg Deutsches Entomologisches Institut\u201c im brandenburgischen M\u00fcncheberg wechselte. Wie Schraut von NTT spricht auch sie nicht \u00fcber ihre konkreten Erfahrungen in Berlin, daf\u00fcr aber umso mehr \u00fcber finanzielle Herausforderungen f\u00fcr wissenschaftliche Museen allgemein. <\/p>\n Bevor sie zu Senckenberg wechselte, leitete sie das Programm \u201eCollection Future\u201c am Naturkundemuseum. Seit zwei Jahren ist sie gleichzeitig Vizepr\u00e4sidentin von Cetaf, einem Wissenschaftsnetzwerk europ\u00e4ischer Naturkundemuseen und Forschungsinstitute. Wenn es um Geld und IT geht, wei\u00df sie Bescheid.<\/p>\n Was sie sagt, macht wenig Hoffnung f\u00fcr die Zukunft: Der Technologiewechsel sei so rasant, dass staatliche Akteure mit ihren Mitteln kaum hinterherkommen. \u201eEs ist unheimlich schwierig, einfach hohe siebenstellige Summen f\u00fcr eine sichere IT-Infrastruktur zu investieren.\u201c <\/p>\n