Hadmut Danisch
Ansichten eines Informatikers

„In Berlin herrscht digitale Nacht“: Vom gehackten Naturkundemuseum

Hadmut
7.12.2025 19:51
Uncategorized

Aktuelles von der Digitalisierung.

Leser fragen nach meinem Kommentar zu einem Artikel und Vorgängen in Berlin an.

Die WELT: Wie Russen-Hacker per „Brute-Force-Angriff“ eine Berliner Institution lahmlegen – auf Jahre

Russische Hacker dringen ins Berliner Naturkundemuseum ein und legen es so lahm, dass es auch zwei Jahre später nicht wieder voll arbeitsfähig ist. Deutschland steht solchen Angriffen auf wissenschaftliche Institutionen hilflos gegenüber – mit fatalen Folgen.

Am Abend des 18. Oktober 2023 ist im Naturkundemuseum Berlin plötzlich Schluss. „Unser IT-Leiter will ins Bett gehen, guckt noch mal, ob ein Datentransfer, den er angeregt hat, richtig läuft und sieht, dass wir angegriffen werden“, erzählt Johannes Vogel im Herbst zwei Jahre darauf: „Er zieht daraufhin den Stecker, macht das gesamte Museum dicht, schaltet es ab.“

[…]

„Den Gelehrten im stillen Kämmerlein gibt es nicht mehr, es läuft alles digital.“ Bis zum Hackerangriff vom 18. Oktober war das so. Danach ist das Museum für Monate offline – in Teilen sogar bis heute. Das hat Folgen.

Treffen kann es jeden – Privatpersonen, Firmen, Behörden, auch Museen. 333.268 Fälle von Cybercrime zählte das Bundeskriminalamt 2024. Prägend waren vor allem schwere Straftaten wie Ransomware-Angriffe, eine zunehmende Zahl von DDoS-Kampagnen gegen kritische Infrastrukturen und politische Institutionen, heißt es. Die Grenzen zwischen finanzieller und politischer Motivation verschwimmen dabei zusehends. Und die Schäden sind enorm. Laut einer Studie des Branchenverbands Bitkom lagen sie im Jahr 2024 bei 289,2 Milliarden Euro. Das sind 6,7 Prozent der deutschen Wirtschaftsleistung.

[…]

Wie unter einem Brennglas lässt sich am Fall des Naturkundemuseums beschreiben, was es mit Institutionen, ihren Leitern und den Mitarbeitern macht, wenn sich Gangster ihrer IT bemächtigen. Besucher sehen in dem Museum vor allem die Sammlung längst ausgestorbener Lebewesen in einem alten Haus. Das aber ist nur der für Gäste sichtbare Teil. Dieser Betrieb geht ungestört weiter.

Anders ist es für die Wissenschaftler, die hier forschen, Sammlungen erstellen und bewahren. Für sie ist der Überfall eine Katastrophe, „schlimmer als ein Einbruch in die private Wohnung“, erinnert sich Stephan Junker, Geschäftsführer des Museums. „Die Leute arbeiten hier wissenschaftlich, in ihren Projekten steckt oft ihr ganzes Leben, ihre Karriere.“

Manche, so ist aus dem Museum zu hören, haben sich aus Verzweiflung neue Jobs gesucht. „Es sind nicht die Schlechtesten, die gegangen sind, weil es hier über viele Monate für sie nichts zu tun gab“, erzählt ein früherer Mitarbeiter. Der Datenaustausch mit anderen Naturkundemuseen im Ausland sei weitgehend zum Erliegen gekommen. Bis heute. „Darunter leiden wiederum Arbeitsgemeinschaften, die auf Drittmittel angewiesen sind.“

[…]

Im Herbst 2023 geht es nach dem Überfall Schlag auf Schlag. Der Geschäftsführer steht morgens im Badezimmer, als er von dem Angriff erfährt. Wie das so ist: Anfangs denken alle, dass das Problem nicht so riesig sein könne, weil die IT-Abteilung schnell den Stecker gezogen habe. „Das war ein Brute-Force-Angriff“, erzählt Junker. Bei derartigen Attacken testen leistungsstarke Rechner des Angreifers alle möglichen Passwort-Kombinationen, bis es passt.

Selbst zwei Jahre danach ist augenscheinlich, wie sehr Junker das beschäftigt. „Das Problem dabei, die Angreifer waren auch nicht erst seit dem Vorabend drin.“ Zwei Wochen schon haben sie sich im System eingenistet. 84 Terabyte werden bis zum 18. Oktober verschlüsselt. „Das ist eine Menge, aber im Verhältnis zu unseren Gesamtzahlen relativ wenig“, erklärt Junker.

[…]

Am Ende ist – aus digitaler Sicht – nahezu alles kaputt. Im Museum weiß man das heute so genau, weil es von Experten untersucht wurde. Das Landeskriminalamt war da. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) auch. Und mit NTT Data ein externer Dienstleister.

[…]

Doch gibt es noch ein viel größeres Dilemma, das erst später bekannt wird: Die Gangster „haben unser Active Directory infiltriert“, so Vogel, das Adressbuch des Netzwerks. „Das bedeutet, wir haben heute noch ein Problem mit den Daten, weil wir das System noch nicht voll ersetzen konnten.“ Es ist zerstört worden und muss neu aufgebaut werden.

[…]

Außerdem entsteht im Museum der Eindruck, dass es nicht ums Geld allein geht, sondern darum, Wissenschaft und Gesellschaft zu schwächen.

[…]

„Für die Wissenschaftler ist ihre Forschung ihr Leben. Dieser Angriff hat die Leute nachhaltig verletzt“, so der Museumsdirektor. Wissenschaftler haben keinen Zugriff mehr auf ihre Rechner, aufs Netzwerk des Museums, auf die E-Mails.

In Berlin herrscht digitale Nacht. Der Betrieb ruht, erst Tage, dann Wochen, bald sind es Monate. Es ist ein Dilemma: „Alle Naturkundemuseen schicken ihre Daten in gemeinsame Netzwerke“, erklärt Vogel. Von dem einen Museum kommt dies, von dem anderen jenes. Wissenschaftler forschen so an ihren Projekten. „Da konnten wir jetzt zwei Jahre lang nicht mitarbeiten. Weil das Letzte, was wir wollen, ist, dass wir ein Datenpaket herausschicken und etwa das Naturkundemuseum Helsinki deshalb untergeht.“

Naturkundemuseum New York: Kinofilm, „Nachts im Museum“.

Naturkundemuseum Berlin: Digitale Nacht.

Der erzwungene Stillstand führt zu weiteren Problemen: „Ein großer Teil der bei uns beschäftigten Wissenschaftler arbeitet mit befristeten Arbeitsverträgen“, sagt Junker. „Die prekäre Gruppe hier sind Promovierende und Postdocs.“ Mühsam haben sie sich oft die Gelder für ihre Promotion erkämpft. „Ihnen lief nach dem Angriff die Zeit weg.“

[…]

Promotionen seien Ausbildungsphasen, „die Leute sollen dann mit einer gewissen Reputation unsere Einrichtung verlassen“. Doch das ist nicht mehr möglich. Karrieren drohen zu enden, bevor sie überhaupt begonnen haben, weil Kriminelle den Stecker ziehen.

[…]

Die Chefs müssen psychologische Betreuung organisieren, weil Mitarbeiter sich existenziell bedroht fühlen.

[…]

Für die Stimmung der Truppe spielen die bereits vor dem Angriff abgeschmierten Festplatten später keine unbedeutende Rolle. Für die Mitarbeiter sind sie ein Indiz, wie viel bei der IT im Argen liegt, die doch so wichtig ist für eine Wissenschaftseinrichtung, die intellektuell und finanziell vom Austausch lebt. Frust ist die Folge.

[…]

Erst im Februar, fünf Monate nach dem Angriff, funktionieren die Mails wieder. Warum niemand früher mit privaten E-Mail-Adressen arbeitet, ist ehemaligen Mitarbeitern ein Rätsel. Aber in öffentlichen Einrichtungen haben nun mal Betriebsräte mitzureden, wenn private Mailaccounts auf privaten Geräten für den Job genutzt werden sollen. Alles hat seine Tücken.

[…]

Es reiche nicht, ist Hoffmanns Fazit: „Wenn man es ernsthaft und ordentlich macht, ist es genauso teuer, digitale Sammlungen zu unterhalten wie physische.“ Viele Zuwendungsgeber hätten das unterschätzt. Sie rechnet vor: „Durch die für die Beschäftigten unerlässlichen Tariferhöhungen und die generell steigenden Unterhaltskosten fehlen den Häusern die Mittel, um in die IT und Sicherheit zu investieren.“

[…]

Nirgends im Museum wird deutlicher, wie brüchig das Fundament der schönen neuen Wissenswelt in Wahrheit ist. In einem Haus, das seit 1889 die Geschichte des Lebens erzählt, ringt man seit vielen Monaten darum, digital zu überleben.

Ja, dazu fällt mir etwas ein. Ich unterteile das mal in drei Themenbereiche.

IT und Technik

Ich glaube nicht, dass man beim derzeitigen Stand unserer Softwarelandschaft und der verfügbaren Mittel in der Lage ist, einen solchen Angriff völlig auszuschließen. Das geht schon deshalb nicht, weil man einen solchen Zoo von Mitarbeitern, in denen jeder glaubt, dass er alles besser weiß und Sonderrechte hat, nicht im Zaum halten kann.

So etwas kann passieren.

So etwas wird passieren.

Gerade deshalb sollte man aber darauf vorbereitet sein.

Man sollte Backups haben.

Man sollte in der Lage sein, seine Rechner ohne teure Nothilfe frisch zu installieren. Und zwar automatisiert.

Jeder Computer muss komplett gelöscht und danach neu aufgesetzt werden. Im Naturkundemuseum betrifft das 1000 Rechner.

Das sollte eigentlich vollautomatisch möglich sein. Und zwar immer. Es gibt ja auch andere Gründe, Festplatten und ganze Rechner gehen mal kaputt oder werden geklaut, was auch immer. Eigentlich sollte es nicht viel mehr brauchen, als den Rechner über PXE zu booten – und dann sollte sich der Rechner in ein, zwei Stunden selbst frisch installieren. Braucht man pro Rechner 5 Minuten, um das anzustoßen, hat ein einzelner Admin 1000 Rechner in zwei Wochen frisch installiert. Leitet man die Mitarbeiter an, wie sie das selbst starten, ist man locker in einer Woche durch.

Server wie Mailserver, alle Funktionalrechner, die nur zum Nachschauen, Dateneingabe, Museumsdarstellungen und so weiter zuständig sind, sollten jederzeit plattzumachen und automatisch frisch zu installieren sein.

Zugegeben, auf den Rechnern solcher Mitarbeiter, die darauf arbeiten, geht das nicht so einfach, weil die Daten darauf haben. Das wird ja im Artikel beschrieben, wieviel Aufwand das ist, alle Dateien zu prüfen.

Aber:

Daten, die nur auf einem Rechner gespeichert sind, sind sowieso beim Teufel, weil Platten und SSDs jederzeit kaputt gehen können, softwaremäßig oder hardwaremäßig. Und das ist nicht theoretisch, erst neulich ist mir auch eine SSD abgeraucht. Der Arbeitsplatzrechner sollte immer nur eine Arbeitskopie der Daten haben. Alles andere sollte auf Server synchronisiert und in Repositories eingecheckt werden.

Da hat offenbar auch viel Schlamperei stattgefunden.

Ein ganz wesentlicher Punkt dafür sind die Ausführungen, dass ihnen das Geld für eine ordentliche IT fehlt. Das ist eben einfach ein Symptom des absterbenden, zusammenbrechenden Staates.

Was hätten die eigentlich gemacht, wenn ihnen die Bude so ganz gewöhnlich abgebrannt wäre? Daten auch futsch?

Übrigens: LTO-9 Bandkassetten haben eine Kapazität von 18 TB (komprimiert bis 45 TB). Ein Laufwerk kostet um die 4000 Euro. Kassetten so zwischen 50 und 80 Euro.

Für 10.000 Euro hätten die ein Laufwerk und hundert Kassetten kaufen können.

Wissenschaftler und Doktoranden

Da hält sich mein Mitleid in sehr engen Grenzen.

Sehr, sehr engen.

Eigentlich nämlich sind Doktoranden für ihre Prüfungsleistung selbst verantwortlich. Und damit auch für Backups ihrer Daten. Ich habe das ja damals selbst durchexerziert, gegen einen bösartigen Doktorvater agieren zu müssen, und bei anderen Doktoranden, die notfallmäßig an andere Universitäten fliehen mussten. Man bekommt heute, selbst dann, wenn man sich technisch nicht so auskennt, NAS-Systeme mit Spiegelplatten (Synology, QNAP, viele andere …), die relativ einfach zu bedienen sind, und die man sich zuhause hinstellen kann.

Und die wenigsten Doktorarbeiten sind so umfangreich, dass man sich nicht alle Woche mal auf eine DVD brennen könnte.

Und wer sich das alles nicht leisten kann, bekommt für ein paar Euro Cloud-Speicher.

Blöd ist natürlich, wenn es nicht um die eigenen Daten des Doktoranden geht, sondern sein „Arbeitsmaterial“ weg ist.

Grundsätzlich halte ich es aber für einen Mangel eben jener „Befähigung zu selbständigem wissenschaftlichem Arbeiten“, die man ja mit der Promotion gerade nachweisen soll, wenn die Leute ihre Daten nicht sichern und deren Verfügbarkeit gewährleisten können. Sie sagen ja selbst, dass Wissenschaft heute nur noch digital geht, und deshalb bin ich der Auffassung, dass man heute nicht mehr Wissenschaftler sein kann, ohne in der Lage zu sein, ein paar Daten zu sichern. So, wie man heute in der Lage sein muss, einen Vortrag am Beamer zu halten, so muss man auch in der Lage sein, Wissen zu bewahren, denn Wissenschaft handelt ja gerade von der Gewinnung, Darstellung und Weitergabe von Wissen. Wie wollen diese Leute eigentlich „Wissenschaftler“ sein, wenn sie nicht mit Wissen umgehen können?

Die Zerstörung der IT-Sicherheit

Vor allem fällt mir daran wieder mal auf, wie korrupt dieses Wissenschaftssystem ist.

Ich habe beschrieben, wie man vor 30 Jahren die IT-Sicherheitsforschung zerstört und die Professuren mit Dummys besetzt hat, Inkompetente, Quotenfrauen, Geschlechtsakrobaten.

Ich beschreibe seit 25 Jahren, wie man damals mit mir umgesprungen ist – und niemanden stört es. Kaum Leute in der „Wissenschaft“ interessiert ist.

Und nun haben sie eben das Ergebnis. Scheiß IT. Geliefert wie bestellt. Diese Leute sind viel zu blöd als zu begreifen, dass der heutige Zustand der Wissenschafts-IT – es fallen ja immer wieder ganze Hochschulen nach Hacker-Angriffen aus – so miserabel ist, weil sie selbst so miserabel sind. Man wollte Frauenquoten, Inklusivität, Wokeness, jeder darf alles – und jetzt sitzen sie eben vor dem Ergebnis und heulen.

Ich sage das seit 25 Jahren. Die Leute kapieren es nicht.

Die Dummheit unserer Wissenschaftler ist ein weit größeres Problem als russische Hacker.

Wo mir dann aber so richtig der Hut hochgeht: Wenn der Betriebsrat sich da einmischt.

Es gibt zwar sehr gute und wichtige Gründe dafür, private und dienstliche Mails zu trennen. Promotionen sind aber im Prinzip Privatangelegenheiten, und Promotionen sind keine Arbeit, in die der Betriebsrat irgendetwas reinzureden hätte. Der Betriebsrat hat in Promotionen gar nichts zu melden. Und er kann keinem Doktoranden verbieten, seinen Kram auf seinen privaten Systemen zu speichern und seine private E-Mail zu verwenden, wenn nicht formal eine Geheimhaltung vereinbart ist, auf die sich der Doktorand gewollt und bewusst eingelassen hat (es gibt auch Promotionen in Geheimbereichen wie Rüstung). Dann ist das Problem eher, dass die da Betrieb und Promotion/Forschung vermischen.

Sie geben zwar keine Einzelheiten an, und man erfährt nicht so wirklich, ob den Doktoranden da die eigenen Daten flöten gingen, oder sie nur an die Sachen nicht mehr kommen, die sie erforschen sollten. Aber generell riecht das schon danach, dass das solche Mädchen- und Kindergartenpromotionen sind, in denen die Doktoranden für gar nichts verantwortlich sind.

Das riecht aber eben alles nach einem „Versagen beim Wissenschaftlichen Arbeiten“. Und bei der Ausbildung dazu.

Ich hielte es für prüfungsrechtlich durchaus vertretbar, einen angemeldeten Doktoranden durchfallen zu lassen, wenn er zu doof ist, seine Daten zu sichern, weil Datensicherung eben heute Teil „wissenschaftlichen Arbeitens“ ist.

Und wenn ich an der Uni was zu sagen hätte, müssten sämtliche Doktoranden ein paar Semester „wissenschaftliches Arbeiten“ belegen, worin es dann auch um Datensicherheit geht.

Technischer Entwicklungsbedarf

Es liegt aber auch auf der Hand, dass unsere IT inzwischen einfach zu schlecht ist.

Vor 30 Jahren gab es noch optische Laufwerke, sogenannte „WORM“s – Write Once, Read Multiple“. Datenträger, die man einmal beschrieben kann und dann nie wieder, die man auch nicht mehr löschen kann, aber beliebig oft lesen.

Im Prinzip ist die einmal-beschreibbare CDROM/DVD/Blueray noch immer genau das, wenn auch nur die Billig-Version davon.

All das ist aus der Mode gekommen, weil man es billig haben wollte und diese Speichersysteme mit dem Bedarf nicht mithalten konnten. Man bekommt so etwas kaum noch. Vor Jahren gab es Forschung, um Daten in Kristallen oder Glaskörpern per Laser so zu verewigen, dass sie darin 500 oder vielleicht sogar 1000 Jahre halten können. WORM. Einmal zu beschreiben. Genau das hätte man hier gebraucht.

Ich habe aber schon lange nichts mehr davon gehört.

Dabei wäre es doch wunderbar, wenn eben solche Institutionen jede Woche ihre Daten in so einen Glaswürfel schreiben könnten, und die dann im Austausch bei anderen Institutionen lagerten, um räumliche Redundanz zu bekommen. Bergwerke. Südpol. Auch ein Datenarchiv auf dem Mond wäre eine Überlegung, um einen Atomkrieg oder Meteoriteneinschlag überleben zu können.

Aber statt Speichermedien zu entwickeln und zu patentieren machen wir Geschlechtersausen und Frauenquote.

Was wir – deutlich leichter zu entwickeln – auch dringend bräuchten: Fileserver mit Malware/Ransomware-Schutz mit regelbasiertem Zugriff. Wenn eine Datei älter als x Sekunden (z. B. eine Woche) ist, friert sie ein und kann dann von Arbeitsplatzrechnern nicht mehr gelöscht, geändert, überschrieben werden.

Und bessere Authentifikationsverfahren.

Monolithische, schreibgeschützte Betriebssysteme.

Bessere Administrationssysteme.

Aber wir haben die IT-Sicherheit an den Universitäten vor 25 Jahren einfach totgeschlagen. Und jetzt heulen wir.

Wie ich neulich schon sagte – die Zeit der Entscheidungen und damit der Diskussionen ist vorbei. Jetzt haben wir die Zeit des unausweichlichen Erleidens der Konsequenzen.

Und das führt eben dazu, dass dann auch Doktoranden über die Klinge springen.

Mein Mitleid hält sich da in engen Grenzen. Niemand von diesen Leuten hat sich je dafür interessiert, wie es mir erging. Niemand hat – meines Wissens – je nach wissenschaftlichem Arbeiten gefragt. Es ging immer nur darum, dass man mit möglichst wenig Mühe und Lernen an den Doktor kam, indem man irgendwas zusammenschwafelt.

Warum sollte man Leute bedauern, die jetzt an ihrer eigenen Politik zugrundegehen?

Sagen wir es so: Hätten wir Universitäten, die IT-Forschung betrieben und betreiben könnten – dann wären viele dieser Leute niemals bis zur Promotionsanmeldung gekommen. Auch viele ihrer Doktorväter nicht.

Das System stirbt an seiner eigenen Verblödung.

Oder, um es akademisch auszudrücken: Quality is a myth.