Am Abend des 18. Oktober 2023 ist im Naturkundemuseum Berlin plötzlich Schluss. „Unser IT-Leiter will ins Bett gehen, guckt noch mal, ob ein Datentransfer, den er angeregt hat, richtig läuft und sieht, dass wir angegriffen werden“, erzählt Johannes Vogel im Herbst zwei Jahre darauf: „Er zieht daraufhin den Stecker, macht das gesamte Museum dicht, schaltet es ab.“
Am nächsten Tag kommen die Mitarbeiter wie immer in das altehrwürdige Haus an der Invalidenstraße. „Wir wussten alle, dass wir nicht die modernste IT-Anlage hatten“, erinnert sich der Direktor. Dass zum Beispiel zwei-, dreimal im Jahr einen halben Tag die E-Mails nicht funktionierten, das war man gewohnt. „Nur dieses Mal“, sagt er, „war es anders.“
Das Naturkundemuseum ist weit über Berlin hinaus bekannt. Kinder zu Besuch in der Hauptstadt schleppen ihre Eltern hierher, um die viele Meter hohen Dinosaurier-Skelette am Eingang der Ausstellung zu bewundern. An Wochenenden stauen sich Menschenschlangen vor der Pforte manchmal 200 bis 300 Meter die Straße entlang. 1,65 Millionen Menschen kamen zuletzt pro Jahr, im Schnitt 4500 Gäste pro Tag. Als das Museum gebaut wurde, regierte Deutschland noch ein Kaiser. Am 2. Dezember 1889 eröffnete Wilhelm II. das Haus.
Bis heute ist es eine geachtete Institution – und weit mehr als nur ein Ort, an dem Familien ausgestorbene Tiere und Pflanzen bestaunen. Ursprünglich ein Teil der Humboldt-Universität, gehört das Museum seit 2009 zur außeruniversitären Leibniz-Gemeinschaft. Wissenschaftler arbeiten hier eng mit anderen Forschern in aller Welt zusammen und geben ihre Erkenntnisse weiter. Mehr als 30 Millionen Objekte gehören zur Sammlung.
„Unser Auftrag ist es, das Wissen, das wir generieren, mit der Welt zu teilen“, sagt Vogel. Die Wissenschaft lebt vom Austausch, von der Reproduzierbarkeit von Forschungsergebnissen, dafür braucht es Daten. „Den Gelehrten im stillen Kämmerlein gibt es nicht mehr, es läuft alles digital.“ Bis zum Hackerangriff vom 18. Oktober war das so. Danach ist das Museum für Monate offline – in Teilen sogar bis heute. Das hat Folgen.
Treffen kann es jeden – Privatpersonen, Firmen, Behörden, auch Museen. 333.268 Fälle von Cybercrime zählte das Bundeskriminalamt 2024. Prägend waren vor allem schwere Straftaten wie Ransomware-Angriffe, eine zunehmende Zahl von DDoS-Kampagnen gegen kritische Infrastrukturen und politische Institutionen, heißt es. Die Grenzen zwischen finanzieller und politischer Motivation verschwimmen dabei zusehends. Und die Schäden sind enorm. Laut einer Studie des Branchenverbands Bitkom lagen sie im Jahr 2024 bei 289,2 Milliarden Euro. Das sind 6,7 Prozent der deutschen Wirtschaftsleistung.
Cyberangriffe verursachen aber nicht nur wirtschaftliche Verluste, sie bedrohen die Art, wie wir leben. 2020 etwa wurde die Uniklinik Düsseldorf Opfer einer solchen Attacke. Die Notaufnahme musste geschlossen, Patienten verlegt werden. Eine 78-jährige Frau starb.
Was ist der Überfall auf ein Museum im Vergleich zu einem Cyberangriff auf ein Krankenhaus, den Bundestag oder wie jüngst auf europäische Flughäfen? Eine Petitesse, über die es sich zwei Jahre später kaum noch zu reden lohnt? Beifang im großen Spiel geldgieriger Krimineller und ihrer Hintermänner in Moskau, Peking oder Pjöngjang? Oder zeigt der Angriff auf ein in die Wissenschaftsinfrastruktur eingebundenes Museum, wie feindliche Akteure versuchen, die freiheitliche Gesellschaft zu verunsichern? Wie ihnen das auch gelingt? Dass wir verletzlich sind?
Wie unter einem Brennglas lässt sich am Fall des Naturkundemuseums beschreiben, was es mit Institutionen, ihren Leitern und den Mitarbeitern macht, wenn sich Gangster ihrer IT bemächtigen. Besucher sehen in dem Museum vor allem die Sammlung längst ausgestorbener Lebewesen in einem alten Haus. Das aber ist nur der für Gäste sichtbare Teil. Dieser Betrieb geht ungestört weiter.
Anders ist es für die Wissenschaftler, die hier forschen, Sammlungen erstellen und bewahren. Für sie ist der Überfall eine Katastrophe, „schlimmer als ein Einbruch in die private Wohnung“, erinnert sich Stephan Junker, Geschäftsführer des Museums. „Die Leute arbeiten hier wissenschaftlich, in ihren Projekten steckt oft ihr ganzes Leben, ihre Karriere.“
Manche, so ist aus dem Museum zu hören, haben sich aus Verzweiflung neue Jobs gesucht. „Es sind nicht die Schlechtesten, die gegangen sind, weil es hier über viele Monate für sie nichts zu tun gab“, erzählt ein früherer Mitarbeiter. Der Datenaustausch mit anderen Naturkundemuseen im Ausland sei weitgehend zum Erliegen gekommen. Bis heute. „Darunter leiden wiederum Arbeitsgemeinschaften, die auf Drittmittel angewiesen sind.“
Vogel und Junker sind die Köpfe des Naturkundemuseums. Bis auf wenige Pressestatements haben sie sich zwei Jahre lang kaum öffentlich zu ihren Erlebnissen äußern wollen. Sie waren damit beschäftigt, den Schaden zu beheben. Außerdem: Wer erzählt schon gern, wie machtlos es sich anfühlt, wenn man überfallen wird? Mit WELT AM SONNTAG sprechen sie erstmals ausführlich über die Wochen und Monate nach der Attacke, die andauernden Folgen.
Vogel ist als Direktor der Mann für die wissenschaftliche Ausrichtung der Institution, einer mit Ideen, der Politiker für sich zu gewinnen weiß. Das ist wichtig, weil es nur so finanzielle Unterstützung gibt. Verheiratet ist der Professor für Botanik mit einer Ur-Urenkelin des Evolutionsbiologen Charles Darwin. Ein Tiefseekrebs ist nach ihm benannt.
Vogel ist groß, trägt Bürstenhaarschnitt und einen gewaltigen geschwungenen Schnurrbart, wie Horst Lichter, der Moderator der TV-Sendung „Bares für Rares“. Früher hätte man einen wie ihn als gestandenen Kerl bezeichnet. Wenn Vogel etwas beschäftigt, dreht der 62-Jährige an seinen erdbeerroten Manschettenknöpfen. Im Gespräch über den Hackerangriff spielt er oft daran. Es ist zu spüren, wie sehr ihn die Ereignisse noch immer beschäftigen.
Junker, der Geschäftsführer, sorgt dafür, dass Gehälter gezahlt werden, Rechnungen beglichen und Computer funktionieren. Zum Gespräch erscheint er im schmal geschnittenen dunkelblauen Anzug, zu dem er Sneaker trägt. Anfangs ist er zurückhaltender als Vogel. Er lässt erkennen, wie wichtig es ihm ist, dass sein Haus bei all den internen Schäden nicht auch noch in der Öffentlichkeit dumm dasteht. Wiederholt macht er klar, worüber er reden will und worüber nicht. Der Mann ist Jurist, das prägt.
Im Herbst 2023 geht es nach dem Überfall Schlag auf Schlag. Der Geschäftsführer steht morgens im Badezimmer, als er von dem Angriff erfährt. Wie das so ist: Anfangs denken alle, dass das Problem nicht so riesig sein könne, weil die IT-Abteilung schnell den Stecker gezogen habe. „Das war ein Brute-Force-Angriff“, erzählt Junker. Bei derartigen Attacken testen leistungsstarke Rechner des Angreifers alle möglichen Passwort-Kombinationen, bis es passt.
Selbst zwei Jahre danach ist augenscheinlich, wie sehr Junker das beschäftigt. „Das Problem dabei, die Angreifer waren auch nicht erst seit dem Vorabend drin.“ Zwei Wochen schon haben sie sich im System eingenistet. 84 Terabyte werden bis zum 18. Oktober verschlüsselt. „Das ist eine Menge, aber im Verhältnis zu unseren Gesamtzahlen relativ wenig“, erklärt Junker.
Seit Jahren digitalisiert das Museum nach und nach seine Exponate. Wespen, Käfer, Ameisen. Es gibt nichts, was nicht abfotografiert und dann auf digitale Speicher übertragen wird. Es ist ein kleinteiliges, oft mühsames Geschäft. Dabei fallen riesige Datenmengen an, die gesichert werden müssen. Für manche Wissenschaftler ist die digitale Sammlung fast ebenso wichtig wie die Tiere und Pflanzen in den Vitrinen. Wenn Datenträger von Kriminellen verschlüsselt oder Datenverbindungen gekappt werden, ist das für Forscher, als ob jemand das Gebäude leer geräumt hätte: Sie können nicht mehr arbeiten.
Was Vogel und Junker zu diesem Zeitpunkt nicht ahnen: Der Überfall ist weitaus größer, die Folgen sind tiefgehender, als es anfangs scheint. Deshalb wird die Tat sie auch viel länger beschäftigen, als sie sich am Anfang jemals vorzustellen wagen. Wochen allein dauert es, bis klar wird, was geschehen ist. „Die sind eingedrungen und haben dann eine Software installiert, die von unseren Sicherheitssystemen nicht erkannt werden konnte, weil sie extra einen speziellen Code geschrieben haben, den bis dahin kein Sicherheitssystem entdecken konnte“, sagt Vogel. „Dann haben sie sich unseren schnellsten Rechner gesucht und sich von da aus gezielt durchs System bewegt. Unbemerkt.“
Am Ende ist – aus digitaler Sicht – nahezu alles kaputt. Im Museum weiß man das heute so genau, weil es von Experten untersucht wurde. Das Landeskriminalamt war da. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) auch. Und mit NTT Data ein externer Dienstleister.
Ist das System geknackt, hilft nur Komplett-Austausch
Nach dem 18. Oktober beginnt ein Wettlauf gegen die Zeit. Patrick Schraut, Manager und Cybersecurity-Experte beim Berliner Dienstleister NTT, kennt das aus vielen Fällen. Wenn er und seine Mitarbeiter gerufen werden, kommt es auf jeden Moment an. Wie im Naturkundemuseum.
Schraut allerdings spricht nicht über konkrete Kundenbeziehungen, sondern nur über das allgemeine Vorgehen im Fall der Fälle: Noch während des ersten Notrufs installieren die Retter eine Software beim Opfer, um ihrerseits Informationen darüber zu bekommen, was von den Angreifern bereits verschlüsselt wurde und wie tief sie ins System eingedrungen sind. „Unser Ziel ist es, den Vorfall so schnell wie möglich einzudämmen und die Ausbreitung zu stoppen“, sagt der Fachmann. Wenn der Kunde allerdings anrufe, weil er gerade festgestellt hat, dass alle Bildschirme schwarz bleiben und – wie bei Unternehmen schon geschehen – 30.000 Computerarbeitsplätze von einem Ransomware-Angriff betroffen sind, sei es zu spät.
Im Naturkundemuseum war genau das der Fall. Zwar zieht der IT-Chef nur 20 Minuten, nachdem eine Hackergruppe aus Russland, wie sich bald herausstellt, die Verschlüsselung gestartet hatte, den Stecker. Doch gibt es noch ein viel größeres Dilemma, das erst später bekannt wird: Die Gangster „haben unser Active Directory infiltriert“, so Vogel, das Adressbuch des Netzwerks. „Das bedeutet, wir haben heute noch ein Problem mit den Daten, weil wir das System noch nicht voll ersetzen konnten.“ Es ist zerstört worden und muss neu aufgebaut werden.
Laien wissen oft nicht, was das heißt. Man muss sich das vorstellen wie Einbrecher, die in ein riesiges Wohnhaus eingedrungen sind – allerdings nicht nur in eine Wohnung, sondern in jede. Sie haben sich nicht bloß einen Zentralschlüssel besorgt, die Elektrik gehackt, Zahlenschlösser manipuliert. Schlimmer: Sie können nahezu alles verändern, Passwörter wie Schlösser austauschen, Bewohner vor die Tür setzen, indem sie Accounts löschen. Sie haben jetzt die Macht.
Deshalb hilft es auch nichts, den Schlüssel einer einzigen Wohnung im Schließsystem auszuwechseln. Ist das System gehackt, muss es komplett getauscht werden. Und: Wie bei den unzähligen Kisten auf Dachboden und Keller muss jede Datei aus der alten infiltrierten Welt sorgfältig darauf untersucht werden, ob die Einbrecher nicht Abhörwanzen oder Bomben darin hinterlassen haben. Jeder Computer muss komplett gelöscht und danach neu aufgesetzt werden. Im Naturkundemuseum betrifft das 1000 Rechner.
Selbst Sisyphos wäre an dieser Arbeit verzweifelt. Schrauts Leute von NTT Data sind darauf spezialisiert. Sobald ein neuer Notfall bei ihnen eingeht, rücken sie mit einem Team beim Opfer an. Zunächst übernehmen sie das Krisenmanagement vor Ort. Manchmal passiert es, dass Mitarbeiter nicht an ihren Arbeitsplatz kommen, weil elektronische Hausausweise nicht mehr funktionieren und die Türen sich nicht öffnen lassen. „Das muss kommuniziert werden“, erklärt Schraut. „Oder es kann sein, dass wir die Produktion stoppen müssen, weil es keine Disposition mehr gibt, keine Lkw kommen, um die Waren abzuholen und sich alles auf dem Fabrikhof stapelt.“ Oberstes Ziel sei es, den Betrieb weiterlaufen zu lassen oder zumindest möglichst schnell wieder aufzunehmen.
In dieser Beziehung hatte das Naturkundemuseum Glück: „Der Besucherbetrieb lief problemlos weiter, weil das Kassensystem völlig getrennt vom Rest der IT war“, berichtet Junker. Es ist eine der Lehren, die sie wohl nie vergessen werden. Weil auch Gehälter und Rechnungen über separate Systeme herausgehen, bleibt das Museum zahlungsfähig. Das aber ist dann alles, was nach dem Tag X noch funktioniert.
In einer E-Mail geben die Täter zu erkennen, was sie wollen: Geld. Anfangs zeigen sie sich konziliant, stellen Hilfe bei dem IT-Problem in Aussicht, ohne direkt über Lösegeld zu sprechen. „Das hörte sich an wie bei der Mafia: Wir machen dir ein Angebot, das du nicht ablehnen kannst“, formuliert es Junker. „Aber als öffentliche Einrichtung zahlen wir nicht.“ Der Staat verhandelt nicht mit Verbrechern, ist eine Lehre aus den RAF-Erpressungsversuchen vor knapp 50 Jahren. Außerdem entsteht im Museum der Eindruck, dass es nicht ums Geld allein geht, sondern darum, Wissenschaft und Gesellschaft zu schwächen. Später outen sich die Täter und drohen, erbeutete Daten im Darknet zu veröffentlichen. Ein Weilchen noch spielen sie mit dem Museum, wie Katz und Maus. Irgendwann sind die Daten im Netz.
Schraut, der Experte, kennt das Vorgehen der Cyberkriminellen: „Sie fordern Geld für den Entschlüsselungscode sowie dafür, dass sie die geklauten Daten nicht veröffentlichen.“ Oftmals verkaufen sie die Daten dennoch an interessierte Dritte. In der Regel rät er davon ab, die Lösegeldforderung zu erfüllen. „In Einzelfällen, wenn die Daten ansonsten unwiederbringlich verloren wären und das Unternehmen existenziell bedroht ist, kann man darüber diskutieren.“ Aber er empfehle, zunächst mit den Tätern zu verhandeln, um Zeit zu gewinnen und die Schäden zu bewerten.
Als die Lösegeldforderung eingeht, tappen die Betroffenen im Museum im Dunkeln. „Zu dem Zeitpunkt wussten wir noch nicht, dass unser ganzes System ruiniert war“, sagt Vogel heute. Selbst wenn Lösegeld geflossen wäre, hätten die Täter mit ihrem Zugang zum Active Directory jederzeit wieder zugreifen können. „Bis in alle Ewigkeit. An der Lösung dieses Problems arbeiten wir heute noch – fast zwei Jahre später –, weil wir eine komplett neue IT-Welt aufbauen müssen.“
Dazu gehöre es auch, die potenziell kompromittierten Daten der alten Welt in einem langsamen, zähen Prozess in die neue IT-Welt zu überführen. „Nichts von dem, was bisher auf unseren Rechnern war, können wir einfach so hinüberziehen.“ Denn alles muss peinlich genau auf Hinterlassenschaften der Angreifer untersucht werden.
Zur Wahrheit gehört auch, dass die IT-Welt des Museums zum Zeitpunkt des Überfalls arg angeschlagen ist. Am 23. August 2023, also knapp zwei Monate zuvor, kommt es zu gravierenden IT-Problemen. „Infolge einer technischen Störung können wir gegenwärtig auf ein zentrales Laufwerk, auf dem auch Teilbereiche von wissenschaftlichen Daten gespeichert sind, nicht zugreifen“, teilt das Museum damals in einer Pressemitteilung mit. Bereits zu diesem Zeitpunkt können Forscher teilweise nicht mehr arbeiten, weil Festplatten nicht mehr laufen, so berichten es Mitarbeiter. Eine Sicherungskopie lässt sich nicht einspielen. Damals ist die Rede davon, dass allein eine erste Bestandsaufnahme mehrere Wochen dauern werde. Kurz darauf schlagen die Russen zu.
Mit der Bewältigung eines Cyberangriffs ist es für ein Unternehmen oder eine Institution wie mit der Therapie einer langwierigen Krankheit im deutschen Gesundheitssystem. Wer Geld hat und privat versichert ist, bei dem geht es schneller mit MRT-Untersuchung, Operation und anschließender Reha. Der Rest schleppt sich oft siech über Monate dahin. Genaue Preisangaben für spezialisierte IT-Notfalldienstleistungen sind schwer zu finden. Je nach Qualität und Größe des eingesetzten Teams kommen da schnell sechsstellige Beträge zusammen, die sich ein von der öffentlichen Hand finanziertes Museum nicht lange leisten kann.
Dabei können Opfer von Hackerangriffen jede Hilfe gebrauchen. Schrauts Leute rollen an mit einem eigenen Lkw. Ausgerüstet mit starken Firewalls, einem eigenen Zugang zum Internet sowie frischen Notebooks für die Chefs versuchen sie, den Betrieb beim Kunden am Laufen zu halten oder wieder in Gang zu bringen. „Damit können wir 50 bis 100 zentrale Systeme rasch wiederherstellen, also zum Beispiel Lohnabrechnung, Kommunikation, Logistik oder Produktionssteuerung – nicht die ganze IT, aber genug, damit der Betrieb wieder lebensfähig ist“, sagt der Experte. Oft aber ist viel analoge Arbeit nötig. Dann müssen etwa Banken angerufen werden, damit die Löhne an die Mitarbeiter überwiesen werden.
Es geht immer noch schlimmer als beim Museum, wie andere Vorfälle zeigen. Am 6. Juli 2021 bemerkt die IT-Abteilung des Landkreises Anhalt-Bitterfeld einen Fehler auf ihren Rechnern. Mitarbeiter können nicht auf Daten zugreifen, weil sie verschlüsselt sind. Kriminelle Hacker verlangen Geld. Autos können nicht mehr zugelassen oder abgemeldet werden. Ausländische Studenten bekommen Probleme mit ihren Aufenthaltspapieren. Das Ganze gewinnt solche Ausmaße, dass der Landrat nach drei Tagen den Katastrophenfall ausruft, um vom Bund Hilfe zu erhalten. Die Bundeswehr rückt zur Unterstützung an. Die Folgen des Hackerangriffs waren ein Jahr später noch zu spüren.
Auf Hilfe der Bundeswehr hat ein Museum kein Anrecht. Stattdessen beginnen in Berlin quälende Monate. „Die Menschen, die hier arbeiten, haben eine unendlich hohe Identifikation mit ihrer Tätigkeit und dieser Organisation“, sagt Vogel. In einem Unternehmen gehe für die meisten Mitarbeiter das Leben weiter, solange das Geld fließt. Hier sei das anders: „Für die Wissenschaftler ist ihre Forschung ihr Leben. Dieser Angriff hat die Leute nachhaltig verletzt“, so der Museumsdirektor. Wissenschaftler haben keinen Zugriff mehr auf ihre Rechner, aufs Netzwerk des Museums, auf die E-Mails.
In Berlin herrscht digitale Nacht. Der Betrieb ruht, erst Tage, dann Wochen, bald sind es Monate. Es ist ein Dilemma: „Alle Naturkundemuseen schicken ihre Daten in gemeinsame Netzwerke“, erklärt Vogel. Von dem einen Museum kommt dies, von dem anderen jenes. Wissenschaftler forschen so an ihren Projekten. „Da konnten wir jetzt zwei Jahre lang nicht mitarbeiten. Weil das Letzte, was wir wollen, ist, dass wir ein Datenpaket herausschicken und etwa das Naturkundemuseum Helsinki deshalb untergeht.“
Der erzwungene Stillstand führt zu weiteren Problemen: „Ein großer Teil der bei uns beschäftigten Wissenschaftler arbeitet mit befristeten Arbeitsverträgen“, sagt Junker. „Die prekäre Gruppe hier sind Promovierende und Postdocs.“ Mühsam haben sie sich oft die Gelder für ihre Promotion erkämpft. „Ihnen lief nach dem Angriff die Zeit weg.“
Selbst wer unbefristet arbeitet, ist tief getroffen. Die Wissenschaftler haben den Anspruch, global mit ihrer Arbeit aufzufallen, zu glänzen, so Vogel. „Und das mussten wir ihnen verbieten.“ 50 Leute durften noch im kompromittierten System arbeiten mit einer Software, die nach Auffälligkeiten suchte. Für alle anderen – insgesamt 500 Personen – war Feierabend. Das geht an die Nerven. Vogel erinnert sich: „Für uns beide als die obersten Verantwortlichen dieser Organisation war es das Wichtigste, dass es irgendwie weiterging.“ Die Mitarbeiter hätten dagegen nicht selten gesagt: Es sei ja ganz schön, dass man sein Geld bekomme, aber sie wollten forschen.
„Genauso teuer, digitale Sammlungen zu unterhalten“
Psychologische Überforderung gibt es in solchen Stresssituationen bei allen Beteiligten. Junker und Vogel mühen sich. „Wissenstransfer passiert in erster Linie über Menschen, die rein- und wieder rausgehen aus so einer Institution wie unserem Museum“, sagt Junker. Promotionen seien Ausbildungsphasen, „die Leute sollen dann mit einer gewissen Reputation unsere Einrichtung verlassen“. Doch das ist nicht mehr möglich. Karrieren drohen zu enden, bevor sie überhaupt begonnen haben, weil Kriminelle den Stecker ziehen. Das Museum verlängert daraufhin die Verträge für die Betroffenen. Das kostet Geld. Zum Glück gibt es Hilfe durch die Leibniz-Gemeinschaft. „Wir haben eine soziale Verpflichtung gehabt“, sagt Junker.
Manchmal aber reicht nicht einmal das. Die Chefs müssen psychologische Betreuung organisieren, weil Mitarbeiter sich existenziell bedroht fühlen. Auf Versammlungen der Belegschaft wird der Ton gegenüber der Führung schnell rau. Betroffene fühlen sich ungehört, unverstanden. Viele stammen nicht aus Berlin, haben hier weder Familie noch Privatleben. Nun ist auch noch die berufliche Zukunft in Gefahr. Zum Glück gibt es am Museum eine funktionierende Studentenvertretung. Sie fängt Betroffene auf. „Das war ein riesiges Glück in dieser psychisch belastenden Situation“, sagt Vogel.
Für die Stimmung der Truppe spielen die bereits vor dem Angriff abgeschmierten Festplatten später keine unbedeutende Rolle. Für die Mitarbeiter sind sie ein Indiz, wie viel bei der IT im Argen liegt, die doch so wichtig ist für eine Wissenschaftseinrichtung, die intellektuell und finanziell vom Austausch lebt. Frust ist die Folge.
An allen Ecken brennt es. Das Museum muss sehen, dass es nach und nach seine Geräte wieder in Gang bringt – mit möglichst geringen Kosten. „Weil wir keine internen E-Mails mehr verschicken konnten, haben wir das Schwarze Brett wieder eingeführt und dort handschriftlich Botschaften drangehängt – Tagesbotschaften, wo wir stehen“, sagt Junker. Es ist keine ideale Lösung, gibt er heute zu.
Erst im Februar, fünf Monate nach dem Angriff, funktionieren die Mails wieder. Warum niemand früher mit privaten E-Mail-Adressen arbeitet, ist ehemaligen Mitarbeitern ein Rätsel. Aber in öffentlichen Einrichtungen haben nun mal Betriebsräte mitzureden, wenn private Mailaccounts auf privaten Geräten für den Job genutzt werden sollen. Alles hat seine Tücken.
Mithilfe von NTT Data baut das Museum eine sogenannte Waschstraße auf, in der die „beschmutzten“ Rechner gereinigt werden: Die NTT-Leute schlagen in einem Container auf dem Museumshof ihr Camp auf. „Sie haben viel Geld genommen“, sagt Junker. Aber: „Ohne sie hätten wir es nicht geschafft.“
Jeder Rechner wird eingesammelt, um ihn neu aufzusetzen. Dem Museum kommt die Erfahrung in seinem Kerngeschäft zugute. „Wir sind ja eine Organisation, die Ordnung schafft“, sagt Vogel. Also rücken die Mitarbeiter im ersten Stock im großen Saal dieses riesigen Hauses Schreibtische aneinander. Sammlungsregale aus Stahl werden im Raum aufgestellt, nur stehen dieses Mal keine Fische, Schlangen oder Insekten drin, sondern die IT-Hardware des Museums. Wie im Teilelager einer Fabrik.
„Die Leute wurden angerufen und mussten ihren Rechner vorbeibringen“, erinnert sich Junker. Alles, was an Software alt ist, wird abgetötet, dann kommt ein neues Betriebssystem drauf, und erst danach werden die sauberen Daten aus den Backups aufgespielt. Zehn Tage später können die Rechner wieder abgeholt werden.
Vogel und Junker schöpfen Mut aus der Waschstraße, dem Gefühl, dass es vorangeht, die Leute an einer Lösung arbeiten. „Wir sind in diese Recovery Street gern reingegangen, weil da so viel positive Energie herrschte“, erinnert sich Vogel heute. „Das war eine Gruppe ‚forged in battle‘, wie man im Englischen sagt“ – im Kampf gestählt. Junker ergänzt, natürlich sei es angenehmer, in so eine Waschstraße zu gehen und zu sehen, „wie es brummt und wie am Wiederaufbau gearbeitet wird, als nur darüber verzweifelt zu sein, dass man seine Daten schnell braucht, weil man einen Abgabetermin hat.“ Beides sei menschlich aber absolut verständlich.
Einzelne Formulierungen lassen erahnen, wie schwierig es für die beiden war: „Wir als Führung hier mussten die Zähne zusammenbeißen und durch“, sagt Vogel, während er im Gespräch aus den großen Fenstern auf den Hof schaut. Viele Mitarbeiter dagegen wollten ihren Schmerz reflektiert sehen. „In solchen Situationen absoluten Drucks kann ich das leider nicht so gut leisten. Und das hat gefehlt.“
In den Mitarbeiterversammlungen geht es turbulent zu. Vogel und Junker erklären, der eine auf Englisch, der andere auf Deutsch. Komikhaft müsse es gewirkt haben, erinnert sich der Direktor. Sie seien nicht verstanden worden. „Und dann wurde es eben halt auch manchmal richtig laut – nach dem Motto ‚You don’t feel our pain‘.“ Der Vorwurf sitzt.
Trotz Waschstraße brauchen sie im Saal an der Invalidenstraße ewig. Anders als ein Konzern etwa kann ein Museum nicht jede Menge Geld mobilisieren, um das Ganze zu beschleunigen. „Wir haben insgesamt vier Millionen Euro ausgegeben, um die Folgen zu beheben“, sagt Junker. Das Geld kommt auch von der Leibniz-Gemeinschaft. Mehr aber ist nicht drin. „Wenn wir jetzt ein großes Unternehmen wären, dann hätten wir ja sofort das Geld, um parallel eine komplett neue IT-Welt zu bauen“, glaubt Vogel. Fehlen die Mittel, ist die Handlungsfähigkeit begrenzt.
Jana Hoffmann kennt das nur zu gut. Fast elf Jahre hat die Wissenschaftlerin für das Naturkundemuseum gearbeitet, bevor sie im Januar zum „Senckenberg Deutsches Entomologisches Institut“ im brandenburgischen Müncheberg wechselte. Wie Schraut von NTT spricht auch sie nicht über ihre konkreten Erfahrungen in Berlin, dafür aber umso mehr über finanzielle Herausforderungen für wissenschaftliche Museen allgemein.
Bevor sie zu Senckenberg wechselte, leitete sie das Programm „Collection Future“ am Naturkundemuseum. Seit zwei Jahren ist sie gleichzeitig Vizepräsidentin von Cetaf, einem Wissenschaftsnetzwerk europäischer Naturkundemuseen und Forschungsinstitute. Wenn es um Geld und IT geht, weiß sie Bescheid.
Was sie sagt, macht wenig Hoffnung für die Zukunft: Der Technologiewechsel sei so rasant, dass staatliche Akteure mit ihren Mitteln kaum hinterherkommen. „Es ist unheimlich schwierig, einfach hohe siebenstellige Summen für eine sichere IT-Infrastruktur zu investieren.“
Für Außenstehende mag das im Fall des Naturkundemuseums unverständlich sein. Schließlich hat die Einrichtung erst im Jahr 2018 vom Bund und dem Land Berlin 660 Millionen Euro zugesagt bekommen. Für ein Museum ist das eine so große Summe, dass sich daraus fast alles bezahlen lassen müsste, sollte man meinen. Die Realität sieht anders aus: Fast 300 Millionen Euro sind für die Sanierung des Hauses und den Bau neuer Gebäude gedacht. Auch in den Ausbau der Sammlungen soll Geld fließen. Und in den Wissenstransfer.
Es reiche nicht, ist Hoffmanns Fazit: „Wenn man es ernsthaft und ordentlich macht, ist es genauso teuer, digitale Sammlungen zu unterhalten wie physische.“ Viele Zuwendungsgeber hätten das unterschätzt. Sie rechnet vor: „Durch die für die Beschäftigten unerlässlichen Tariferhöhungen und die generell steigenden Unterhaltskosten fehlen den Häusern die Mittel, um in die IT und Sicherheit zu investieren.“ Zusätzliches Geld aber gibt es bis auf Einmalzuwendungen nicht. Und über allem schweben Strukturen, die Kooperationen erschweren: „Die Museen selbst haben ganz unterschiedliche Rechtsformen“, erklärt sie. „All das macht gemeinsame, verlässlich finanzierte Strukturen extrem komplex.“
Im Kleinen ist es mit der Verteidigung der Wissenschaftsinfrastruktur wie mit der Landesverteidigung im Großen. Jahrelang ist wenig passiert. Jetzt aber, da es darauf ankommt, fehlen funktionierende Strukturen. „Die Abwehr von Cyberattacken gehört zur Verteidigungsfähigkeit Deutschlands“, sagt Vogel. „Das heißt, hier muss der Staat ran.“ Auch, weil den Institutionen das Geld fehlt und das Personal. Junker fordert, dass man bei Organisationen wie dem BSI Taskforces einrichtet, die „bei staatlich finanzierten Einrichtungen im Ernstfall reingehen und helfen“.
In der Realität hat die Regierung gerade andere Probleme. Was dazu führt, dass Wunsch und Wirklichkeit auseinanderklaffen. An der Invalidenstraße, in einem Raum rechts neben der Halle mit den Dinosaurier-Skeletten, hat das Museum derzeit ein Digitalisierungslabor aufgebaut. Mit Kamera, Lichtbox und Computer. „Die digitale Erschließung ermöglicht die Vernetzung von Wissen und schafft leichtere Zugänge“, steht auf einer Leuchttafel. Neu generiertes Wissen könne „zurückfließen und das Wissen um die Sammlung weiter wachsen lassen“. Vorausgesetzt, man wurde nicht gehackt.
Nirgends im Museum wird deutlicher, wie brüchig das Fundament der schönen neuen Wissenswelt in Wahrheit ist. In einem Haus, das seit 1889 die Geschichte des Lebens erzählt, ringt man seit vielen Monaten darum, digital zu überleben.
Jan Dams ist Chefreporter WELT AM SONNTAG.
Haftungsausschluss: Das Urheberrecht dieses Artikels liegt beim ursprünglichen Autor. Die erneute Veröffentlichung dieses Artikels dient ausschließlich der Informationsverbreitung und stellt keine Anlageberatung dar. Bei Verstößen kontaktieren Sie uns bitte umgehend. Wir werden bei Bedarf Korrekturen oder Löschungen vornehmen. Vielen Dank.
