Vom Desaster. Vom bunten Besteverland. Vom Shithole Berlin.

Berlin verkauft sich seit Jahren als irgendwie „hippe“ Metropole der Innovation, „Digitalisierung“, „Wissenschaft“ und sonstigem Marketingnebel. Dann reicht ein gut platzierter Ransomware-Angriff auf ein Naturkundemuseum, um den bunten Schein den garaus zu machen. Zu Tage kommt eine IT-Landschaft zum Vorschein, die eher an frühe Neunziger erinnert als an einen Staat mit angeblich hohem technologischen Anspruch.

Der Fall des Museums für Naturkunde Berlin ist in seiner Schlichtheit fast komisch, wäre nicht der Preis so hoch. Mitte Oktober 2023 dringen Angreifer in die Systeme ein, kompromittieren das Active Directory und verschlüsseln nach Angaben der Berichterstattung rund 84 Terabyte Daten. Der IT-Leiter zieht im Wortsinne „den Stecker“, legt das gesamte Museum lahm und versucht, den Absturz irgendwie zu stoppen.¹

Wochen später berichtet die Berliner Presse, dass bis zu 450 Forscher de facto offline sind, Forschungsvorhaben stillstehen, Karrieren zu erodieren beginnen, während der Besucherbetrieb halbwegs weiterläuft.²

Im März 2024 wird offiziell mitgeteilt, dass personenbezogene Daten von mehr als 37’000 Besuchern exfiltriert und im Dezember 2023 im Netz veröffentlicht wurden.³

Ende 2025 erklären Museum und Medien, die IT sei noch immer nicht vollständig wiederhergestellt, der Wiederaufbau der „komplexen Systeme“ erfordere einen langwierigen Prozess, und allein die Kosten für Bereinigung, „Waschstrasse“ für rund 1’000 Rechner und Neuaufbau werden auf etwa 4 Mio. EUR beziffert.⁴

Hadmut Danisch hat das treffend als „digitale Nacht“ bezeichnet: ein Wissenschaftsbetrieb, der, sobald ihm jemand den Stecker zieht, plötzlich bemerkt, dass ohne IT nichts mehr existiert, und der trotzdem nicht in der Lage ist, in sinnvoller Frist wieder auf die Beine zu kommen.⁵

Um die nachfolgende Analyse verstehen zu können, habe ich am gestrigen Tag im Rahmen dieser Mini-Serie das Sicherheitsalphabet der Informatik geordnet: CIA(AN) als Schutzziele, KGB als kommunikationsbezogene Fassung, DIE als Architekturprinzip, CAP als theoretische Systemgrenze und Idempotenz als Werkzeug, um verteilte Systeme trotz Fehlern beherrschbar zu halten.⁶ Jetzt wird das Konzeptive mit der Realität konfrontiert.

Der Fall des Naturkundemuseums eignet sich perfekt, um „Soll“ und „Ist“ entlang dieser Konzepte gegeneinanderzustellen. Nicht, um einzelne Administratoren abzuurteilen, sondern um exemplarisch sichtbar zu machen, was passiert, wenn man ein komplexes System betreibt, ohne die eigene Informatik als Wissenschaft mit Methodenbaukasten, Best Practices und RFC-Korpus ernst zu nehmen.

CIA(AN): Schutzziele auf dem Papier, Desaster im Realbetrieb

Soll: Vertraulichkeit, Integrität, Authentizität, Verfügbarkeit, Nicht-Abstreitbarkeit

In einem Forschungshaus dieser Grössenordnung läge die Latte eigentlich nicht niedrig.

Vertraulichkeit verlangt, dass Forschungsdaten, personenbezogene Daten von Besuchern, Partnern und Angestellten, Lieferanten, Instituten anderer Forschungseinrichtungen, interne Protokolle und Vertrage nicht ungesichert in Netzen und Fileshares herumliegen. Serverseitige Verschlüsselung, konsequente Segmentierung, Zugriff nur über definierte Rollenprofile, mindestens TLS für alle Transportkanäle, dazu Härtung gegen Credential-Diebstahl im Active Directory.

Integrität verlangt, dass gespeicherte Daten nicht heimlich verändert oder verschlüsselt werden können, ohne dass dies entdeckt wird, und dass es verifizierbare Backups gibt, die ein definiertes Wiederherstellungsziel erfüllen. Dazu gehört typischerweise eine Backup-Architektur mit Offsite-Komponenten, Write-Once-Speichern, regelmässigen Restore-Tests und Monitoring auf anomale Aktivitäten.

Authentizität verlangt, dass sich nur berechtigte Personen und Dienste ins System einloggen können, idealerweise mit starker Authentisierung, gehärteten Administrator-Workstations, Privileged-Access-Management und einem Active Directory, das nicht als monolithischer „Gott-Modus“ für die gesamte Organisation fungiert.

Verfügbarkeit verlangt Architektur und Betrieb, die auch bei Störungen funktionsfähig bleiben. Redundante Domaincontroller, getrennte jährliche Wartungsfenster, ein ausgereifter Notfallplan, der nicht aus „Stecker ziehen und beten“ besteht, sondern aus geprobten Szenarien mit klaren Recovery-Time- und Recovery-Point-Objectives.

Nicht-Abstreitbarkeit verlangt manipulationssichere Logs, signierte Konfigurationsänderungen, nachvollziehbare Freigaben und Archivierung, die es im Schadensfall ermöglicht, Verantwortlichkeiten und Zeitpunkte nachzuzeichnen.

Kurz gesagt: Ein Haus, das im globalen Forschungsbetrieb mitspielen will, sollte den gesamten CIA(AN)-Katalog nicht nur aus Marketinggründen, sondern als handgreifliche betriebliche Realität leben.

Ist: Ransomware, 84 Terabyte, Datenabfluss, Forschungsstillstand

Die dokumentierte Realität sieht anders aus.

Nach Angaben der Medienberichte hat eine mutmasslich russische Gruppe, natürlich wer auch sonst, nur Putin schafft sowas, per Brute-Force-Angriff Anmeldedaten erbeutet, Zugang zum Active Directory erlangt, Rechte eskaliert und in der Folge 84 Terabyte Daten verschlüsselt.⁷

Es handelt sich explizit nicht um „ein paar Datenbanken“, sondern um einen wesentlichen Teil der zentralen Speicherlandschaft.

Das Museum selbst bestätigt, dass weite Teile der digitalen Infrastruktur betroffen waren, dass Forschungsdaten nicht mehr zugänglich waren und dass Angreifer zudem Datensätze kopiert und am 04.12.2023 veröffentlicht haben.⁸

Unter den gestohlenen Daten: personenbezogene Informationen von rund 37’000 Besuchern, die seit 2021 Tickets im Onlineshop mit PayPal bezahlt haben.⁹

Vertraulichkeit ist damit faktisch gescheitert. Daten, die nie hätten abfliessen dürfen, liegen in Ransomware-Leaks und werden von Dritten archiviert.

Integrität ist ebenfalls kollabiert. Wenn 84 Terabyte Speicher verschlüsselt werden, ist nicht nur der Zugriff blockiert, sondern der gesamte Zustand dieser Datensätze ist kompromittiert. Ob und in welchem Umfang Backups existierten, die ein Wiederherstellungsziel erfüllen, lässt sich von aussen nicht vollständig beurteilen. Dass aber zwei Jahre nach dem Angriff die IT noch nicht vollständig wiederhergestellt ist und das eigene Datenportal bis heute schlicht mit einem Hinweis „bis auf weiteres nicht verfügbar“ versehen ist, spricht eine deutliche Sprache.¹⁰

Authentizität war tätertypisch der erste Opferbereich. Wer ein Active Directory übernimmt, kann Identitäten imitieren, Berechtigungen verleihen, Logs manipulieren, Dienste impersonifizieren. Genau dieses Szenario ist berichtet: Kompromittierung des AD, Elevation der Rechte, Verschlüsselung.¹¹

Verfügbarkeit ist im wissenschaftlichen Bereich über Monate bis Jahre zerstört worden. Der Tagesspiegel berichtete schon im November 2023, dass bis zu 450 Forscher und Wissenschaftler nicht arbeiten können, während der Besucherverkehr weiterläuft.¹²

Die späteren Welt-Artikel sprechen von einer faktischen Lähmung des wissenschaftlichen Betriebs „auf Jahre“, einer „digitalen Nacht“, in der Datenportale, Kooperationskanäle und Forschungsprojekte eingefroren sind.¹³

Nicht-Abstreitbarkeit schliesslich bleibt in weiten Teilen nebulös. Von manipulationssicheren Logs, kryptographisch gesicherten Prozessketten und nachträglich gerichtsfester Nachvollziehbarkeit liest man nichts. Nothing. Nada. Rien. Eher im Gegenteil: Es werden forensische Dienstleister erwähnt, die nachträglich zusammensuchen, was passiert ist, und versucht haben, aus dem verbleibenden systemischen Geröll irgendeine stimmige Rekonstruktion abzuleiten.¹⁴

Strukturelle Folgerung: Schutzziele als Rhetorik statt als Designgrundlage

Was aus dieser Soll-Ist-Gegenüberstellung hervorgeht, ist kein singulärer Betriebsunfall, sondern ein tiefer struktureller Bruch.

Hier agiert eine öffentliche wissenschaftliche Einrichtung mit internationalen Kooperationen, langen Förderlinien, langlaufenden Forschungsdatenbeständen und erheblichem Personenbezug, die offenkundig weder die Schutzziele konsequent in ihre Architektur eingewoben hat, noch über operative Prozesse verfügt, die im Schadensfall greifen.

Der Einsatz eines Active Directory als zentraler Single-Point-of-Compromise, das Fehlen einer nachweislich robusten Backup-und-Restore-Kette, der Verlust personenbezogener Besucherdaten und ein wissenschaftlicher Blackout von nahezu zwei Jahren zeigen, dass CIA(AN) bestenfalls als abstraktes Compliance-Vokabular existierte, aber nicht als Leitlinie für Architektur und Betrieb.

KGB: Kommunikation ohne Sicherheitskultur

Soll: Kommunikationssicherheit, Gewährleistung der Übertragung, Beweisbarkeit

Wer im internationalen Datenverbund mit anderen Naturkundemuseen arbeitet und seine Daten in gemeinsame Portale einspeist, bewegt sich in einem hochsensiblen Kommunikationsraum. Das Museum selbst schreibt, dass Naturkundemuseen ihre Sammlungsdaten in gemeinsame Netzwerke einspeisen, um weltweit gemeinsam an Projekten zu forschen.¹⁵

Im Idealzustand hätte dieser Verbund auf technischer Ebene etwas, das den KGB-Kriterien entspricht.

Kommunikationssicherheit meint Ende-zu-Ende-Verschlüsselung für Datenexporte, Härtung aller Transferpfade, strenge Segmentierung zwischen internem Netz, DMZ und externen Partnern, dazu Schutzmechanismen gegen das Einschwemmen von Schadsoftware über gemeinsame Plattformen.

Gewährleistung der Übertragung meint robuste Mechanismen, welche die Datentiefe und den Datendurchsatz sichern, selbst wenn einzelne Knoten gestört sind. Queues, Mirror-Targets, Monitoring, definierte Rekonfigurationspfade, bei denen nicht das gesamte Haus offline gehen muss, nur weil irgendwo ein Knoten spackt.

Beweisbarkeit meint Signaturketten, nachvollziehbare Protokollierung, dokumentierte Freigaben und Forensik-Fähigkeit bei allen relevanten Kanälen. Wer Daten in internationale Forschungsdatenbanken einspeist, muss rekonstruierbar zeigen können, was wann wie rausgegangen ist.

Ist: „Digitale Nacht“, gestoppte Datenströme, unklare Beweislage

Die Realität: Nach dem Angriff herrscht buchstäblich digitale Dunkelheit. Datenströme zu anderen Museen werden unterbrochen, eigene Datenportale gehen offline, internationale Kooperationen frieren ein. Der Direktor des Hauses erklärt in der Welt, man habe zwei Jahre lang nicht an gemeinsamen Datenpools teilnehmen können, weil man nicht riskieren wollte, verseuchte Pakete nach Helsinki oder sonst wohin zu schicken.

Diese Entscheidung ist aus Sicht der Partner löblich und gleichzeitig ein Indiz dafür, dass man intern nicht in der Lage war, eine saubere Trennung zwischen kompromittierten, gereinigten und neuaufgebauten Kanälen zu organisieren. Wer zwei Jahre lang aus Angst vor Weiterinfektion keine wissenschaftlichen Daten exportieren kann, hat Kommunikationssicherheit nicht nur verloren, sondern offenbar nie systematisch modelliert.

Der Begriff „digitale Nacht“, den Danisch aufgreift, ist in dieser Hinsicht treffend: Die Kommunikationskanäle sind nicht robust, sondern binär. Entweder „alles offen“ oder „alles dicht“. Das ist kein Zeichen differenziert gestalteter KGB-Architektur, sondern eher von monolithischer Kommunikationsverflechtung.¹⁶

Wie es um die Beweisbarkeit steht, lässt sich aus den veröffentlichten Informationen nur indirekt ablesen. Dass externe Forensiker Datenleaks in einer „sicheren Umgebung“ downloaden und analysieren müssen, um überhaupt herauszufinden, welche personenbezogenen Daten betroffen sind, zeigt, dass die interne Sicht auf Transaktionen und Transfers alles andere als transparent war.¹⁷

Strukturelle Folgerung: Kommunikationssicherheit als nachträgliche Reparaturbaustelle

Die KGB-Perspektive enthüllt hier vor allem eine kulturelle Lücke. Offizielle Darstellungen sprechen viel von „komplexen Systemen“, von „Zukunftsplänen“ und „robuster, zukunftssicherer Infrastruktur“, die man nun aufbauen wolle.¹⁸

Was auffällt, ist, dass dieser Zukunftsduktus bei etwas ansetzt, das eigentlich bereits seit Jahren hätte existieren müssen: einer Kommunikationsarchitektur, die vertraulich, verfügbar, segmentiert und forensisch nachvollziehbar ist.

Stattdessen dominiert eine Erzählung, die Kommunikationssicherheit als Luxusproblem darstellt, das man angehen würde, wenn irgendwann „das Geld für gute Lösungen“ vorhanden sei.¹⁹

Diese Haltung verschiebt Verantwortung von strukturellen Entscheidungen hin zu einem angeblichen Ressourcenmangel und entlarvt gleichzeitig, wie wenig das KGB-Schema in die Governance eingesickert ist.

DIE: Architektur zwischen Waschstrasse und Steinzeit

Soll: Verteilte, unveränderliche, vergängliche Infrastruktur

DIE steht für eine Architekturidee, die in professionellen Infrastrukturen längst zum Kanon gehören sollte. Verteilte Systeme, eindeutig beschriebene, unveränderliche Artefakte und vergängliche Instanzen, die jederzeit durch frische Exemplare ersetzt werden können.

Ein Haus mit dem Profil des Naturkundemuseums hätte sich idealerweise auf eine Plattform stützen müssen, auf der Server, virtuelle Maschinen, Arbeitsplätze und Applikationen deterministisch aus Vorlagen gebaut werden, Backup und Restore nicht als heroischer Akt, sondern als Routine verstanden werden und in der Einzelrechner keinerlei sakralen Status besitzen.

Der typische Sollzustand wäre: Konfigurationsmanagement mit idempotenten Playbooks oder Policies, zentrale Images, reproduzierbare Build Pipelines, standardisierte Client-Plattformen, die sich bei Kompromittierung schlicht entsorgen und neu aufsetzen lassen, eventuell angereichert um isolierte Forschungsumgebungen für Spezialsoftware.

Ist: „Waschstrasse“ für 1 000 Rechner und jahrelanger Wiederaufbau

Die Berichte zum realen Vorgehen lesen sich wie ein Zeitdokument aus früheren IT-Epochen.

Statt Systeme automatisiert neu aufzusetzen, baut man mit externer Hilfe eine „Waschstrasse“, durch die rund 1 000 Rechner geschleust werden, um sie zu reinigen, neu zu installieren und wieder in Betrieb zu nehmen.

Man stelle sich das bildlich vor: Ein moderner Forschungsbetrieb, der nach einem Angriff seine IT-Plattform wie eine Kollektion kontaminierter Objekte behandelt, die nun einzeln dekontaminiert, gebürstet und wieder zusammengeflickt werden müssen.

Danisch hat in seiner Reaktion zu Recht darauf hingewiesen, dass automatisiertes Neuaufsetzen und Orchestrierung heute Stand der Technik sein sollte. Ein Leser widerspricht ihm mit dem Hinweis, dass dies in komplexen Altlandschaften nicht immer trivial umsetzbar sei.²⁰

Die interessante Pointe steckt nicht im Streit zwischen Theorie und Praxis, sondern darin, dass in einer Einrichtung dieser Grössenordnung offenbar nie ernsthaft in Richtung deterministischer Build- und Deployment-Prozesse investiert wurde.

Die offizielle Darstellung spricht von einem „langwierigen Prozess“, einem „Wiederaufbau der komplexen Systeme“, der mit „höchster Sorgfalt“ durchgeführt werden müsse, um eine „robuste und zukunftssichere IT-Infrastruktur“ zu schaffen.

Diese Formulierungen klingen nach Fortschritt, dokumentieren aber in Wirklichkeit, dass man sich 2025 ernsthaft noch im Modus befindet, eine moderne Plattform erst neu aus dem Boden stampfen zu müssen, weil die alte weitgehend aus gewachsenen, schlecht dokumentierten und schwer automatisierbaren Strukturen bestand.

Strukturelle Folgerung: Vor-DevOps-Zeitalter mit wissenschaftlicher Kulisse

Der DIE-Vergleich zeigt, dass wir es mit einer Architektur zu tun haben, die konzeptionell im Vor-DevOps-Zeitalter steckengeblieben ist.

Wer 2023 bei einem Ransomware-Angriff nicht in der Lage ist, innerhalb planbarer Zeiträume Server und Clients vollautomatisch neu aufzusetzen, läuft nicht nur technisch hinterher, sondern hat einen fundamentalen Governance-Fehler begangen. Dass dies in einem hochsubventionierten Forschungshaus geschieht, lässt Rückschlüsse auf Prioritäten, Kompetenzverteilung und Kontrollmechanismen zu.

Statt unveränderlicher Artefakte und vergänglicher Instanzen herrscht offenbar die klassische „Haustier-IT“ vor: Systeme, die einzeln gehegt, übers Jahr manuell geflickt und im Schadensfall mit enormem Aufwand restauriert werden. Informatikarchäologie.

CAP: Theorem ignoriert, Monolith versenkt

Soll: Bewusste CP- und AP-Zonen, kontrollierte Partitionierung

In einem verteilten, modernen Setup hätte man das CAP-Theorem nicht nur zur Kenntnis genommen, sondern in der Architektur abgebildet.

Kritische Kernsysteme mit hohem Konsistenzbedarf würden gezielt als CP-Zonen ausgelegt: Lieber kurzzeitig nicht verfügbar, als widersprüchliche Zustände. Andere Systeme, etwa Teile der Webseiten, Besucherinformationen oder gewisse Logistikfunktionen, könnten AP-orientiert gestaltet werden: Hohe Verfügbarkeit auch bei Partitionierungen, inkauf genommene vorübergehende Inkonsistenzen, die später bereinigt werden.

Der Schlüsselpunkt ist die Segmentierung. Ein Netz, in dem eine Partition oder ein Kompromissfall nicht das gesamte Gefüge zerreissen kann, sondern definierte Teilbereiche in definierte Degradierungsmodi zwingt.

Ist: Eine logische Domain, ein Bruch, ein Totalausfall

Der reale Verlauf des Angriffs legt nahe, dass weitgehend das Gegenteil praktiziert wurde.

Angreifer gelangen über brute-force erlangte Credentials in das Active Directory, nutzen dieses als Sprungbrett, verschlüsseln grosse Teile der Speicherlandschaft und erzwingen damit eine Komplettabschaltung. Der IT-Leiter zieht den Stecker für das gesamte Museum, weil offenkundig keine fein granulierten Notfallmodi existieren, in denen nur Teilbereiche isoliert werden können.

Dass der Besucherverkehr weiterläuft, während die Forschungs-IT quasi tot ist, zeigt zwar eine minimale Segmentierung, aber keine CAP-bewusste Architektur. Der wissenschaftliche Bereich hängt offenbar in einer logischen Monolith-Struktur, die durch den Verlust zentraler Authentisierungs- und Speicherkomponenten vollständig unbrauchbar wird.

In einer CAP-bewusst designten Landschaft wäre zu erwarten, dass bestimmte Funktionen auch bei Partitionen weiterlaufen können: etwa lokale Auswertungen, Offline-Analysen, gespiegelt vorliegende Datensätze, eingeschränkte Betriebsmodi ohne Netzwerk. Stattdessen entsteht der Eindruck, dass ohne volles Netz, volles AD und vollständige Storage-Verfügbarkeit nichts mehr geht.

Strukturelle Folgerung: CAP als ignoriertes Naturgesetz

Die Tragik besteht darin, dass CAP kein optionales Designmuster ist, sondern eine Art Naturgesetz für verteilte Systeme. Wer Netze baut, hat Partitionen gezwungenermassen im Paket dabei. Ein Haus, das sich trotzdem so einrichtet, als gäbe es sie nicht, baut sich eine Fallgrube.

Die Monolithstruktur im wissenschaftlichen Bereich des Museums zeigt, dass CAP entweder nie ernsthaft reflektiert oder bewusst ignoriert wurde. Sobald zentrale Komponenten ausfallen, existiert kein definierter Degradierungszustand mehr, sondern nur noch „tot“.

Gerade dieser Punkt ist für mich einer der harten Indikatoren, dass Informatik hier nicht als Disziplin mit Theoremen, Grenzen und bewiesenen Sätzen verstanden wird, sondern als Poesisammlung von Softwareprodukten, die man irgendwie „zum Laufen bringt“, solange niemand von aussen dagegenschiesst.

Idempotenz: Wiederholbarkeit als fehlende Lebensversicherung

Soll: Wiederholbare Prozesse, gefahrlose Retries, deterministische Restore-Wege

Eine Einrichtung mit dieser Komplexität müsste auf allen Ebenen mit idempotenten Prozessen arbeiten.

Backup- und Restore-Prozeduren sollten so konstruiert sein, dass man sie beliebig oft anstossen kann, ohne neue Schäden zu erzeugen. Ein fehlgeschlagener Restore auf Testsystemen dürfte kein Problem sein, sondern Normalfall in regelmässigen Übungen.

Deployments von Applikationen sollten mehrfach ausrollbar sein, ohne spezifische „only run once“-Skripte, die beim zweiten Durchlauf die Umgebung zerschiessen. Infrastruktur-Code sollte deterministisch beschreiben, wie ein Zielzustand erreicht wird, nicht als Summation von Ad-hoc-Skripten, die niemand mehr wirklich versteht.

Jobs für Datenmigrationen, Indexaufbau, Reports oder Integrationsschnittstellen sollten so modelliert sein, dass ein erneuter Start nach Netzunterbrechung oder Knotenabsturz keinen logischen Schaden verursacht.

Kurz: Idempotenz als durchgehendes Prinzip in Backup, Deployment, Betrieb und Notfallmechanik.

Ist: Einmalaktionen, Waschstraßen, Jahre des Wiederaufbaus

Was sich aus den verfügbaren Informationen rekonstruieren lässt, klingt eher nach einer Landschaft aus Einmalaktionen.

Die „Waschstrasse“ für 1’000 Rechner ist das Symbolbild für nicht-idempotente Prozesse: Jeder Client muss einzeln behandelt, vorbereitet, bereinigt, neu bespielt werden.

Die Tatsache, dass der Wiederaufbau der IT-Infrastruktur auch zwei Jahre nach dem Angriff noch nicht abgeschlossen ist und man in offiziellen Mitteilungen von einem „langwierigen Prozess“ spricht, deutet darauf hin, dass es eben keine durchgehenden, geübten, idempotenten Pfade gibt, sondern eine Sequenz von Projektaktionen, die jeweils einmalig und risikobehaftet sind.

Der Leser, der Danisch widerspricht und darauf hinweist, dass automatisches Neuaufsetzen in komplexen Umgebungen bei laufendem Angriffsgeschehen schwierig sei, hat im Einzelfall recht, bestätigt aber genau das systemische Problem: Es existiert keine gewachsene Tradition, Systeme von Anfang an so zu bauen, dass sie im Notfall automatisiert und wiederholbar rekonstruierbar sind.

Anstelle von idempotenten Pipelines dominiert offenbar das Modell „Projektteam macht jetzt mal eine Sanierung“. Das Ergebnis sieht aus wie erwartet: langwierige Prozesse, hohe Kosten, viele Sonderfälle, viel Angst davor, bei einem erneuten Versuch noch mehr kaputt zu machen.

Strukturelle Folgerung: Reproduzierbarkeit als Fremdwort

Der Mangel an Idempotenz ist für mich fast aussagekräftiger als der ursprüngliche Angriff. Ransomware lässt sich nie zu hundert Prozent verhindern, schon gar nicht in Altlandschaften. Wie man danach reagiert, unterscheidet professionelle Organisationen von improvisierenden, von globaler Tech-Führerschaft von provinziellen Gehabe und gnadenloser Inkompetenz.

In einer Umgebung mit durchgängig idempotenten Prozessen hätte der Ablauf etwa so ausgesehen: Forensische Analyse, harte Trennung kompromittierter Segmente, paralleler Aufbau einer sauberen Zielarchitektur aus Code und Images, wiederholte Restore-Tests, schrittweiser Umzug der erforderlichen Dienste auf die neue Plattform, planmässige Ablösung der alten.

Die aktuelle Erzählung klingt eher nach dem Gegenteil: eine Mischung aus Krisenstab, Einzelmassnahmen, punktuell beauftragten Dienstleistern, „Waschstrasse“ und vagen Zukunftsplänen. Genau hier klafft die Lücke zwischen theoretisch verfügbarem Methodenbaukasten und gelebter Praxis.

Struktur statt Sündenbock: Governance, Fehlanreize, Managementkultur

Eine naheliegende Versuchung besteht darin, in solchen Fällen einzelne Administratoren oder Abteilungsleitungen zu Zielscheiben zu machen. Das greift zu kurz und entlastet jene Ebenen, die die Verantwortung für Strukturen tragen.

Die offizielle Kommunikation des Museums und die mediale Aufbereitung zeichnen ein konsistentes Bild: Veraltete IT, fehlende Investitionsmittel, überforderte Strukturen, lange gewachsene Systeme, deren Erneuerung immer wieder verschoben wurde.

„Es fehlt das Geld für gute Lösungen“, lässt die WELT einen Wirtschaftsjournalisten sagen, und der Direktor des Museums beschreibt eindrücklich, wie der Angriff Karrieren zerstört habe, weil Promovierende und Postdocs ihre befristeten Projekte schlicht nicht weiterführen konnten.

Dieses Narrativ ist auf der menschlichen Ebene nachvollziehbar und verschiebt gleichzeitig die Betrachtung von strukturellen Entscheidungen hin zu einer Art „höhere Gewalt“. Man war Opfer, man hat kein Budget, man gibt sich Mühe. Der methodische Kern wird selten angesprochen: Dass man über Jahre eine wissenschaftliche Infrastruktur betrieben hat, die aus Sicht der Informatik grundlegende Prinzipien ignorierte.

Governance in solchen Einrichtungen hätte dafür sorgen müssen, dass CIA(AN), KGB, DIE, CAP und Idempotenz nicht bloss akademische Übungen sind, sondern als Prüfkriterien in Beschaffung, Projektsteuerung und Betrieb einfliessen. Stattdessen wirken diese Konzepte wie Fremdkörper, die erst nach dem Desaster aus der Schublade geholt werden, um eine „Zukunfts-IT“ zu zeichnen.

Fehlanreize spielen eine entscheidende Rolle. Solange Förderlogik und interne Leistungsmessung eher auf neue Projekte, Drittmitteleinwerbung und sichtbare Forschungsoutputs fokussieren als auf langweilige, aber grundlegende Infrastrukturhygiene, wird jeder IT-Leiter gezwungen, zwischen kurzfristigen Erfolgen und langfristiger Robustheit abzuwägen. In einem Umfeld, in dem Erfolg an Papers, Zitationen und Schlagzeilen gemessen wird, verliert derjenige, der hartnäckig auf unsichtbare Härtung und langweilige Backup-Proben besteht.

Managementkultur tut ihr übriges. Wer Informatik nicht als Wissenschaft mit harten Grenzen, sondern als Werkzeugkiste betrachtet, die man billig „outsourcen“ oder in die Hände eines unterbesetzten Teams legen kann, schafft Strukturen, in denen solche Desaster zwangsläufig eintreten. Dass Berlin sich parallel mit einer absurden Vielzahl von Katastrophenschutzbehörden brüstet, von denen ein Teil nicht einmal weiss, dass er verantwortlich ist, passt nur zu gut in dieses Bild einer politisch-verwaltungsmässigen Kulisse, hinter der faktisch wenig tragfähige Struktur existiert.²¹

Exemplarischer Fall oder Symptom eines systemischen Niedergangs?

Der Naturkundemuseum-Fall ist für mich kein isoliertes Einzelschicksal, sondern ein Datenpunkt in einem Muster, das sich immer deutlicher abzeichnet.

Eine hochentwickelte Industriegesellschaft leistet sich einen akademischen und institutionellen Überbau, der rhetorisch gern mit Begriffen wie „digitale Souveränität“ hantiert, praktisch aber nicht einmal in der Lage ist, die Basics einer robusten IT-Infrastruktur zu implementieren, die seit Jahrzehnten in RFCs, Büchern und Best Practices dokumentiert sind.

Die Begriffe, die ich im ersten Teil dieser Mini-Serie hergeleitet habe, sind ja keine esoterischen Hirngespinste. CIA(AN) ist Standardstoff jeder ernsthaften Ausbildung in Informationssicherheit. KGB lässt sich direkt aus etablierten Sicherheitsanforderungen für Kommunikationssysteme ableiten. DIE spiegelt Architekturprinzipien, die seit mehr als einer Dekade durch DevOps- und Cloud-Literatur geistern. CAP ist seit über 20 Jahren formalisiert. Idempotenz ist Basiswissen für ernsthafte Distributed-Systems-Entwicklung.

Und doch agiert eine renommierte Berliner Forschungseinrichtung 2023 so, als hätte es diese gesamte Entwicklung nie gegeben. Ein Active Directory als monolithischer Single-Point-of-Failure, Client-Landschaften, die man im Schadensfall manuell „waschen“ muss, Backups, die offensichtlich keine schnelle Wiederherstellung ermöglichen, eine Kommunikationsarchitektur, die bei einem Angriff in eine totale digitale Finsternis kippt, und ein Wiederaufbau, der sich über Jahre hinzieht.

Diese Diskrepanz ist für mich die eigentliche Diagnose. Sie lässt sich nicht mit „Pech“ erklären, auch nicht mit „besonders perfider Angriff“, sondern mit einer strukturellen Kluft zwischen verfügbarem Wissen und angewendeter Praxis.

Wer das als „Shithole Berlin“ bezeichnet, zielt weniger auf die Stadt als geographischen Ort als auf das, was sich dort exemplarisch manifestiert: eine politisch-kulturelle Konstellation, in der Slogans wichtiger sind als robuste Strukturen, in der digitale Souveränität im Fernsehen beschworen wird, während zentrale Institutionen auf IT-Niveau eines besseren Büroverbunds laufen, und in der das Erstaunen über Desaster gross ist, obwohl sie bei Lichte besehen unausweichlich waren.

Der Fall des Naturkundemuseums ist in diesem Sinn ein Brennglas. Er zeigt, was passiert, wenn man Rechnersysteme nur „betreibt“, anstatt Informatik als Wissenschaft mit Theoremen, Methoden und strengen Anforderungen zu begreifen und darauf aufbauend Architekturen, Prozesse und Governance zu konstruieren.

Wer solche Fälle einfach als „Einzelfall“ abtut, lernt nichts. Wer sie als Symptom eines tieferen Systemversagens liest, bekommt eine Ahnung davon, wie fragil das vielbeschworene „bunte Besteverland“ in Wahrheit ist.

---

1. https://www.welt.de/politik/deutschland/article6931abe3314590772f945ea4/naturkundemuseum-berlinl-wie-russen-hacker-per-brute-force-angriff-eine-berliner-institution-lahmlegen-auf-jahre.html ↩︎
2. https://www.tagesspiegel.de/berlin/hunderte-mitarbeitende-seit-funf-wochen-offline-cyberangriff-legt-berlins-naturkundemuseum-lahm-10825915.html ↩︎
3. https://www.museumfuernaturkunde.berlin/de/informationen-zum-cyberangriff-auf-das-museum-fuer-naturkunde-berlin ↩︎
4. https://www.welt.de/politik/deutschland/article6931abe3314590772f945ea4/naturkundemuseum-berlinl-wie-russen-hacker-per-brute-force-angriff-eine-berliner-institution-lahmlegen-auf-jahre.html ↩︎
5. https://www.danisch.de/blog/2025/12/07/in-berlin-herrscht-digitale-nacht-vom-gehackten-naturkundemuseum/ ↩︎
6. https://coresecret.eu/2025/12/08/vom-sicherheitsalphabet-cia-kgb-die-cap/ ↩︎
7. https://www.welt.de/politik/deutschland/article6931abe3314590772f945ea4/naturkundemuseum-berlinl-wie-russen-hacker-per-brute-force-angriff-eine-berliner-institution-lahmlegen-auf-jahre.html ↩︎
8. https://www.museumfuernaturkunde.berlin/de/aktuelle-informationen-zum-cyberangriff-auf-das-museum-fuer-naturkunde-berlin ↩︎
9. https://www.tagesspiegel.de/berlin/hacker-angriff-auf-berliner-naturkundemuseum-daten-von-mehr-als-37000-besuchern-gestohlen-11350303.html ↩︎
10. https://www.museumfuernaturkunde.berlin/de/museum/medien/news/aktualisierte-information-zum-stand-des-wiederaufbaus-der-it-infrastruktur ↩︎
11. https://www.welt.de/politik/deutschland/article6931abe3314590772f945ea4/naturkundemuseum-berlinl-wie-russen-hacker-per-brute-force-angriff-eine-berliner-institution-lahmlegen-auf-jahre.html ↩︎
12. https://www.tagesspiegel.de/berlin/hunderte-mitarbeitende-seit-funf-wochen-offline-cyberangriff-legt-berlins-naturkundemuseum-lahm-10825915.html ↩︎
13. https://www.welt.de/article6932eea8bdb9c3d5970e52d4 ↩︎
14. https://www.jaemacom.de/wp-content/uploads/2024/12/JAEMACOM_Referenz_Naturkundemuseum.pdf ↩︎
15. https://www.welt.de/politik/deutschland/article6931abe3314590772f945ea4/naturkundemuseum-berlinl-wie-russen-hacker-per-brute-force-angriff-eine-berliner-institution-lahmlegen-auf-jahre.html ↩︎
16. https://www.danisch.de/blog/2025/12/07/in-berlin-herrscht-digitale-nacht-vom-gehackten-naturkundemuseum/ ↩︎
17. https://www.museumfuernaturkunde.berlin/de/informationen-zum-cyberangriff-auf-das-museum-fuer-naturkunde-berlin ↩︎
18. https://www.museumfuernaturkunde.berlin/de/museum/medien/news/aktualisierte-information-zum-stand-des-wiederaufbaus-der-it-infrastruktur ↩︎
19. https://www.welt.de/wirtschaft/video693400d5074aff607681141f/seit-zwei-jahren-it-probleme-hackerangriff-auf-naturkundemuseum-es-fehlt-das-geld-fuer-gute-loesungen.html ↩︎
20. https://www.danisch.de/blog/2025/12/08/zum-handeln-nach-ransomware-und-anderen-malware-attacken/ ↩︎
21. https://www.danisch.de/blog/2025/12/03/stell-dir-vor-es-ist-berlin-und-keiner-kriegts-hin/ ↩︎

---