So schützen Ehrenamtliche den Papst vor Hackern und Cyberangriffen
Die Schweizergarde und das Gendarmeriecorps schützen den Papst und den Vatikan gegen klassische Angreifer. Aber bei der Cybersicherheit fehlt es an Kompetenz – wirklich zuständig ist im Kirchenstaat niemand für die Abwehr von Hackern. Dabei ist die Gefahr groß: Nicht nur einmal haben unterschiedliche Hackergruppen mit mehr oder weniger Erfolg den Vatikan angegriffen. Um die Kirche gegen solche Gefahren zu schützen, hat sich eine Gruppe von professionellen Cybersicherheitsexperten zusammengetan, um Gefahren frühzeitig zu erkennen und die Techniker im Vatikan dabei zu unterstützen, sich gegen Angriffe auf die Systeme zu wappnen – und das alles ehrenamtlich: Der niederländische IT-Sicherheitsexperte Joseph Shenouda hat 2022 die "Vatican Cyber Volunteers" gegründet. Im Interview mit katholisch.de erklärt er, warum der Vatikan so schlecht aufgestellt ist gegen moderne Bedrohungen – und wie sich das ändern ließe.
Frage: Im weltweiten Cybersecurity-Index ist der Vatikan in der schlechtesten Kategorie, zusammen mit Ländern wie Afghanistan und Jemen. Warum ist die Cybersicherheit im Vatikan so schlecht?
Joseph Shenouda: Im Bereich der Cybersicherheit herrscht ein hohes Tempo. Im Vatikan nicht. Dazu kommt, dass der Vatikan vieles auf einmal ist und vieles dort zusammenkommt: Da ist der Staat der Vatikanstadt, die Kurie, das weltweite diplomatische Netzwerk der Kirche läuft hier zusammen, es gibt die Vatikanbank, es werden Spenden für die Kirche gesammelt. Das ist alles irgendwie irgendwann von jemandem ins Netz gebracht worden, und niemand ist zentral für die Sicherheit zuständig – es gibt keinen "Chief Information Security Officer" (CISO) im Vatikan.
2020 hat der niederländische IT-Sicherheits-Experte Joseph Shenouda die "Vatican Cyber Volunteers" gegründet. Mittlerweile engagieren sich über 90 Expertinnen und Experten weltweit ehrenamtlich für die Cybersicherheit des Vatikans.
Frage: Und die Risiken sind nicht nur theoretisch. Es gab schon einige Angriffe auf den Vatikan. Wie hat man darauf reagiert?
Shenouda: Gar nicht. Dabei hat das schon 2012 angefangen, als Radio Vatikan und die ganze Vatikan-Webseite gehackt wurde. 2020 gab es die chinesischen Angriffe auf Mailserver. 2022 gab es DDOS-Angriffe, also der Versuch, mit massenhaften Zugriffen die Infrastruktur lahmzulegen, nachdem Papst Franziskus sich kritisch zum Angriff Russlands auf die Ukraine geäußert hatte. Wir haben auch schon festgestellt, dass um den Vatikan herum WLAN-Zugriffspunkte installiert wurden, um Vatikanmitarbeiter zu täuschen: Die loggen sich dann in ein Netz ein und denken, sie seien im Vatikan-Netz, tatsächlich sind sie aber in einem Netz der Angreifer, die dann alles mitlesen können. 2024 kam dann der Cybersicherheits-Index heraus – und der Vatikan ist in der schlechtesten Kategorie gelandet.
Frage: Ansonsten ist der Vatikan eigentlich gut aufgestellt: Es gibt das Gendarmeriecorps und die Schweizer Garde. Machen die gar nichts gegen Cyber-Gefahren?
Shenouda: Dazu fehlt ihnen die Ausstattung. Der Fokus ist auf der physischen Sicherheit. Mit Kameras und Sicherheitsleuten decken sie solche Gefahren auch sehr gut ab. Aber auf der unsichtbaren Front der Cyber-Bedrohungen sind sie blank. Der aktuelle Sicherheitschef, Gianluca Gauzzi Broccoletti, ist zwar ein Experte für Cybersicherheit – aber in seiner aktuellen Aufgabe ist er nur für die physische Sicherheit verantwortlich. Weder er noch seine Leute haben dafür Ressourcen. Deshalb sind wir dann auf den Plan getreten.
Frage: Aber komplett von außen!
Shenouda: Genau. Wir haben dadurch zwar nicht den Blick von Innen. Aber das bedeutet auch: Wir sehen das, was die Hacker sehen. Wir sehen dieselben Schwachstellen – aber wir nutzen sie nicht zum Angriff. Wir dokumentieren, was wir finden, und kümmern uns darum, dass die IT-Abteilung des Vatikans weiß, was es braucht, um die Lücken zu schließen. Wir machen all das, was eigentlich eine IT-Sicherheitsabteilung unter einem guten CISO leisten müsste. Und solange es die nicht gibt, helfen wir als Freiwillige.
Frage: Was können Sie von außen überhaupt machen?
Shenouda: Wir überprüfen beispielsweise alle Schnittstellen zwischen den Vatikan-Systemen und der Außenwelt – also genau das, was auch Angreifer sehen können. Damit kann man schon einige Gefahren identifizieren: veraltete, unsichere Software, versehentlich offengelegte Server zum Beispiel. Aber wir machen noch mehr: "Threat Intelligence", also die Analyse von Gefahrenlagen. Wir haben im Blick, was gerade in der Welt passiert: Welche Schadsoftware unterwegs ist, welche Gruppen aktiv sind, welche Datenlecks – womöglich mit Zugangsdaten für Vatikan-Systeme – gerade auf dem Markt sind. Wir beobachten auch das "Dark Web", also Bereiche im Internet, die nicht direkt zugänglich sind. Im Idealfall bemerken wir dadurch Gefahren schon, bevor sie akut werden.
Frage: Wie ist die aktuelle Gefahrenlage? Was ist derzeit die größte Bedrohung für den Vatikan?
Shenouda: Mit dem neuen Papst haben wir ein ganz neues Bedrohungslevel. Sobald er gewählt war, ist die Zahl der Angriffe gestiegen. Es gab etwa einen deutlichen Anstieg bei den Phishing-Attacken, also beim Versuch, Zugangsdaten auszuspähen. Wir bemerken auch einen Anstieg bei ideologisch motivierten Angriffen – sowohl von religiösen Gruppen wie von staatsnahen Akteuren. Wir sind also gerade sehr wachsam.
Frage: Und hört auch jemand im Vatikan auf Ihre Warnungen? Haben Sie Kontakte?
Shenouda: Ja, von Anfang an haben wir Kontakte in den Vatikan aufgebaut. Wir hatten zunächst durch einen Priester in unserer Organisation, der viele Leute in Rom kennt, die Möglichkeit, Informationen weiterzugeben. Mittlerweile sind wir auch direkt im Kontakt mit dem Kommunikationsdikasterium. Damit können wir unsere Warnungen und unsere Lösungsvorschläge direkt einbringen. Das ist besser als vorher, aber es genügt nicht. Der Vatikan braucht dringend einen CISO.
Frage: Werden Sie mit dieser Forderung gehört?
Shenouda: Wir haben unsere Argumente und einen Plan, wie man eine professionelle IT-Sicherheit aufbauen kann, in einer 60-seitigen Handreichung detailliert formuliert: Wie bewertet man Risiken? Welche Risiken gibt es überhaupt? Welche Prozesse und Strukturen braucht es, um neue Systeme von Anfang an sicher zu planen?
Die Räume der Vatikanbank IOR liegen auf fünf Etagen im festungsartigen Turm St. Niccolo V. direkt unterhalb des Apostolischen Palastes. Für Cyberkriminelle sind die Systeme der Vatikanbank ein attraktives Ziel.
Frage: Das klingt teuer – und der Vatikan hat gerade Geldprobleme. Kann der Vatikan sich eine Cybersicherheitsabteilung leisten?
Shenouda: Kann er es sich leisten, keine zu haben? Ich denke auch nicht, dass der Vatikan Marktpreise zahlen müsste. Uns ist es gelungen, gute Verträge mit Anbietern abzuschließen, viele würden auch auf Spendenbasis arbeiten, wenn sie dafür sagen könnten, dass sie mit dem Vatikan zusammenarbeiten. Das größte Hindernis ist nicht das Geld, sondern die grundsätzliche Entscheidung: Es braucht das klare Bekenntnis dazu, Cybersicherheit strukturell ernstzunehmen. Cybersicherheit muss auf derselben Ebene wie die physische Sicherheit angesiedelt sein.
Frage: Sie haben jetzt schon viele IT-Sicherheits-Experten zusammengebracht, die sich in ihrer Freizeit engagieren. Was sind das für Leute?
Shenouda: Wir kommen aus der ganzen Welt – Polen, Kanada, USA, Italien,Das sind Leute aus allen Bereichen der Cybersicherheit. Männer und Frauen, Katholiken und Nichtkatholiken.
Frage: Und sie selbst?
Shenouda: Ich komme aus den Niederlanden und mache seit über 20 Jahren Cybersicherheit. Meine Firma berät weltweit Kunden aus allen Bereichen der Wirtschaft. Wir analysieren Schwachstellen, wir reagieren auf Sicherheitsvorfälle und entwickeln Strategien zur Verteidigung gegen Cybergefahren.
Frage: Und warum engagieren Sie sich für die Kirche?
Shenouda: Ich bin Kopte. Meine Familie lebt in Amsterdam, da hatten wir keine koptische Kirche, so dass ich in den ersten Lebensjahren in der katholischen Kirche groß geworden bin. Ich war bei Klarissen in der Schule. Erst als ich sieben, acht Jahre alt war, gab es eine koptische Gemeinde in Amsterdam. Da wurde ich später dann auch Diakon. Aber zuerst hatte ich nichts anderes als die katholische Kirche gekannt. Bis heute schätze ich die Gottesdienste in der katholischen Kirche. Ich bin gewissermaßen in beide Kirchen hineingeboren. Die koptische Kirche ist die Kirche meiner Herkunft und ist sehr gut darin, die ägyptische Kultur und Tradition meiner Familie zu bewahren. Aber in der katholischen Kirche habe ich immer eine Spiritualität gefunden, die mir dabei geholfen hat, näher zu Gott zu kommen. An der katholischen Kirche schätze ich, dass sie eine Weltkirche ist – die koptische Kirche ist sehr stark auf Ägypten und die ägyptische Diaspora konzentriert. Ich habe mich auch schon immer in der katholischen Kirche engagiert. Den Klarissen habe ich etwa bei IT-Projekten geholfen, bei der Einrichtung von Webseiten. Das Engagement für die katholische Kirche zieht sich wie ein roter Faden durch mein Leben, obwohl ich Kopte bin.
Frage: Und wenn der Papst Sie fragen würde, ob Sie Chief Information Security Officer des Vatikans werden wollen – würden Sie zusagen?
Shenouda: Ja, natürlich. Ich habe jetzt schon einen guten Überblick über die Systeme und Risiken. Aber ich sehe das ganz realistisch: Der CISO muss Italienisch sprechen. Das könnte ich wahrscheinlich mehr oder weniger schnell lernen, aber es braucht jemanden, der gleich mit allen sprechen kann – es gibt so viele Baustellen, um die man sich sofort kümmern muss. Das ist eine Aufgabe, die besser jemand übernimmt, der jetzt schon im Vatikan oder im Umfeld des Vatikans tätig ist, und der sich sofort komplett darum kümmern kann. Wenn ich dann dabei helfen kann: Sehr gern!
