Am 11. Februar 2025 – nur einen Tag nachdem der Vorfall bemerkt worden war – haben wir öffentlich gemacht, dass die IT-Systeme der Deutschen Bischofskonferenz und seines Rechtsträgers, des Verbandes der Diözesen Deutschlands (VDD) Ziel eines externen Cyberangriffs geworden sind. Dank der schnellen, koordinierten Reaktion unserer IT-Experten konnten die Systeme zügig stabilisiert und abgesichert werden. Der Vorfall wurde umfassend analysiert – durch interne Fachleute wie auch unabhängige externe IT-Sicherheitsexperten.

Der Angriff betraf die Deutsche Bischofskonferenz bzw. den VDD insgesamt und richtete sich nicht gegen einzelne Organisationseinheiten oder bestimmte Datenbestände. Die Unabhängige Kommission für Anerkennungsleistungen (UKA) stand dabei nicht im Fokus der Angreifer. Die UKA ist eine organisatorisch an den VDD angebundene, jedoch unabhängige Kommission ohne eigene Rechtsträgerschaft. Die von der UKA und ihrer Geschäftsstelle verarbeiteten Daten sind ausschließlich für deren Mitarbeitende zugänglich. Auch sie unterliegen umfassenden technischen und organisatorischen Schutzmaßnahmen – einschließlich regelmäßiger Datensicherungen (Backups). Der Datenbestand der Geschäftsstelle der UKA wird demnächst wieder vollständig zur Verfügung stehen.

Die Untersuchungen haben ergeben, dass weder im Darknet noch auf sonstigen Kanälen vertrauliche oder personenbezogene Daten aus unserer Organisation aufgetaucht sind. Durch frühzeitige technische Schutzmaßnahmen und durch Einbindung externer Spezialisten konnte ein möglicher Schaden für die Persönlichkeitsrechte wirksam abgewendet werden.

Die Frage, ob eine Benachrichtigung betroffener Personen erforderlich ist, haben wir in jedem Stadium sorgfältig geprüft und standen dabei in engem Austausch mit der zuständigen Datenschutzaufsichtsbehörde. Da weder identifizierbare Personen betroffen noch konkrete Schäden entstanden oder zu erwarten waren, lagen die Voraussetzungen für eine Benachrichtigungspflicht zu keinem Zeitpunkt vor. Dennoch haben wir von Beginn an in allgemeiner Form proaktiv über den Vorfall informiert. Über unsere Internetseite sowie im direkten Austausch mit relevanten Personengruppen – darunter dem Betroffenenbeirat und der UKA – haben wir fortlaufend und soweit es ermittlungstaktisch vertretbar war, über den Stand der Dinge berichtet.

Am 7. März 2025 wurde zudem ein spezielles Servicetelefon eingerichtet – insbesondere für Betroffene sexualisierter Gewalt, die einen Antrag bei der UKA gestellt haben. Das Angebot wurde bislang in geringem Umfang genutzt.

Der Schutz sensibler Daten und die Stabilität unserer Systeme haben für die Deutsche Bischofskonferenz und den VDD höchste Priorität. Aus dem Cyberangriff haben wir wichtige Lehren gezogen, die bereits in die Weiterentwicklung und nachhaltige Stärkung unserer IT-Sicherheitsarchitektur eingeflossen sind. Der unmittelbare Vorfall liegt hinter uns – die eingeleiteten technischen und organisatorischen Verbesserungen werden weiterhin mit Nachdruck umgesetzt.

Bonn, den 30. April 2025

Weitere Informationen:

• Aktuelle Meldung vom 27. Februar 2025
• Aktuelle Meldung vom 11. Februar 2025

Wenn Sie Fragen haben, wenden Sie sich bitte an die Servicestelle unter Tel. 0228 – 763749421 oder per E-Mail an: servicestelle(at)dbk.de Montag, Mittwoch und Freitag jeweils von 9 bis 12 Uhr und von 13 bis 17 Uhr.

Die temporär eingerichtete Servicestelle für Fragen im Zusammenhang mit dem Cyberangriff wird am 23. Mai 2025 nach 17 Uhr aufgrund der Stabilisierung der Situation eingestellt. Der akute Vorfall ist abgeschlossen – die eingeleiteten technischen und organisatorischen Verbesserungen werden konsequent umgesetzt.
Die Servicestelle ist weiterhin per E-Mail unter servicestelle(at)dbkdbk.dbkde erreichbar.