Kriminalität - Siegen:Nach Cyberangriff: Keine Einwohner-Daten erbeutet

Kriminalität - Siegen: Buchstaben und Zahlen leuchten auf einem Bildschirm, auf dem ein Hacker-Programm geöffnet ist. Foto: Sina Schuldt/dpa/Archivbild
Buchstaben und Zahlen leuchten auf einem Bildschirm, auf dem ein Hacker-Programm geöffnet ist. Foto: Sina Schuldt/dpa/Archivbild (Foto: dpa)

Direkt aus dem dpa-Newskanal

Hemer (dpa/lnw) - Bei dem Cyberangriff auf den Dienstleister Südwestfalen-IT mit mehr als 70 betroffenen Kommunen in NRW vor drei Monaten haben Hacker keine Daten von Bürgerinnen und Bürgern erbeutet. Das sagte ein SIT-Unternehmenssprecher am Freitag, nachdem am Vorabend externe Cyber-Security-Experten ihren Abschlussbericht zu der Attacke einer Hackergruppe vorgelegt hatten. Persönliche Daten von Einwohnern der betroffenen Städte, Kreise und Gemeinden seien nicht abgeflossen, betonte der Sprecher von Südwestfalen-IT in Hemer.

Die Kriminellen hätten zwar in das SIT-Netz eindringen können, das schnelle Notabschalten in der Nacht zum 30. Oktober habe aber verhindert, dass der sogenannte Ransomware-Angriff auf andere Systeme überspringen konnte. Es sei somit auch nicht zu einer Attacke auf kommunale Systeme gekommen, erläuterte SIT-Sprecher Marcus Ewald.

Welche Auswirkungen zeigen sich vor Ort?

Alle Clients und Server, die sich in den Kommunen befanden, habe man untersucht - sie seien nicht infiziert gewesen, sagte der SIT-Sprecher der Deutschen Presse-Agentur. Trotzdem: Aus Sicherheitsgründen mussten vor Ort dennoch Geräte ausgetauscht werden. Alles sei neu zu installieren, was viel Zeit brauche und hohen Aufwand bedeute.

Die Dienstleistungen der gut 70 Kommunen mit insgesamt rund 1,7 Millionen Bürgerinnen und Bürgern waren Ende Oktober praktisch lahmgelegt worden oder stark eingeschränkt - unterschiedlich in Art und Ausmaß. Vor Ort werden die Beeinträchtigungen seitdem mit großer Mühe und über zahlreiche Notlösungen möglichst abgefedert.

Tathergang und SIT-Reaktion

Der abschließende Bericht externer Experten kommt zu dem Ergebnis, dass es keinen Datenabfluss gab. Das schnelle Notabschalten der Rechner habe den Angriff eingedämmt. Backups seien nicht betroffen, so dass SIT alle Daten Schritt für Schritt wiederherstellen könne.

Die Hacker konnten laut Bericht die VPN-Lösung - eigentlich gedacht als sicherer Tunnel ins interne Netzwerk - überwinden sowie weitere Hürden umgehen. Wie sie die für ihr Eindringen nötigen Zugangsdaten abgriffen, konnten die Security-Experten nicht abschließend aufklären. Die Angreifer brachten dann eine Ransomware-Schadsoftware aus. Die ermittelnde zentrale Cybercrime-Einheit ZAC NRW bei der Kölner Staatsanwaltschaft vermutet eine Gruppe namens "Akira" hinter der Cyberattacke.

Ransom-Angriffe zielen in der Regel darauf ab, Lösegeld zu erzwingen. Die Kriminellen verschlüsseln Daten und bieten gegen Lösegeld an, sie wieder verfügbar zu machen. SIT hatte aber Backups erstellt - mit dem aktuellstem Stand, nämlich einen Tag vor der Attacke. Und diese Daten könne SIT wiederherstellen, denn die Backups seien unbeschadet geblieben, erklärte Marcus Ewald. Es habe keinen Kontakt zu den Kriminellen gegeben.

Mehrere Schritte sollen voranbringen

Alle Sicherheitslücken sind nach SIT-Angaben beim Wiederanlaufen geschlossen worden. "Höchste Priorität haben weiterhin die zügige Wiederherstellung und der sichere Wiederaufbau der Systeme für operative Betriebsfunktionen", betonte SIT-Verbandsvorsteher Theo Melcher in einer Mitteilung vom Donnerstagabend. Der "kriminelle, professionell ausgeführte Ransomware-Angriff" habe beträchtliche Auswirkungen sowohl auf SIT, die Kunden und die Bürgerinnen und Bürger.

Der forensische Bericht stelle Maßnahmen vor, mit denen die IT-Infrastruktur widerstandsfähiger gegen Angriffe werden soll. Am 1. Februar soll Mirco Pinske neu als Geschäftsführer antreten. Seine wichtigsten Aufgaben: Den Vorfall aufarbeiten und Konsequenzen ziehen.

Wie geht es technisch weiter in Richtung Normalbetrieb?

Für einen Normalbetrieb braucht es noch einige Zeit. Eine größere Welle läuft aktuell, eine zweite wird gerade vorbereitet. In der ersten Welle mit priorisierten Fachverfahren etwa aus Bereichen wie Melde-, Sozial- und Kfz-Wesen soll es zum Ende des ersten Quartals wieder im Normalbetrieb laufen. Ein zuvor zunächst eingeschränkter Basisbetrieb war stellenweise Anfang Januar wieder gestartet - vielerorts können damit wieder Personalausweise oder Reisepässe wieder ausgestellt oder Ummeldungen vorgenommen werden.

Eine zweite Welle soll Sprecher Ewald zufolge vor allem Finanzverfahren umfassen. Bestimmte Verwaltungsakte wie Wohngeldzahlungen, Steuereinzug oder Strafzettel-Ausstellungen würden dann wieder Schritt für Schritt im Normalverfahren ermöglicht.

© dpa-infocom, dpa:240125-99-753637/5

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: