Thought Leadership
Der kommunale IT-Dienstleister Südwestfalen-IT (SIT) hat nach dem schwerwiegenden Hackerangriff im vergangenen Jahr personelle Konsequenzen gezogen. Wie nun bekannt wurde, wurde einem ehemaligen Geschäftsführer gekündigt, der noch weiterhin Bezüge erhielt. Weitere Mitarbeiter sehen sich Disziplinarmaßnahmen gegenüber.
Die Personalentscheidungen wurden in einer Betriebsversammlung verkündet, wie die Westfalenpost berichtet. Nach Recherchen der Zeitung sind zwei ehemalige Geschäftsführer betroffen. Einer der Manager war seit März 2022 nicht mehr in der aktiven Geschäftsführung tätig, bezog aber weiterhin sein volles Gehalt für Gremienarbeit. Der zweite Geschäftsführer verließ das Unternehmen erst einen Monat vor dem Hackerangriff. Beiden wird in einem Compliance-Bericht der Anwaltskanzlei CMS vorgeworfen, elementare Sicherheitsvorkehrungen vernachlässigt zu haben. Die Namen der Betroffenen wurden nicht öffentlich gemacht.
Desaströse Sicherheitslage unter alter Führung
Die Versäumnisse der Führungsebene wiegen schwer. Nach dem Mega-Hack wurde bekannt, dass grundlegende Sicherheitsstandards missachtet worden. Die Prozesse für Security-Updates liefen unkoordiniert, Zuständigkeiten für IT-Sicherheit blieben im Unklaren. Besonders fatal: Selbst simple Passwortrichtlinien wurden nicht durchgesetzt, eine Zwei-Faktor-Authentifizierung fehlte komplett. Diese Nachlässigkeiten öffneten Cyberkriminellen Tür und Tor: “Die Compliance-Untersuchung kommt zu dem Schluss, dass beispielsweise Prozesse im Zusammenhang mit Sicherheits-Updates nicht ausreichend formalisiert waren, Zuständigkeiten im Bereich der IT-Sicherheit sowie des Informationsaustauschs zwischen Gremien des Zweckverbands teils nicht ausreichend strukturiert waren und Passwortrichtlinien nicht genügend organisiert waren. Dies ist teilweise auch auf organisatorische Mängel und Versäumnisse bestimmter verantwortlicher Personen zurückzuführen”, teilte die Südwestfalen-IT auf Westfalenpost-Anfrage mit.
Der durch das Managementversagen begünstigte Schaden ist erheblich: Mindestens 2,8 Millionen Euro Mehrkosten sind bereits aufgelaufen. Weitere sechsstellige Investitionen in die IT-Sicherheit werden folgen – finanziert durch höhere Umlagen der betroffenen Kommunen. Trotz der massiven Versäumnisse wurde den Ex-Führungskräften keine grobe Fahrlässigkeit nachgewiesen, weshalb Schadenersatzforderungen nicht geplant sind.
Radikaler Umbau nach Führungschaos
Die SIT zieht nun Konsequenzen aus dem Desaster. Neben den personellen Maßnahmen steht eine komplette Neuordnung der Führungsstrukturen an. Die bisherige Organisationsform mit einer aufgeblähten 119-köpfigen Verbandsversammlung und einem von Politikern statt IT-Experten dominierten Vorstand wird reformiert. Künftig sollen klare Verantwortlichkeiten, gestraffte Entscheidungswege und professionellere Führungsstrukturen weitere Sicherheitspannen verhindern.
