Vor drei Monaten schreckte eine Attacke auf den kommunalen IT-Anbieter Südwestfalen-IT auf. Laut Experten-Bericht konnten die Hacker aber keine Daten-Beute machen. Die mehr als 70 betroffenen Kommunen dürften bei aller Belastung auch ein wenig aufatmen.
Bei dem Cyberangriff auf den Dienstleister Südwestfalen-IT mit mehr als 70 betroffenen Kommunen in NRW haben die Hacker vor rund drei Monaten keine Daten stehlen können. Das geht aus dem abschließenden Forensikbericht externer Cyber-Security-Experten hervor. Es sei nicht zu einem Datenabfluss gekommen sei, teilte der Dienstleister SIT mit. Das schnelle Notabschalten der Rechner habe den Angriff eindämmen können. Backups seien nicht betroffen, so dass es möglich sei, alle Daten Schritt für Schritt wieder herzustellen.
Alle Sicherheitslücken seien beim Wiederanlaufen geschlossen worden. Dennoch gehe es nun darum, in Zukunft mit allen verfügbaren Mitteln einen Vorfall solchen Ausmaßes bestmöglich auszuschließen, betonte Theo Melcher, Verbandsvorsteher der SIT.
Die Hacker konnten dem Bericht zufolge die VPN-Lösung – eigentlich gedacht als sicherer Tunnel ins interne Netzwerk – überwinden sowie weitere Hürden umgehen. Wie sie die für ihr Eindringen nötigen Zugangsdaten abgriffen, konnten die Cybersecurity-Experten jedoch nicht abschließend aufklären, hieß es.
Akira hinter Attacke vermutet
Die Hackergruppe namens «Akira», die Ermittler hinter der Cyberattacke vermuten, brachte dann eine Ransomware-Schadsoftware aus. Solche Erpressungstrojaner zielen in der Regel darauf ab, Lösegeld zu erzwingen, nach dessen Zahlung Daten wieder freigegeben werden. Im Fall der Südwestfalen-IT kam es aber nicht zu einem Datendiebstahl, es gab auch keinen Kontakt zu den Kriminellen. An diesem Freitag (11.00 Uhr) will SIT über Details aus dem Bericht informieren.
Die Dienstleistungen von mehr als 70 Kommunen mit insgesamt rund 1,7 Millionen Bürgerinnen und Bürgern waren infolge der Attacke praktisch lahmgelegt worden oder erheblich eingeschränkt – unterschiedlich in Art und Ausmaß. Die Städte, Gemeinden und Kreise hatten mit hohem Aufwand zahlreiche Notlösungen an den Start gebracht, um die Beeinträchtigungen abzufedern.
Der forensische Bericht stellt auch Sicherheitsmaßnahmen vor, mit denen die IT-Infrastruktur von SIT widerstandsfähiger gegen Angriffe werden soll. Am 1. Februar soll dort Mirko Pinske neu als Geschäftsführer antreten. Zu seinen vordringlichsten Aufgaben gehört es laut Mitteilung, den Vorfall aufzuarbeiten und Konsequenzen zu ziehen. Es sei geplant, die ersten wesentlichen Fachverfahren bis Ende März dieses Jahres wieder in den Normalbetrieb zu überführen.
SIT hat Sicherheitslücken eigenen Angaben zufolge inzwischen geschlossen und arbeitet am Wiederaufbau. Ein Basisbetrieb für priorisierte Verfahren in Bereichen wie Standesamt, Finanz-, Sozial-, Melde- und Kraftfahrzeugwesen war Anfang Januar als erstes wieder angelaufen. Vielerorts können damit etwa Personalausweise oder Reisepässe wieder ausgestellt oder Ummeldungen vorgenommen werden. Vorbereitungen für eine zweite Welle laufen bei SIT aktuell.
dpa