Fahnen wehen vor dem Gebäude von Südwestfalen-IT im Wind., © Bernd Thissen/dpa

Fortschritte nach Cyberangriff gegen kommunalen IT-Anbieter

Rund fünf Monate nach der folgenschweren Cyberattacke auf den kommunalen Anbieter Südwestfalen-IT sind nach Unternehmensangaben weitere Schritte in Richtung Normalbetrieb erfolgt. Wie geplant habe man zum Ende des ersten Quartals eine erste größere Welle mit priorisierten Fachverfahren etwa aus den Bereichen Melde-, Sozial- und Kfz-Wesen abgeschlossen, berichtete SIT-Sprecher Marc Ewald. Damit könnten vielerorts beispielsweise wieder Personalausweise und Reisepässe ausgestellt oder Ummeldungen vorgenommen werden.

Das IT-Unternehmen war Ziel eines kriminellen Angriffs gewesen, der in der Nacht zum 30. Oktober entdeckt worden war. SIT hatte sofort sämtliche Systeme abgeschaltet. Als Folge der schweren Attacke waren Bürgerservices von mehr als 70 Kommunen mit insgesamt rund 1,7 Millionen Einwohnern stark eingeschränkt oder vorübergehend fast vollständig lahmgelegt – mit teilweise großen Unterschieden bei Art und Ausmaß der Betroffenheit. Noch immer stockt es. Mancherorts bestehen weiter größere Hemmnisse und Beschränkungen, muss mit Behelfslösungen – Notfall-Homepages, mehr Papierdokumenten, telefonischen und persönlichen Kontaktwege statt digitalen Verfahren – gearbeitet werden.

«Wir erwarten, dass der Wiederaufbau noch bis Herbst 2024 andauern wird», sagte der Unternehmenssprecher der Deutschen Presse-Agentur. Aktuell sei eine zweite Welle angelaufen. Diese soll vor allem Finanzverfahren umfassen, um also Schritt für Schritt bestimmte Verwaltungsakte wie Steuereinzug, Wohngeldzahlungen oder Strafzettel-Ausstellungen in den Kommunen wieder zu ermöglichen.

Cyber-Security-Experten waren in ihrem forensischen Abschlussbericht zu dem Ergebnis gekommen, dass keine persönlichen Daten von Einwohner der betroffenen Städte, Kreise und Gemeinden abgeflossen waren, die Hacker also keine Beute machen konnten. SIT hatte nach eigenen Angaben zudem Backups erstellt – diese unbeschadet gebliebenen Daten können demnach wiederherstellt werden. Alle Sicherheitslücken seien beim Wiederanlaufen geschlossen worden. Die Fehleranalyse sei mit dem forensischen Bericht abgeschlossen. «Die Erkenntnisse und Aufgaben aus dem Bericht wurden bei der Wiederherstellung umgesetzt», erläuterte der Sprecher.

Eine zügige Wiederherstellung und ein «sicherer Wiederaufbau der Systeme für operative Betriebsfunktionen» hätten oberste Priorität, hatte SIT-Verbandsvorsteher Theo Melcher drei Monate nach dem Angriff betont. Zum 1. Februar war Mirco Pinske neu als Geschäftsführer angetreten, um den Vorfall aufzuarbeiten und Konsequenzen zu ziehen. Er stehe im ständigen Austausch mit allen wichtigen Ansprechpartnern, schilderte Ewald.

Die Hacker hatten eine Erpresser-Software eingesetzt und waren auf Lösegeld aus, das sie aber nie erhielten. Der Kölner Staatsanwalt Christoph Hebbecker von der zentralen Cybercrime-Einheit ZAC NRW sagte auf dpa-Anfrage, das Ermittlungsverfahren sei sehr aufwendig und komplex. Eine Gruppierung namens Akira habe den Angriff für sich «in Anspruch genommen, berichtete er, ohne Details zu nennen. Wer hinter der Gruppierung steht und ob diese tatsächlich für die Attacke verantwortlich ist, wurde zunächst nicht mitgeteilt. Laut Bundesamt für Sicherheit in der Informationstechnik sind Kommunen und kommunalen Unternehmen häufig Ziel von Cyberangriffen.

Quelle: dpa