Witten. Der Hackerangriff auf Witten war eine Katastrophe. Der Kämmerer schildert die ersten Stunden und Tage danach – und was sich seither getan hat.

Genau ein Jahr ist es nun her, dass die Stadt Witten einem Hackerangriff zum Opfer fiel. Mehrere Monate hat es gedauert, bis alle Systeme wieder stabil liefen – und noch immer sind nicht alle Folgen überwunden. Kämmerer Matthias Kleinschmidt erklärt im Interview, woran es noch hapert, was sich verbessert hat und warum der Angriff für ihn die beruflich größte Katastrophe war.

Herr Kleinschmidt, wie war das an diesem Sonntag vor einem Jahr? Wie haben Sie von dem Angriff erfahren?

Am Sonntagmittag hat mich IT-Chef Andreas Hasenberg angerufen. Da wusste ich gleich, dass etwas passiert sein muss. Nichts ging mehr – und es war schon klar, dass ein Hackerangriff die Ursache sein muss. Denn die Server waren verschlüsselt und die Hacker hatten überall ihren „Gruß“ hinterlassen. Aber die Tragweite des Angriffs, die war uns allen zu dem Zeitpunkt noch nicht bewusst.

Alle Systeme laufen wieder stabil, auch die Homepage der Stadt Witten ist erreichbar. Aber der Umbau der IT-Infrastruktur ist noch nicht abgeschlossen.
Alle Systeme laufen wieder stabil, auch die Homepage der Stadt Witten ist erreichbar. Aber der Umbau der IT-Infrastruktur ist noch nicht abgeschlossen. © FUNKE Foto Services | Alexa Kuszlik

Was haben Sie dann als Erstes getan?

Ich habe reflexartig reagiert, nach den üblichen Strukturen im Katastrophenschutz. Wir haben LKA und Polizei informiert, uns mit der Feuerwehr getroffen. Die ersten Stunden galten der Beweissicherung und der Aufklärung: Was ist passiert? Was können wir tun? Und dann haben wir versucht, die wichtigsten Kommunikationswege in Gang zu bringen – und das ist uns auch innerhalb weniger Stunden gelungen.

Wie das, Rechner und Telefone waren doch vom Netz?

Mit privaten E-Mails und Handys. Das war ein bisschen wie bei einer Telefonkette in der Schule – der eine hat dem nächsten Bescheid gesagt. Und wir haben fast alle erreicht. Ich glaube, nur eine Kollegin hat am Montag nichtsahnend vor verschlossenen Türen gestanden.

Als dann am Nachmittag klar war, dass die Sache nicht in ein paar Tagen ausgestanden sein wird, haben Sie da Panik bekommen?

Dazu hatte ich gar keine Zeit. Wir haben unter Hochdruck gearbeitet. Erst nach zwei, drei Tagen, als mir die Tragweite bewusst wurde, das Ausmaß der Schäden und wie viele Mitarbeiter und Bürger davon betroffen sein werden, da bin ich schwer ins Grübeln gekommen: Hast du vorher genug getan? Waren wir gut genug aufgestellt? Ich muss sagen, als Kämmerer bin ich den Umgang mit Krisen gewohnt. Aber diese hat alles getoppt. Für mich war es beruflich die größte Katastrophe, die je passiert ist.

Nichts ging mehr: Alle Systeme im Wittener Rathaus und den anderen Verwaltungsstellen waren komplett lahmgelegt worden.
Nichts ging mehr: Alle Systeme im Wittener Rathaus und den anderen Verwaltungsstellen waren komplett lahmgelegt worden. © FUNKE Foto Services | Jürgen Theobald

Zu welcher Antwort sind Sie gekommen? Waren Sie gut genug aufgestellt?

Im Nachgang betrachtet muss ich natürlich sagen: Nein. Genauso wenig wie Schwerin, Bitterfeld oder der Bundestag, denen ja Ähnliches passiert ist. Jetzt sind wir besser gerüstet. Aber dennoch würde ich nicht ausschließen, dass es wieder passieren könnte, wenn jemand mit viel krimineller Energie angreifen würde. Wenn der Bundestag nicht standhalten kann, dann will ich nicht behaupten, dass Witten es könnte.

Aber was haben Sie gemacht, um nun besser gerüstet zu sein?

Das kann und will ich nicht alles verraten. Aber wir haben unsere Firewall, also das Sicherungssystem, verstärkt. Etwa so wie bei einem Schiff: Wir haben jetzt eine doppelte Außenwand und innen viele kleine Schotten, die wir dichtmachen können. Das ist technisch alles hochkomplex, jedes Gerät, jeder Anschluss muss neu definiert werden. Das dauert. Und das bedeutet: Die unmittelbaren Folgen des Angriffs sind zwar überwunden, aber am Umbau der Infrastruktur sind wir noch dran.

Die Folgen sind überwunden? Aber man hört doch immer noch von Telefonaussetzern, Problemen mit dem Internet und dem Kita-Plan, dem Stau bei Bauanträgen. . .

Also die Telefonprobleme sind endlich passé, wir haben das System kürzlich umgestellt. Aber beim Internet sind in der Tat immer noch nicht alle Seiten offen, jede einzelne muss von der IT freigeschaltet werden – selbst wenn es die vom Ministerium ist. Da waren wir vielleicht übervorsichtig. Aber so lange wir die Firewall aufbauen, macht es keinen Sinn, schon wieder Sicherheitslücken zu haben. Wenn sie endgültig steht, dann wird das Netz auch wieder frei zugänglich sein.

Und der Rest?

Ja, der Kita-Plan war dieses Jahr noch nicht am Start. Auch da mussten wir vorsichtig sein, weil es da Kontakt von außen gibt – und damit potenziell ein Einfallstor für Böses. Bei den Bauanträgen gab es vorher schon Verzögerungen, dann ging zwei Monate gar nichts – und ja, da ist jetzt noch ein Berg.

Können Sie beziffern, wie teuer der Hackerangriff die Stadt insgesamt zu stehen kommen wird?

Etwa eine halbe Million Euro hat die reine Schadensbeseitigung gekostet, die neue Hardware, die externen IT-ler. Dazu kommt noch der Umbau der Sicherheitsinfrastruktur, aber da hätten wir ja sowieso ran gemusst – nur nicht so schnell.

Pressetermin am 18. Oktober 2021, dem Tag nach dem Angriff: Kämmerer Matthias Kleinschmidt, Bürgermeister Lars König und IT-Chef Andreas Hasenberg informierten die Öffentlichkeit – trotz anfänglicher Bedenken der Polizei.
Pressetermin am 18. Oktober 2021, dem Tag nach dem Angriff: Kämmerer Matthias Kleinschmidt, Bürgermeister Lars König und IT-Chef Andreas Hasenberg informierten die Öffentlichkeit – trotz anfänglicher Bedenken der Polizei. © FUNKE Foto Services | Jürgen Theobald

Gab es eigentlich auch mal die Überlegung, auf die Erpressung der Hacker einzugehen und lieber zu zahlen? Wie viel wollten die haben?

Nein, als klar war, dass unsere Sicherheitskopien auf den Magnetbändern unbeschädigt sind, dass niemand an die sensiblen Finanz-, Sozial- oder Steuer-Daten gekommen ist, haben wir beschlossen, nicht zu verhandeln. Eine Summe hatten die Hacker noch gar nicht genannt. Diese mutige Entscheidung zu treffen war nur möglich, weil wir die Sicherungskopien hatten. Wir hätten ja schlecht alle 96.000 Wittener bitten können, sich neu zu registrieren – dann hätten wir neu überlegen müssen. Aber das ist zum Glück nur eine theoretische Überlegung.

Und auf den Magnetbändern war alles noch drauf?

Es war ein Update vom Freitag vor dem Angriff. Wir sind also eigentlich glimpflich davon gekommen. Verloren gegangen ist das Geoinformationssystem, das wir für viele Prozesse brauchen, einige statistische Auswertungen und all unsere Anwendungsverfahren. Die wiederherzustellen dauert – aber auch das haben wir optimiert. Sollte es zu einem Systemabsturz kommen, würde es viel schneller gehen, uns am eigenen Schopf wieder aus dem Sumpf zu ziehen.

Weiß man inzwischen eigentlich genau, wie die Hacker ins System gekommen sind – und sind sie gefasst worden?

Nein, bislang konnte man ihnen nicht habhaft werden. Und wie sie sich Zugang zu unserem System verschafft haben, das können wir nur mutmaßen – denn auch die Spuren waren ja verschlüsselt. Aber ausgekundschaftet wurde das System wohl, wie bekannt ist, über einen Zugang der Piratenfraktion. Diese Infos wurden dann vermutlich an die Hacker verkauft – das ist die wahrscheinlichste Theorie.

+++Keine Nachrichten aus Witten mehr verpassen: Hier geht’s zu unserem kostenlosen Newsletter+++

Abschließend die Frage: Wenn Sie nun zurückblicken auf das letzte Jahr, wie fällt ihr Fazit aus?

Ich denke, wir haben vieles richtig gemacht – das ging allerdings oft über die Belastungsgrenzen der Mitarbeiter hinaus. Und auch wenn manches noch nicht so läuft, wie wir gerne hätten, muss man doch sagen: Wir hatten praktisch nichts mehr und sind jetzt weit gekommen. Es war, denke ich, auch richtig, die Öffentlichkeit von Anfang an in den Prozess einzubeziehen – auch wenn es da erst Bedenken gab. Wir sind nun alle sensibilisiert. Das Thema ist auch bei den Mitarbeitern angekommen. Der Angriff war heilsamer als jede Schulung – trotzdem möchte ich diese Rosskur natürlich niemandem empfehlen. Ich sehe uns also gut gerüstet. Aber wenn ich mir etwas wünschen dürfte nach Hackerangriff, Corona und Krieg gleichzeitig: Dann hätte ich die Krisen künftig bitte nacheinander.