Siegen. Ein Jahr nach dem bisher größten Cyber-Angriff auf Verwaltungen in Deutschland zieht die Südwestfalen IT Bilanz – und Konsequenzen. Es wird teurer - für alle.

Genau ein Jahr ist es am Mittwoch her, dass die Südwestfalen-IT (SIT) von kriminellen Hackern angegriffen wurde: In der Nacht auf den 30. Oktober 2023 verschlüsselte eine Ransomware-Gruppe die Systeme, was immense Auswirkungen auf die 72 Mitgliedskommunen aus dem Verbandsgebiet hatte. In den darauffolgenden Monaten arbeiteten sowohl die Beschäftigen der SIT als auch die IT-Verantwortlichen der betroffenen Kommunen und deren Teams mit größtem Einsatz und unter enormem Zeitdruck daran, die Systeme so schnell wie möglich wieder zum Laufen zu bringen.

+++ Immer auf dem Laufenden mit WhatsApp: Hier geht‘s zum Kanal der Lokalredaktion Siegen +++

„Ich war beeindruckt von der Kooperation und der Hilfe der Kommunen untereinander, beispielsweise bei der Etablierung von Behelfslösungen“, so Mirco Pinske, der seit 1. Februar Geschäftsführer der Südwestfalen-IT ist. „Unser Dank gilt allen Beteiligten für ihre unermüdliche Unterstützung bei der Krisenbewältigung – und ebenso den Bürgerinnen und Bürgern, von denen streckenweise sehr viel Geduld und Verständnis gefordert war.“

Südwestfalen IT Siegen: Einige Programme laufen nach Cyber-Attacke immer noch nicht

Der Krisenmodus der SIT dauerte insgesamt elf Monate an – zum 30. September konnte die Organisation in den Normalmodus wechseln, berichtet die SIT in einer Pressemitteilung: „Zum jetzigen Zeitpunkt stehen nahezu 100 Prozent des Produktportfolios von rund 160 Anwendungen wieder im vollen Funktionsumfang zur Verfügung.“ Für die von den angeschlossenen Verwaltungen als besonders wichtig eingestuften Anwendungen – darunter fallen Bürger-, Finanz- und Sozialdienste – wurde der Normalbetrieb bereits vor mehreren Monaten erreicht. „Lediglich vereinzelt sind noch kleine Restarbeiten zu erledigen.“

Cyber-Attacke auf Siegener SIT: Am ersten Tag gab es noch nicht einmal mehr Telefon

Am ersten Tag gab es noch nicht einmal mehr Telefon. Jede Menge Handys wurden besorgt, Behördenflure mit WLAN-Verstärkern gespickt, neue E-Mail-Adressen geschaffen. Aus den Rathauskellern wurden eingemottete Faxgeräte und Drucker wieder hervorgeholt. Es gab wieder Büroboten, die Aktenwagen zu den Amtsstuben kutschierten. Nicht nur die Siegerlandhalle verlor ihren Veranstaltungsplan. In den Standesämtern brach Unruhe aus: Was, wenn Hochzeitstermine doppelt vergeben werden – oder gar verloren gehen, so dass das Brautpaar vergebens auf einen Standesbeamten oder eine -beamtin wartet?

Die Notfall-Homepages, die in den Rathäusern eilends aufgebaut wurden, sind immer noch nicht alle wieder abgebaut, die Stadt Siegen arbeitet weiter mit ihrem Provisorium. Mandatsträger und Öffentlichkeit mussten lange auf die Gremieninformationssysteme warten, in denen Vorlagen zu Rats- und Ausschusssitzungen bereitgestellt werden – man behalf sich mit eingescannten, per Mail versandten Papierausdrucken. Die fast fertigen Haushaltspläne für 2024 waren für die Kämmerer auf einmal unerreichbar, die Verabschiedung der Etats verzögerte sich um Monate, in denen Investitionen blockiert waren.

Nach Cyber-Attacke: Für Städte und Gemeinden wird die Südwestfalen-IT deutlich teurer

Immer noch fahren in Siegen Autos herum, die eigentlich das SI-Kennzeichen bekommen hätten – die Fahrzeughalter mussten auf die per Amtshilfe ermöglichte Zulassung im benachbarten Lahn-Dill-Kreis („LDK“) zurückgreifen. Wer einen neuen Ausweis brauchte, bekam den statt in Siegen bei der Verbandsgemeinde Kirchen in Rheinland-Pfalz. Immer noch müssen in Siegen ausländische Einwohner lange auf die Verlängerung ihrer Aufenthaltsgenehmigungen warten. Die Nachrichten über die vielen Provisorien traten nach und nach in den Hintergrund. Neu auf die Agenda kamen Berichte über Ursachen und Versäumnisse bei der SIT. Und jetzt, mit den beginnenden Planungen für die kommunalen Haushalte 2025, die Rechnungen: Die Stadt Netphen zum Beispiel muss sich auf eine Verdoppelung der jährlichen Umlage einstellen, die sie an die SIT zu bezahlen hat. Anderen Kommunen wird es nicht besser gehen.

Mehr zum Thema

Cyber-Attacke: SIT Siegen fordert Vereinheitlichung bei den Stadtverwaltungen

Gemeinsam mit externen IT- und Cyber-Security-Experten hat die SIT in den vergangenen Monaten bereits zahlreiche Sicherheitsvorkehrungen in allen aktuell eingesetzten Systemen eingebaut Zudem wurden die Erkenntnisse aus dem Vorfall genutzt, um die Sicherheit der IT-Systeme in allen Netzwerkbereichen weiter zu verstärken. Der Zugang wurde flächendeckend vereinheitlicht und nochmals extra gesichert mit Multi-Faktor-Authentifizierung und One-Time-Passwort und Zertifikat. Mittels leistungsstarker Software wurde im Bereich Virenschutz sowie Angriffserkennung und -abwehr aufgerüstet, berichtet die SIT weiter. Für Investitionen in die IT-Sicherheit sind für das Jahr 2025 Aufwendungen in hoch sechsstelliger Höhe kalkuliert. „Zu den konkreten bisherigen Kosten des Vorfalls lässt sich aktuell noch keine verlässliche Aussage treffen“, so Mirco Pinske. „Das Geschäftsjahr 2024 ist noch nicht abgeschlossen, es liegen also noch nicht alle Zahlen vor. Bis zum Stichtag 30. September 2024 fielen Zusatzaufwendungen in Höhe von circa 2,8 Millionen Euro an.“

„Es ist unmöglich, zukünftige Angriffe völlig auszuschließen.Wir arbeiten kontinuierlich daran, den Schutz weiter zu optimieren.“

Mirco Pinske, Südwestfalen IT

Neue Kooperationen der SIT in Siegen: Künftig springen Nachbar-Datenzentralen ein

Die Infrastruktur werde – ebenso wie interne Strukturen und Prozesse – regelmäßig von externen Experten und Gutachtern auf Verbesserungspotential hin analysiert und auditiert. Eine 100-prozentige Sicherheit gegen solche Vorfälle gebe es allerdings nicht, so Mirco Pinske: „Cyberkriminelle passen ihre Angriffe kontinuierlich an neue Technologien und Verteidigungsmaßnahmen an, weshalb es unmöglich ist, zukünftige Angriffe völlig auszuschließen. Unsere Systeme entsprechen dem aktuellen Stand der Technik, und wir arbeiten kontinuierlich daran, den Schutz weiter zu optimieren.“ Damit ein möglicher erneuter Angriff nicht mehr derartige Auswirkungen hat, hat die Südwestfalen-IT neben einer Vielzahl technischer Maßnahmen auch verschiedene Prozesse auf Managementebene eingeleitet. So wurde eine Kooperation mit anderen kommunalen IT-Dienstleistern in NRW angestoßen, um einander sowohl bei der Prävention als auch im Falle einer Cyberattacke noch besser unterstützen zu können.

Perspektivisch sieht Mirco Pinske auch regionalen und nationalen Handlungsbedarf: „Die Vielfalt der Anwendungen muss reduziert werden, für gleichartige Aufgaben darf es im Verbandsgebiet auch nur jeweils ein System geben. Das würde auch im Krisenfall die Zeit bis zu einer erfolgreichen Wiederherstellung verkürzen.“ 

SIT Siegen: Bisher größter Cyberangriff auf Verwaltungen in Deutschland

Der Ransomware-Angriff auf die Südwestfalen-IT war bundesweit der bisher größte und komplexeste Vorfall dieser Art. Bevor wiederhergestellte und wiederanlaufende Server in Betrieb genommen wurden, zurückgesicherte Daten freigegeben wurden oder Fachverfahren wieder ans Netz gebracht wurden, mussten jeweils umfangreiche organisatorische und technische Sicherheitsanforderungen erfüllt werden.

+++Die Lokalredaktion Siegen ist auch bei Facebook!+++

Die Zusammenarbeit in der öffentlichen Verwaltung einschließlich der Abstimmungsarbeit mit Gremien, Behörden und Interessengruppen kostete Zeit, stellt die SIT fest. „Natürlich unterscheiden sich auch die internen Kapazitäten der einzelnen Verbandskommunen“, so SIT-Geschäftsführer Mirco Pinske. „Dennoch haben wir im Vergleich zu ähnlich gelagerten Fällen in anderen Kommunen Deutschlands bei höherer Komplexität weniger Zeit benötigt, bis alle Dienstleistungen wieder angeboten werden konnten.“

+++Mehr Nachrichten aus Siegen und dem Siegerland finden Sie hier!+++