Hagen. Der Tag nach der enormen Cyberattacke, die die Rathäuser und Ämter in Südwestfalen lahmgelegt hat. Was wird jetzt getan?
Am Tag nach Bekanntwerden der Cyberattacke auf die Rathäuser und Kreisverwaltungen in Südwestfalen bleibt weiter vieles unklar: Die Südwestfalen-IT (SIT) kämpfe weiterhin mit den Folgen des in der Nacht zu Sonntag entdeckten Cyberangriffs, teilte das attackierte Unternehmen mit Sitz in Hemer am Dienstag mit. Zur Zeit analysierten Spezialisten die Systeme, um herauszufinden, wie weit sich die Schadsoftware verbreitet habe. Dafür sei es erforderlich, die Systeme weiterhin vom Internet und den Verwaltungsnetzen zu trennen. Man stehe in Kontakt mit den einschlägigen Behörden, um die Analyse zur Wiederherstellung der IT so schnell wie möglich voranzutreiben.
Der Angriff auf die öffentliche Infrastruktur legt seit Montagmorgen zahlreiche Verwaltungen lahm. Betroffen vom Komplettausfall der IT sind unter anderem alle Rathäuser im Kreis Olpe, im Kreis Siegen-Wittgenstein, im Märkischen Kreis, im Hochsauerlandkreis und im Kreis Soest. Die bei der Staatsanwaltschaft Köln angesiedelte Zentral- und Ansprechstelle Cybercrime (ZAC NRW), welche neben der Polizei Dortmund die Ermittlungen übernommen hat, spricht von bisher 72 betroffenen Kommunen – und möglicherweise weiteren Fällen auch über NRW hinaus. Was bislang bekannt ist – und was nicht.
Was genau ist passiert?
Wie Dr. Christoph Hebbecker von der Staatsanwaltschaft Köln erklärte, zeichne sich ab, dass von dem Cyberangriff in der Nacht zu Montag ein zentraler IT-Dienstleister in Siegen betroffen sei. „Um weiteren Schaden zu vermeiden, wurde das Rechenzentrum dort runtergefahren. Wir haben noch keine abschließende Zahl der betroffenen Kommunen, aber es ist bisher eine größere zweistellige Zahl, im Bereich von 70 Kommunen. Es betrifft eher den Westen von NRW, möglicherweise auch andere Bundesländer“, sagte der Pressesprecher der ZAC NRW im Gespräch mit der WESTFALENPOST.
Dass es sich bei dem IT-Dienstleister um Südwestfalen-IT (SIT), einen Zweckverband der südwestfälischen Kommunen, handelt, ist inzwischen klar. Das Unternehmen hat sich inzwischen auch zu Wort gemeldet. Demnach ist Südwestfalen-IT (SIT) Ziel eines Cyberangriffs mit Ransomware - also so genannten Erpressungstrojanern – geworden, der „aktuell die Handlungsfähigkeit der kommunalen Verwaltungen beeinträchtigt“.
Primär betroffen seien die 72 Mitgliedskommunen aus dem Verbandsgebiet in Südwestfalen (siehe Liste am Ende dieses Artikels) – darunter die Landkreise Hochsauerlandkreis, Märkischer Kreis, Olpe, Siegen-Wittgenstein, Soest sowie mehrere Kommunen im Rheinisch-Bergischen Kreis und einige externe Kunden im Bundesgebiet.
In der Nacht von Sonntag auf Montag seien verschlüsselte Daten auf Servern der SIT gefunden worden, die auf einen „unautorisierten externen Zugriff“ hindeuteten. Unmittelbar im Anschluss hätten die Techniker noch in der Nacht mit der Analyse und ersten Schritten der Schadensbegrenzung begonnen.
Welche Maßnahmen wurde getroffen? Und wie lange werden die Beeinträchtigungen laufen?
Um die Weiterverbreitung der Schadsoftware innerhalb des Netzwerks zu verhindern, seien die Verbindungen des Rechenzentrums zu und von allen Verbandskommunen gekappt worden, so Südwestfalen-IT am Montagnachmittag. „Infolgedessen können die Verwaltungen derzeit nicht auf die von der SIT bereitgestellten Fachverfahren und Infrastrukturen zugreifen und sind in ihren Dienstleistungen für die Bürger stark eingeschränkt“, so das Unternehmen.
Aus informierten Kreisen heißt es, dass Problem werde mindestens mehrere Tage anhalten. Betroffen sind – offensichtlich in unterschiedlichem Ausmaß – nahezu alle Rathäuser in Südwestfalen. Die Kreisverwaltung des Hochsauerlandkreises hat am Montagnachmittag erklärt, dass man davon ausgehe, dass der IT-Ausfall bei der Südwestfalen-IT mindestens mehrere Tage andauern wird.
Was sagen die Ermittler?
Man versuche derzeit herauszufinden, wie sich der Schaden konkret darstelle, welche Dienste betroffen seien, welche Auswirkungen der Angriff habe, auch gehe es noch um die Frage, wer die Attacke ausgeführt habe und um welche Art des Angriffs es sich handele, erklärt der Kölner Staatsanwalt Dr. Christoph Hebbecker. Aufgrund der Erfahrungen aus ähnlichen Verfahren rechne er mit „wahrscheinlich komplexen und langanhaltenden Ermittlungen“. Man werde den heutigen Tag brauchen, um sich einen Überblick zu verschaffen. Daten würden gesichert, um zu überprüfen, mit was man es zu tun habe. „Das ist klassische IT-Forensik“, sagte Hebbecker und erklärte: „.Die Lage ist dynamisch. Selbst im Vergleich mit unseren bisherigen Fällen hat der aktuelle ein ganz erhebliches Ausmaß.“
Das NRW-Innenministerium verwies auf die laufenden Ermittlungen von Polizei und Staatsanwaltschaft und wollte keine eigenen Angaben machen. Eine Sprecherin teilte jedoch auf Anfrage der WESTFALENPOST mit, dass auch die Nora-App, mit der Notrufe abgesetzt werden können, vom Cyberangriff betroffen sei. Sie sollte jedoch auf eine andere Leitung verlegt werden, so dass sie wieder in Funktion gehen könne. Die Leitstellen der Rettungsdienste in Südwestfalen seien weiter erreichbar.
Was steckt hinter Südwestfalen-IT?
Südwestfalen-IT ist Anfang 2018 aus dem Zusammenschluss der Citkomm mit Sitz in Hemer und KDZ Westfalen-Süd aus Siegen entstanden. Ihr gehören fünf Kreise sowie 59 Städte (siehe HINTERGRUND unten) und Gemeinden an. Man betreue somit insgesamt 1,7 Millionen Einwohner und 20.000 Arbeitsplätze – so das Unternehmen in einer Selbstbeschreibung. So viele Menschen und Institutionen sind somit nun auch potenziell von der Cyberattacke betroffen.
Was bedeutet der Angriff für die Rathäuser und die Bürger?
Da die IT-Systeme von Südwestfalen-IT heruntergefahren werden mussten, waren die Verwaltungen am Montagmorgen nicht arbeitsfähig. Rathäuser blieben mehrheitlich geschlossen, Termine mit Bürgern mussten abgesagt werden. Auch die interne Kommunikation ist beeinträchtigt zum Beispiel im Hochsauerlandkreis: Mails können nicht versendet und empfangen werden, Homeoffice ist nicht möglich.
Es zeichnet sich ab, dass flächendeckend sehr alltägliche Dienstleistungen wie Kfz-An- und Ummeldungen oder Passangelegenheiten nicht möglich sind.
Der Kreis Siegen-Wittgenstein und die Stadtverwaltung Siegensowie die weiteren Städte und Gemeinden im Kreisgebiet waren ebenfalls nicht erreichbar – weder telefonisch noch per E-Mail. Die Stadt Siegen hat für Notfälle Info-Schalter in allen Rathäusern geöffnet. Da auch Homepages nicht erreichbar sind, informieren der Kreis Siegen-Wittgenstein und die Stadt Siegen über ihre Social-Media-Kanäle über das weitere Vorgehen. In Wittgenstein sind die Rathäuser auch betroffen, in Bad Berleburg ist das Rathaus jedoch weiterhin geöffnet: Die Verwaltung bietet alle Dienstleistungen an, die analog noch möglich sind.
Cyberangriff auf Verwaltungen in Südwestfalen - mehr zum Thema:
- Entscheidend: Wie tief sind Hacker in Systeme eingedrungen?
- Cyberattacke auf Südwestfalen: Was bislang bekannt ist
- IT-Experte nach Cyberattacke: Das kann noch Wochen dauern
- Landeskriminalamt enthüllt: So arbeiten moderne Hacker
- Video: Cyberangriff auf Kommunen in Südwestfalen
Stark betroffen sind auch die Verwaltungen im Kreis Olpe. Auch in den Kreisverwaltungen ging am Montagmorgen fast nichts mehr. Wegen des Angriffes können einige Webseiten von den kreisangehörigen Städten aktuell nicht aufgerufen werden.
Im Kreis Soest funktioniert zumindest die Kommunikation über Telefon und Mail noch. „Alle Kundinnen und Kunden mit Terminen werden gebeten, nicht zu den Zulassungsstellen zu kommen bzw. in anderen Angelegenheiten das Kreishaus aufzusuchen. Bevor sich Bürgerinnen und Bürger auf den Weg machen, sollten sie sich telefonisch erkundigen, ob die Zulassungsstellen oder andere Abteilungen arbeitsfähig sind“, heißt es vom Kreis Soest.
„Das Rathaus ist weiterhin geöffnet“, sagt Jennifer Boeke von der Pressestelle der Stadt Menden im Märkischen Kreis. Auch telefonisch seien die Mitarbeiterinnen und Mitarbeiter erreichbar. „Allerdings per Mail nicht“, sagt Jennifer Boeke. Außerdem komme es durch den Hackerangriff auch zu Problemen im Arbeitsablauf. So können die Mitarbeiterinnen und Mitarbeiter des Bürgerbüros aktuell nicht wie gewohnt arbeiten, da ihnen das entsprechende Programm nicht zur Verfügung stehe.
Auch der Ennepe-Ruhr-Kreis war von dem Hacker-Angriffbetroffen, obwohl der Kreis nicht direkt zum Gebiet von Südwestfalen-IT gehört: Interaktive Formulare und das digitale Serviceportal auf der Website der Kreisverwaltung sind nicht erreichbar. Die Kreisverwaltung selbst ist jedoch nach eigenen Aussagen nicht von dem Angriff betroffen, sie gehört aber auch nicht zum Gebiet von Südwestfalen-IT. In Wetter ist die Homepage nicht erreichbar, Online-Formulare sind nicht ausfüllbar.
Die Leitstellen (Polizei, Feuerwehr) sind aber offenbar erreichbar, zumindest bestätigen dies die Pressesprecher im Hochsauerlandkreis und im Kreis Soest. Der Kölner Staatsanwalt Hebbecker erklärte dazu: „Ob Leitstellen und Rettungsdienste von der Attacke betroffen sind, müssen die einzelnen Kommunen mitteilen.“
Warum ist der Zeitpunkt des Angriffs besonders heikel?
Besonders problematisch ist der Cyberangriff auf die Kommunalverwaltungen, weil zum Ende des Monats in der Regel zahlreiche finanzielle Transaktionen anstehen. Auszahlungen wie beispielsweise Gehälter, Sozialhilfe und Überweisungen der Pflegekasse seien unter Umständen nicht möglich, sagte Martin Reuter, Pressesprecher des Hochsauerlandkreises, dieser Redaktion. Auch der digitale Kontakt zu den Geldinstituten sei mit dem Cyberangriff abgerissen. Am Montagnachmittag kam dann die vorsichtige Entwarnung: „Dank der Unterstützung der Sparkasse Hochsauerland sind ab sofort alle Auszahlungen wieder möglich.“
Was passiert derzeit?
„Aktuell kommt es aufgrund einer Cyber-Attacke im kompletten Netz der Südwestfalen-IT zu Störungen. Wir haben alle ausgehenden Verbindungen geblockt. Wir arbeiten bereits mit Hochdruck an dem Problem“, heißt es in einer Ansage der Telefonzentrale der SIT in Siegen. In den Kreisen tagen die Krisenstäbe. „Einen abschließenden Überblick, über das Ausmaß der Auswirkungen, liegt noch nicht vor und sind Teil der Ermittlungen des zuständigen Polizeipräsidiums Dortmund“, teilte die dortige Polizei in einer Pressemeldung am Montagvormittag mit.
Wann laufen die Systeme wieder?
Diese Frage kann derzeit niemand seriös beantworten. „Es ist davon auszugehen, dass Zulassungs- und Führerscheinangelegenheiten bzw. andere Dienstgeschäfte heute auf keinen Fall bearbeitet werden können. Wann das wieder der Fall sein kann, ist derzeit völlig unklar“, heißt es vom Kreis Soest.
Gab es ähnliche Fälle in der Region?
Im August vergangenen Jahres gab es einen massiven Hackerangriff auf den IT-Dienstleister der Industrie- und Handelskammern, die Gesellschaft für Informationsverarbeitung (GfI) in Dortmund. Betroffen waren beinahe alle bundesweit 79 Kammern. Etliche Kammern waren mehrere Monate eingeschränkt, Telefone und Emailadressen und Internetseiten funktionierten teilweise wochenlang nicht mehr.
Services wie die Ausstellung bestimmter für Exporte notwendige Bescheinigungen funktionierten nur noch analog vor Ort. Das Bundesamt für Informationssicherheit wurde sofort eingeschaltet.
<<< HINTERGRUND >>>
- Das sind die Mitglieds-Kreise und -Gemeinden von Südwestfalen-IT:
- Märkischer Kreis: Altena, Balve, Halver, Hemer, Herscheid, Iserlohn, Kierspe, Lüdenscheid, Meinerzhagen, Menden,Nachrodt-Wiblingwerde, Neuenrade, Plettenberg, Schalksmühle, Werdohl.
- Kreis Soest: Anröchte, Bad Sassendorf, Ense, Erwitte, Geseke, Lippetal, Lippstadt, Möhnesee, Rüthen, Soest,Warstein, Welver, Werl, Wickede:
- Hochsauerlandkreis:Arnsberg, Bestwig, Brilon, Eslohe, Hallenberg, Marsberg, Medebach, Meschede, Olsberg, Schmallenberg, Sundern, Winterberg:
- Kreis Olpe: Attendorn, Drolshagen, Finnentrop, Kirchhundem, Lennestadt, Olpe, Wenden:
- Kreis Siegen-Wittgenstein: Siegen, Freudenberg, Kreuztal, Hilchenbach, Netphen, Wilnsdorf, Neunkirchen, Burbach, Bad Laasphe, Erndtebrück, Bad Berleburg.
- Rheinisch-Bergischer Kreis: Burscheid, Kürten, Leichlingen, Odenthal, Overath, Rösrath, Wermelskirchen:
- Kreis Unna: Schwerte: