Hagen. Thomas Grosche ist Bürgermeister von Medebach im Hochsauerland. Wie er den Tag im Ausnahmezustand meistert – und worauf er jetzt hofft.
Thomas Grosche schaut kurz in seinem Handy nach. „Um 7.18 Uhr habe ich die Nachricht bekommen“, sagt der Bürgermeister von Medebach. Die Nachricht, deren gesamte Tragweite er zu diesem Zeitpunkt noch gar nicht einschätzen kann: ein erheblicher Ausfall der Computersysteme im Rathaus. Was er in dem Augenblick gedacht hat? „Sch…“, beginnt er zu sagen und entscheidet sich dann doch für: „Schade.“
Cyberangriff auf Südwestfalen: 72 Kommunen betroffen
Was zu diesem Zeitpunkt ebenfalls nur zu erahnen ist: Der 8000-Einwohner-Ort im Hochsauerlandkreis ist damit nicht allein – ganz im Gegenteil. Ein Cyberangriff auf Südwestfalen-IT (SIT) legt seit der Nacht auf Montag all jene Kommunen lahm, die auf den kommunalen Dienstleister vertrauen. Primär betroffen sind 72 Kommunen in Südwestfalen – darunter der Hochsauerlandkreis, der Märkische Kreis, die Kreise Olpe, Siegen-Wittgenstein und Soest sowie mehrere Kommunen im Rheinisch-Bergischen Kreis und einige externe Kunden im Bundesgebiet.
Die Folgen: Rathäuser und Kreisverwaltungen, die ihre Dienste nicht oder nur eingeschränkt anbieten konnten. Termine mussten abgesagt werden, zum Teil funktionierte auch die Kommunikation über Telefon und E-Mail nicht.
Ein Angriff, dessen Ursprung und Hintergrund noch nicht ermittelt sind – und dessen Ende noch nicht absehbar ist. Die bei der Staatsanwaltschaft Köln angesiedelte Zentral- und Ansprechstelle Cybercrime hat neben der Polizei Dortmund die Ermittlungen übernommen.
Cyberangriff auf Verwaltungen in Südwestfalen - mehr zum Thema:
- Entscheidend: Wie tief sind Hacker in Systeme eingedrungen?
- Cyberattacke auf Südwestfalen: Was bislang bekannt ist
- IT-Experte nach Cyberattacke: Das kann noch Wochen dauern
- Landeskriminalamt enthüllt: So arbeiten moderne Hacker
- Video: Cyberangriff auf Kommunen in Südwestfalen
Nach der Nachricht seines IT-Fachmannes fuhr CDU-Mann Grosche, der Bürgermeister von Medebach, ins Rathaus in sein Büro. Da steht schon fest, dass das was Größeres im Gange ist, dass nicht Medebach allein betroffen ist. In einer Pressemitteilung über die sozialen Medien informiert die Stadt ihre Bürgerinnen und Bürger über den Ausfall. Krisenmanagement ist gefragt. Mal wieder.
„Wir lassen uns nicht in Panik versetzen“
„Es ist nicht so, dass wir zusammengebrochen sind. Ich mache den Job jetzt seit 2009, und wir haben neben den alltäglichen Herausforderungen auch die Corona-Pandemie, die Flüchtlingskrise und die Auswirkungen des Ukraine-Kriegs zu meistern gehabt“, sagt er. „Wir lassen uns von so etwas nicht in Panik versetzen. Man muss besonnen und strukturiert handeln, um arbeitsfähig zu sein.“
In Medebach fiel das noch etwas leichter, weil zum Beispiel das Telefon – anders als im Kreis Siegen-Wittgenstein und im Hochsauerlandkreis – noch funktionierte, da es nicht über das Internet betrieben wird. Auch interner E-Mail-Verkehr war möglich. Alle Dienste, die an Südwestfalen-IT gebunden seien, funktionierten aber nicht.
+++ Lesen Sie auch: IT-Experte - Das kann noch Wochen dauern +++
Im Fall von Medebach heißt das: Ausweise ausstellen oder verlängern, Um- oder Anmeldungen, das Ausstellen eines polizeilichen Führungszeugnisses oder von Sterbeurkunden. Auch die zentrale Buchhaltung sei gestört. „Wir haben keinen Zugriff auf aus- und eingehende Zahlungen“, sagt Grosche. „Wir kriegen jeden Tag Rechnungen von Firmen, die gute Arbeit für uns leisten. Denen können wir nicht sagen, dass sie jetzt mal einen Monat warten sollen.“
Staatsanwaltschaft: Ransomware-Angriff nehmen zu
Da die internen Server noch funktionierten, könnten zumindest Bescheide erstellt und in Einzelfällen auch Überweisungen getätigt werden, die später verbucht würden. Auch die Zahlung von Sozialleistungen könne betroffen sein. „Für Sonderfälle, die keinen Aufschub dulden, müssen und werden wir Lösungen finden“, sagt Grosche. „Es gilt hemdsärmelige Entscheidungen zu treffen, derer es im Notfall bedarf. In einer kleinen Kommune sind die Wege kurz.“ Wobei Grosche auch deutlich macht, dass all das Behelfslösungen seien, die sie über ein paar Tage tragen – ehe es wirklich kompliziert wird.
Bei der Cyberattacke handelt es sich offenbar um einen sogenannten Ransomware-Angriff (Erpressungstrojaner). Diese Fälle, in denen Viren über zum Beispiel einen unbedacht geöffneten, schadhaften E-Mail-Anhang ins System gelangen, nähmen deutlich zu, sagt Staatsanwalt Christoph Hebbecker. „Es vergeht fast kein Tag, an dem wir nicht ein neues Verfahren einleiten“, sagte der Sprecher der Kölner Staatsanwaltschaft. Betroffen waren in der Vergangenheit neben der Funke Mediengruppe, zu der auch diese Zeitung gehört, Bildungs- und Forschungseinrichtungen, auch beispielsweise die Uniklinik Düsseldorf. Mitunter dauerte es Monate, bis der Zugriff auf alle System wieder hergestellt werden konnte. „Das kann recht drastische Auswirkungen haben“, sagte Hebbecker über Ransomware-Angriffe.
Krisensitzung am Dienstag - und das Hoffen auf ein Ende des Notstandes
Oft würden bei dieser Art der Attacke die Hacker, die meist im Ausland säßen, eine digitale Nachricht im System hinterlassen, um den Geschädigten einen Weg aufzuzeigen, in Kontakt zu treten. „Regelmäßig wird eine Lösegeldforderung gestellt“, erläuterte der Staatsanwalt und betonte: „Wir raten immer dazu, nicht zu zahlen, dann ist das Geschäftsmodell der Angreifer irgendwann kaputt, aber es ist bekannt, dass auch schon mal in großem Umfang gezahlt worden ist.“
Medebach und die anderen südwestfälischen Kommunen hoffen, dass es nicht Wochen und Monate dauert, bis sie zur Normalität zurückkehren können. Für Dienstag um 10 Uhr hat Grosche alle Abteilungsleiter zur Krisensitzung gebeten. „Wir hoffen, dass wir dann auch ein Update von SIT haben, ob wir uns auf längere Ausfallzeiten einrichten müssen -- oder ob es Licht am Ende des Tunnels gibt.“