Cyberangriff auf Südwestfalen: Regressforderungen gegen SIT?

Seit Ende Oktober kämpfen die Kreise und Kommunen in Südwestfalen mit den Folgen des Hackerangriffs auf den Dienstleister SIT. © stock.adobe.com | Pungu x -

Hagen/Siegen. Die Aufarbeitung der Cyberattacke dauert noch länger als erwartet. Die SIT steht in der Kritik. Drohen Regressforderungen von Kommunen?

Seit dem Hackerangriff auf den kommunalen Dienstleister Südwestfalen-IT (SIT), der die Kreise und Kommunen in Südwestfalen lahmgelegt hat, sind inzwischen fast sechs Wochen vergangen. Am 21. November war durch eine SIT-Pressemitteilung noch der Eindruck entstanden, als sei alles nicht so schlimm - und das Problem bald zumindest in Teilen gelöst. Am Freitagmorgen teilte das Unternehmen mit Sitz in Siegen und Hemer nun mit, dass die betroffenen Kreise, Städte und Kommunen sowie die Bürger noch mehr Geduld benötigen.

„Bis die betroffenen Verwaltungen wieder regulär arbeiten können, wird es länger dauern als erwartet. Die Städte, Gemeinden und Kreise haben festgelegt, welche Fachanwendungen sie ganz besonders dringend benötigen. Die Südwestfalen-IT startet in der kommenden Woche mit Pilot-Tests für die Wiederinbetriebnahme der ersten drei Verfahren in einem Basisbetrieb. Die Tests der übrigen priorisierten Fachverfahren folgen bis Weihnachten“, heißt es in einer Pressemitteilung der SIT. Und weiter: „Die vollständige Wiederherstellung in den Kommunen wird sich allerdings stärker verzögern als erwartet. Die Ursachen dafür sind nochmals deutlich erhöhte Sicherheitsanforderungen und komplexe, ineinandergreifende IT-Systeme. Bürgerinnen und Bürger müssen daher mit eingeschränkten Dienstleistungen und längeren Wartezeiten rechnen.“

Kreise Olpe und Siegen-Wittgenstein besonders stark betroffen

Während der Hochsauerlandkreis, der Märkische Kreis und der Kreis Soest etwas weniger stark von den Auswirkungen des Hackerangriffs betroffen seien, müssen sich vor allem die Kreise Olpe und Siegen-Wittgenstein auf noch längere Wartezeiten einstellen. „Die Einrichtung des Basisbetriebs schreitet im Norden des Verbandsgebiets schneller voran als im Süden, der stärker vom Cyberangriff betroffen ist“, erklärte die SIT, „der Grund dafür ist, dass im Süden zusätzlich auch Basisinfrastruktur wie beispielsweise Endgeräte vom Cyberangriff betroffen waren.“

Am 21. November hatte es in einer SIT-Pressemitteilung noch geheißen: „Ein Übergreifen der Schadsoftware auf Bereiche außerhalb des Kernsystems der SIT und damit auch auf die Systeme der Kreise und Kommunen wurde verhindert und das Schadensausmaß effektiv begrenzt.“

Inzwischen spricht die Südwestfalen-IT von einem „der größten Angriffe auf die öffentliche Verwaltung, die es in Deutschland bisher gab“. Für die nun vermeldete Verzögerung gebe es mehrere Gründe. Bei der Bewältigung der Folgen des Cyberangriffs sei „die Komplexität der Wiederherstellung“ größer als nach den ersten fachlichen Einschätzungen erwartet. In den vergangenen zwei Wochen seien die Sicherheitsanforderungen noch einmal deutlich erhöht worden. Darüber hinaus gestalte sich der parallele Aufbau der ineinandergreifenden IT-Systeme viel komplizierter als ursprünglich angenommen. „Diese Faktoren zwingen zu besonderer Sorgfalt und einem schrittweisen Vorgehen – es gilt das Prinzip Sicherheit vor Geschwindigkeit“, so die SIT.

SIT-Verbandsvorsteher Theo Melcher, zugleich Landrat des Kreises Olpe, erklärte: „Die Südwestfalen-IT steht vor einer beispiellosen Herausforderung nach dem bisher größten Cyberangriff auf die öffentliche Verwaltung in Deutschland. Unsere höchste Priorität ist es, die Sicherheit und Funktionsfähigkeit unserer IT-Systeme wiederherzustellen, auch wenn dies heißt, dass wir unsere Zeitpläne anpassen müssen. Die Situation bedeutet für die Kommunen sowie für die Bürgerinnen und Bürger Einschränkungen. Es wird mit Hochdruck an Lösungen gearbeitet.“ Melcher bat alle Betroffenen um Geduld und Verständnis und erklärte: „Es wäre falsch, unrealistische Versprechungen zu machen.“

IT-Dienstleister nennt keinen Zeitplan

Weil die Probleme so komplex seien, kann die Südwestfalen-IT noch nicht sagen, wann die ersten Fachanwendungen wieder zuverlässig funktionieren. „Zeitpläne für jede einzelne Kommune sind daher erst schrittweise zu erwarten. Die Ursache dafür liegt ausdrücklich nicht bei den Kommunen – diese können erst Pläne vorlegen, wenn die Südwestfalen-IT ihnen die Voraussetzungen dafür schafft“, erklärte das Unternehmen.

Während des Basisbetriebs werde mit eingeschränkten Funktionen und längeren Bearbeitungszeiten für öffentliche Dienstleistungen zu rechnen sein. Die Bürgerinnen und Bürger seien angehalten, Behelfslösungen weiterhin zu nutzen, sofern sie für die entsprechenden Dienstleistungen eingerichtet wurden.

„Die Fachverfahren, mit denen in der kommenden Woche der Roll-Out des Basisbetriebs beginnen wird, umfassen die Bereiche Finanz- und Standesamtswesen. Zuvor konnte im Norden des Verbandsgebiets bereits mit dem Basisbetrieb für das Meldeauskunftssystem für Sicherheitsbehörden und im Sozialwesen begonnen werden“, so die SIT: „Bis Weihnachten sind die ersten Pilotbetriebe für den Basisbetrieb weiterer Fachfahren für Melde- und Kraftfahrzeugwesen sowie im Sozialbereich vorgesehen. Diese Fachverfahren bilden die Grundlage für eine ganze Reihe öffentlicher Dienstleistungen, darunter u.a. das Ausstellen von Ausweisen, Pässen und Führerscheinen, die Anmeldung von Geburten, Todesfällen und Hochzeiten, die Auszahlung von aktuell berechneten Sozialhilfeleistungen und Wohngeld, die Kfz-Zulassung sowie Dienste der Ausländerbehörden.“

Druck auf SIT steigt - Regressforderungen der Kommunen?

Derweil steigt der politische Druck auf die SIT und ihr Aufsichtsgremium. Von der Attacke betroffene Städte und Gemeinden kritisieren vor allem das Handling der Krise und die aus ihrer Sicht mangelhafte, nicht transparente Kommunikation. Das Unternehmen muss sich auf Regressforderungen der Kommunen einstellen. Fraglich ist, ob die Südwestfalen-IT gegen die Folgen von Cyberangriffen vollumfänglich versichert ist.

Die Städte Arnsberg, Iserlohn, Menden, Lüdenscheid, Lippstadt und Soest haben dem Dienstleister in einem Brief damit gedroht, der SIT den Rücken zu kehren, sollten die Probleme nicht zügig gelöst werden. Sie werfen der SIT sogar vor, sich an Vorgaben, die den Kommunen aufgegeben wurden, selbst nicht gehalten zu haben. Das Vertrauen in den Zweckverband sei „schwer erschüttert“, heißt es in dem Schreiben. Aus diesem „Vorfall und den damit verbundenen Defiziten muss für die Zukunft gelernt werden, damit das Vertrauen der Verbandskommunen wieder komplett hergestellt werden kann“, schreiben die Stadtspitzen. Dabei sind die sechs Kommunen weniger stark betroffen als der Raum Olpe und Siegen-Wittgenstein.

Der Frust in den Rathäusern nimmt zu. „Bei uns laufen die Bürgerinnen und Bürger auf. Noch haben sie Verständnis, aber das nimmt langsam ab“, sagte der Mendener Bürgermeister Roland Schröder dieser Zeitung. „Wir werden immer nur vertröstet, wir wollen aber Lösungen“, sagte ein anderer Kommunalpolitiker.

„Flickenteppich“ droht

Bad Laasphes Bürgermeister Dirk Terlinden bestätigte, dass sich der Großteil der Kritik gegen die Kommunikation der SIT richte. Deshalb sei es auch zu der zwischen Kommunen und SIT abgestimmten Pressemitteilung vom Freitag gekommen. „Ich teile diese Kritik an der Kommunikation der SIT auf jeden Fall“, sagte Terlinden. Und weiter: „Wir haben die unzureichende Kommunikation offen angesprochen gegenüber der SIT. Es war zuletzt seitens der SIT der Eindruck entstanden, die Server würden wieder hochgefahren und damit sei die Sache erledigt. Jetzt ist klargestellt, dass es noch dauern wird, selbst wenn die Systeme bald wieder hochfahren. Es ist gut, dass die SIT jetzt für Klarheit gesorgt hat.“

Im Übrigen werde es nicht so sein, dass flächendeckend im ganzen Verbandsgebiet alle Systeme gleichzeitig wieder hochgefahren werden könnten. „Es wird eine Art Flickenteppich geben, in der einen Kommune werden Dienste früher zur Verfügung stehen als in der anderen. Man wird nicht alles gleichzeitig hochfahren können, weil das System und die Datenmengen dafür zu umfangreich sind“, so Terlinden weiter.

Auswirkungen auch auf die Europawahl?

Angaben zu einem Zeitplan für die Wiederherstellung der Systeme wollte Bad Laasphes Bürgermeister nicht machen. Das sei seriös nicht zu beantworten. „Ich sage zu Gesprächspartnern schon mal, dass es Ostern wird, dann ist am anderen Ende der Leitung Stille. Viele glauben, die Antwort müsse lauten, dass am Mittwoch oder Freitag alles wieder läuft. Aber der Schaden ist so groß, dass die Problembewältigung noch Wochen und Monate in einigen Bereichen in Anspruch nehmen wird. Das muss man offen und ehrlich kommunizieren. Es wird dauern“, erklärte Terlinden, der zudem auf einen weiteren Aspekt verwies: die Europawahl im kommenden Juni.

Laut Terlinden laufe das Einwohnermeldewesen möglicherweise vor Weihnachten wieder an. „Dieses Verfahren braucht man neben der klassischen Wohnsitz-An- und Abmeldung auch deshalb, um die Europawahl vorzubereiten und durchführen zu können. Es ist enorm wichtig, dass die Wahlen in den betroffenen Kommunen vernünftig und wie bisher rechtssicher stattfinden können“, sagte Bad Laasphes Bürgermeister.

Keine Versicherung gegen Hackerangriff? So reagiert die SIT

Die Kritik aus den Kommunen zeigt bei der SIT offensichtlich Wirkung. Bereits in der am Freitagvormittag verschickten Pressemitteilung nahm das Unternehmen die Kommunen in Schutz. Auch auf Nachfrage zu der Kritik war die SIT zudem um Deeskalation bemüht. „Die Südwestfalen-IT vermag es derzeit nicht, den Kommunen zuverlässige Informationen für belastbare Zeitpläne zur Verfügung zu stellen. Wir nehmen diese Kritik sehr ernst. Wir arbeiten mit Hochdruck daran, bei der Inbetriebnahme des eingeschränkten Basisbetriebs der priorisierten Fachverfahren einen ständigen Austausch zu gewährleisten“, hieß es am Freitagnachmittag.

Auf die beiden Fragen, ob das Unternehmen gegen die Folgen eines Cyberangriffs versichert sei und ob man sich auf Regressforderungen von Kommunen einstelle, antwortete die SIT ausweichend. Man habe die Anfertigung eines „juristisch belastbaren forensischen Berichts“ über die Cyberattacke in Auftrag gegeben, den durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte Experten erstellten. Wozu? „Um lückenlos, transparent und vollständig Klarheit über die Ursachen und potenziellen Versäumnisse zu haben. Dieser Bericht wird die Grundlage für alle weiteren Schritte sein“, erklärte die SIT.

Sollte es eine Versicherung geben, bliebe abzuwarten, ob diese in diesem Fall greift - oder ob es zu Versäumnissen seitens der SIT beim Schutz der Systeme gekommen wäre, die den Versicherungsschutz beeinträchtigten.