Hackerangriff: Ein großer, kleiner Schritt zur Normalität

Seit Ende Oktober kämpft Südwestfalen mit den Folgen des Hackerangriffs auf den kommunalen Dienstleister Südwestfalen-It. © Alamy Stock Photo | Westend61 GmbH / Alamy Stock Photo

Hagen. Gut zwei Monate nach dem IT-Gau in Südwestfalen machen erste Kommunen Fortschritte. Andere hinken hinterher und sind verärgert.

Wochenlang ging fast nichts, seit einigen Tagen geht nun wieder manches, und der Andrang der Bürger ist entsprechend groß, sogar „sehr groß“, berichtet beispielsweise die Stadt Menden.

Etwas mehr als zwei Monate liegt der Hackerangriff auf den Dienstleister Südwestfalen-IT (SIT) zurück, der mehr als 70 Kommunen und Kreise in der Region lahmgelegt hat. Seit Jahresbeginn gehen nun die ersten Städte und Gemeinden mit wichtigen Dienstleistungen für die Bürger wieder online, beispielsweise Menden, Olpe, Arnsberg, Sundern oder Wenden. Die ersten Bürgerbüros und Standesämter sind wieder geöffnet, immer mehr sollen schrittweise folgen.

Es geht voran, doch Normalität herrscht in Südwestfalen mitnichten, zumal es große Unterschiede in der Region gibt. Und hinter den Kulissen ist die Verärgerung teils groß.

Plötzlich Lob für die SIT

Die Stadt Olpe hat am Donnerstag „den Normalbetrieb“ wieder ausgerufen - zumindest für Bürgerbüro und Standesamt. „Alle gewohnten Serviceleistungen, von der Passausstellung über Beurkundungen bis hin zur Annahme von Eheschließungen“, werden wieder angeboten, erklärt die Kreisstadt. Normal heißt aber nicht, dass alles wie gewohnt - sprich: wie vor dem Hackerangriff Ende Oktober - funktioniert. Brautpaare beispielsweise, die im vergangenen Jahr einen Vermählungstermin für 2024 vereinbart hatten, werden gebeten, „sich dringend im Rathaus zu melden“. Hintergrund: Die Stadt hat keinen Zugriff auf den Terminkalender, weiß also nicht, wer sich für eine Trauung angemeldet hatte...

Menden ist seit Mittwoch wieder mit dem Bürgerbüro online. Wie die ersten Tage gelaufen sind? „Alles in allem sehr gut“, die Systeme seien „relativ stabil“, teilt die Stadt mit. Allerdings dauere die Vorgangsbearbeitung „etwas länger, weil die elektronische Kommunikation zwischen den Gemeinden und der notwendigen Peripherie nicht zu 100 Prozent funktioniert. Es musste und muss sehr viel elektronische Post verarbeitet werden, da immer mehr Gemeinden mit den Standesämtern und Bürgerbüros wieder an den Start gehen“. Zudem müssen in den Kommunen und Kreisen viele Vorgänge aus den vergangenen Wochen aufgearbeitet werden.

Es ist ein Basisbetrieb, in der die Fachverfahren mit reduzierter Funktionalität wieder anlaufen. Trotz der Einschränkungen gehört Menden zu den Städten, die aufgrund der sichtbaren Fortschritte jetzt etwas zuversichtlicher in die Zukunft schauen. „Das, was die Südwestfalen-IT versprochen hat, hat sie gehalten“, sagte Bürgermeister Roland Schröder dieser Zeitung. Das klingt ganz anders als noch im Dezember. Da zählte Menden zu den sechs Kommunen, die der SIT schriftlich schwere Vorwürfe gemacht und mit Konsequenzen gedroht hatten. Der Brief hat seine Wirkung offenbar nicht verfehlt.

Hacker attackieren weitere Ziele

Wie die Hacker in das System der Südwestfalen-IT (SIT) eindringen konnten, soll der forensische Bericht klären, den das Unternehmen bis Ende Januar vorgelegen will. SIT-Sprecher Marcus Ewald zufolge sei es „nach aktuellem Kenntnisstand“ bei der Attacke nicht zu einem Datenleck gekommen.

Für den Angriff auf die SIT soll die Hacker-Gruppierung „Akira“ verantwortlich sein. Ein Sprecher der Zentral- und Ansprechstelle Cybercrime (ZAC) bei der Kölner Staatsanwaltschaft, welche die Ermittlungen in dem Fall führt, äußerte sich nicht zu dem Namen, erklärte aber: „Wir haben Anhaltspunkte, die ins Ausland führen, wir haben internationale Rechtshilfe auf den Weg gebracht.“ Welche Länder dies betrifft, wollte der Sprecher nicht mitteilen.

Der Hacker-Angriff auf die SIT Ende Oktober war offenbar nur einer von mehreren vergleichbaren Fällen in dem Zeitraum in Deutschland. Unter anderem wurden Rechenzentren attackiert, ein Dutzend Gemeinden in Schwaben teilweise lahmgelegt, ebenso die Bauer Gruppe, zu der Klemm Bohrtechnik und Eurodrill (Drolshagen) gehören. Laut Bundesamt für Sicherheit in der Informationstechnik (BIS) waren auch Krankenhäuser unter den attackierten Zielen. Das BSI zählt aktuell die fünf folgenden Hacker-Gruppierungen zu den bedrohlichsten Akteuren (in alphabetischer Reihenfolge): 8Base, Alphv, BlackBasta, LockBit sowie Play.

Siegen will unabhängig werden

Andere Kommunen hingegen sind nach wie vor ziemlich sauer auf den Dienstleister, auch wenn sie das nur hinter vorgehaltener Hand äußern. Die Kommunikation der SIT sei nach wie vor katastrophal, heißt es dann oft. Umleitungslösungen für IT-Dienste habe man weitgehend in Eigenleistung gestrickt. Hinzu kommt die sehr unterschiedliche Ausgangslage insbesondere zwischen dem Norden des SIT-Verbandsgebiets und dem Süden.

Die südlichen Kreise Olpe und Siegen-Wittgenstein (mit ihren Städten und Gemeinden) sind historisch bedingt sehr viel enger mit dem kommunalen Dienstleister verbunden, nutzen mehr SIT-Dienste als viele ihrer Kollegen im Hochsauerland, im Märkischen Kreis oder im Kreis Soest. Daher teilt beispielsweise die Stadt Siegen mit: „Die Fachverfahren, die zunächst wiederhergestellt wurden und einfacher in der Handhabung waren, sind jene für viele der Nordkommunen – entsprechend funktionieren dort schon wieder mehr Systeme als zum Beispiel in Siegen.“ Außerdem: „In der Großstadt Siegen sind die Herausforderungen deutlich größer.“

Im Bürgerbüro im Rathaus Oberstadt sei aktuell die Arbeit an „zwei bis drei Rechnern“ mit dem benötigten Fachverfahren wieder „in Ansätzen möglich“. Bürger müssten daher bei Notfällen nicht mehr wie bislang an die benachbarte Verbandsgemeinde Kirchen (Rheinland-Pfalz) verwiesen werden, die Siegen in den vergangenen Wochen ausgeholfen hatte. Aber: Funktionen seien nach wie vor eingeschränkt, was sehr viel händischen Aufwand verursache. „Ein Normalbetrieb wie vor dem Cyberangriff ist hier derzeit somit noch nicht wieder möglich“, teilt die Stadt Siegen mit, die aufgrund der Erfahrungen infolge des Hackerangriffs den Aufbau eigener IT-Strukturen intensiviert, um künftig unabhängig(er) zu sein von der SIT.

Normalität mancherorts erst 2025?

Ein weiteres Problem ist, dass teils (noch) nicht auf Datenbestände aus der Zeit vor dem Hackerangriff zugegriffen werden kann. Laut SIT gab es zwar infolge der Attacke „keinen Datenverlust“, demnach könnten also Sicherungskopien genutzt werden, die alle bis Ende Oktober gespeicherten Daten beinhalten. Aber ähnlich wie die Fachverfahren soll auch die Wiederherstellung der Datenbanken für die Arbeit der Kommunen schrittweise erfolgen. Heißt: Geduld ist gefragt. Und auch hier für die einen mehr als für andere.

Das führt zu der Frage, wann in Südwestfalen wieder flächendeckend Normalität herrscht. „Dieser Fall ist in der Komplexität und Größe einmalig“, sagt SIT-Sprecher Marcus Ewald. Ein verlässlicher Zeitplan könne daher noch nicht aufgestellt werden. In den kommenden Wochen sollen schrittweise mehr und mehr Dienstleistungen wieder an den Start gebracht werden.

Die Stadt Bad Laasphe - eine der stark betroffenen Süd-Kommunen - rechnet „auf Basis der bisherigen Aussagen von SIT“ damit, dass „ein nahezu vollständiger oder zumindest deutlich überwiegender ‚IT-Normalzustand‘ im dritten und/oder vierten Quartal dieses Jahres erreicht“ sein werde. Die vollständige Aufarbeitung werde wohl „mindestens bis in das Jahr 2025 hineinreichen“.

Es liegt also noch ein weiter Weg vor - zumindest einem Teil - der Region.