Siegen/Hemer. Nach dem Hackerangriff hat sich die Südwestfalen-IT auf Spurensuche gemacht. Ergebnis: Den Angreifern wurde es leicht gemacht.
Die gute Nachricht zuerst: Bei einem der folgenreichsten Hacker-Angriffe auf die öffentliche Verwaltung in Deutschland wurden mit hoher Wahrscheinlichkeit keine sensiblen Daten von Bürgerinnen und Bürgern gestohlen. Die schlechte Nachricht: Den Kriminellen, die sich Ende Oktober illegal Zugang in das Netzwerk der Südwestfalen-IT (SIT) verschafften, wurde die Attacke viel zu leicht gemacht. Das geht aus dem forensischen Bericht zum Cyber-Angriff hervor, der am Donnerstagabend der Öffentlichkeit präsentiert wurde.
Demnach konnten die Täter über eine VPN-Lösung eindringen und dann ihre Schadsoftware platzieren. Hohe Hürden mussten sie dabei nicht überwinden, denn erstens gab sich die SIT für den Zugang mit schwachen Passwörtern zufrieden, zweitens fehlte eine Multifaktor-Authentifizierung, also mindestens eine zweite Überprüfung der Zugangsberechtigung. Die Täter konnten sogar Administratoren-Rechte erlangen. Ob ein einzelner Mitarbeiter für den Angriff in die Verantwortung genommen werden kann, weil er etwa eine Phishing-Mail geöffnet hat, geht aus dem Bericht nicht hervor.
Durch „unverzügliche Reaktion“ Schaden begrenzt
„Durch die unverzügliche Reaktion der Südwestfalen-IT wurde der Angriff erfolgreich gestoppt und das Schadensausmaß effektiv begrenzt“, teilte die SIT am Donnerstagabend in einer Presseerklärung mit, die in Teilen für IT-Laien völlig unverständlich ist, weil sie nicht näher erklärte Fachbegriffe auflistet.
„Fakt ist, dass das Rechenzentrum nicht in der Lage war, den Angriff abzuwehren“, sagte Theo Melcher, Landrat des Kreises Olpe und Verbandsvorsteher der SIT. Mirco Pinske, ab 1. Februar neuer Geschäftsführer der SIT, soll den Vorfall aufarbeiten und entsprechende Konsequenzen ziehen. Die Aufgabe des neuen Geschäftsführers sei es, „mit allen verfügbaren Mitteln dafür zu sorgen, einen Vorfall solchen Ausmaßes künftig bestmöglich auszuschließen“, so Melcher.
Von dem Angriff Ende Oktober vergangenen Jahres waren mehr als 70 Kommunen mit rund 1,7 Millionen Bürgerinnen und Bürgern betroffen, die auch nun zum Teil noch unter den Folgen leiden. Erst jetzt ist es im Hochsauerlandkreis wieder möglich, Fahrzeuge mit HSK-Kennzeichen anzumelden.
System-Architektur soll robuster werden
Nun sollen bis Ende März die ersten wesentlichen Fachverfahren wieder in den Normalbetrieb überführt werden, heißt es in der Pressemitteilung.
Wie genau die Hacker die benötigten Zugangsdaten abgriffen, konnten die IT-Forensiker dem Bericht zufolge nicht abschließend klären. In der Pressemitteilung ist die Rede von einer Brute-Force-Attacke. Dabei sucht ein Programm vollautomatisch nach Passwörtern und spielt sie durch. Eine Sperre, die nach dreimaliger Eingabe eines falsches Passwortes den Zugang verhindert, wurde dafür offenbar außer Kraft gesetzt. Die Aktivität der Angreifer konzentrierten sich der SIT zufolge auf die Windows-Domäne intra.lan, die zentrale Systeme und wichtige Fachverfahren für alle Kunden der Südwestfalen-IT verwalte. Andere Domänen seien nicht betroffen gewesen.
Um erneute Angriffe möglichst zu verhindern, soll nun die System-Architektur der SIT „robuster“ aufgestellt werden.