Siegen/Hemer. Die Sicherheitslücken bei der Südwestfalen-IT, die den Hackerangriff begünstigten, waren größer als bisher öffentlich bekannt.
Die Kriminellen konnten in das Netzwerk der Südwestfalen-IT nicht nur deshalb eindringen, weil dafür schwache Passwörter genügten und eine zweite Überprüfung der Zugangsberechtigung fehlte, sondern auch weil die Firewall als Kontrollinstanz für den Datenzu- und -abfluss offenbar nicht aktualisiert worden war. Das geht aus dem forensischen Bericht hervor, den die SIT am Donnerstagabend vorgelegt hat und am Freitag den Medien erläuterte.
Demnach wurde die Firewall eineinhalb Monate vor der Cyberattacke zuletzt auf den neuesten Stand gebracht. „Das ist grobe Fahrlässigkeit. Zumal Firewalls auf dem Markt sind, die Einfallstore blitzschnell identifizieren und eigenständig mit Hilfe von Künstlicher Intelligenz verschließen“, sagte der Mendener IT-Forensiker Karsten Zimmer.
Noch kein Zeitplan für Wiederherstellung aller Systeme
Wann alle Systeme der Kommunen wieder reibungslos laufen werden, kann die SIT nach wie vor nicht prognostizieren. Dafür gebe es noch nicht einmal einen Zeitplan, sagte SIT-Sprecher Marcus Ewald. Fest stehe jedoch, dass die Europawahl am 9. Juni ohne Probleme über die Bühne gehen könne. Ewald leitet eine externe Agentur für Krisenkommunikation; ein Vertreter der SIT-Geschäftsführung oder der politisch Verantwortlichen war bei der Information der Medien nicht anwesend.
Der neue Geschäftsführer, der am 1. Februar seinen Job bei der SIT antreten wird, solle zunächst in erster Linie klären, warum es den Kriminellen so leicht gemacht wurde, in das System einzudringen, sagte Ewald. Zum Zeitpunkt der Attacke Ende Oktober war die SIT quasi führungslos; der alte Geschäftsführer war schon gegangen, der Stellvertreter erst seit einem Monat im Amt.
„Kein Lösegeld gezahlt“
Der IT-Dienstleister, dem sich mehr als 70 Kommunen unter anderem in Südwestfalen angeschlossen haben, geht weiter davon aus, dass die Täter keine sensiblen Daten von Bürgerinnen und Bürgern gestohlen haben. Derzeit gebe es dafür keine Anhaltspunkte, sagte Ewald. 100-prozentig ausschließen könne man das jedoch nicht. Man scanne das Darknet permanent nach Hinweisen. Backups seien nicht betroffen, so dass SIT alle Daten Schritt für Schritt wiederherstellen könne. „Ich habe meine Zweifel, dass bei dem Angriff die Backups nicht angegriffen wurden“, sagte Zimmer. Das wäre aus seiner Sicht bei Aktivitäten von Hacker-Gruppen eher unüblich: „Haben Kriminelle Backups mit Schadsoftware infiziert, ist es nicht mehr möglich, alle Daten wiederherzustellen.“
Hinter der Attacke wird die Gruppe Akira vermutet, die für zahlreichen Cyberattacken verantwortlich gemacht wird. In der Regel wollen die Kriminellen Lösegeld erpressen. Die SIT habe kein Geld gezahlt, betonte Ewald. „Es gab noch nicht einmal eine Kontaktaufnahme“, sagte er.