Experte: „Kein Datenverlust? Kann ich mir nicht vorstellen“

Fahnen wehen vor dem Gebäude von Südwestfalen-IT. Von dem Cyberangriff auf den Dienstleister Südwestfalen-IT vor drei Monaten sind mehr als 70 Kommunen in Nordrhein-Westfalen mit rund 1,7 Millionen Einwohnern betroffen. Externe Experten hatten nun einen abschließenden Forensikbericht vorgelegt. © dpa | Bernd Thissen

Menden/Hemer. Auch nach dem Abschlussbericht zum Hackerangriff auf die Südwestfalen-IT bleiben Fragen offen, findet IT-Forensiker Karsten Zimmer.

Als Karsten Zimmer kurz nach Bekanntwerden des Hackerangriffs auf die Südwestfalen-IT (SIT) Ende Oktober der Westfalenpost sagte, dass ihn die Cyberattacke nicht überrascht habe („es gibt immer wieder neue Einfallstore - gerade bei öffentlichen Verwaltungen“), wurde er „heftig angefeindet“, wie er berichtet. Der von dem kommunalen Dienstleister soeben veröffentlichte „forensische Bericht über den Tathergang“ legt nahe, dass Zimmer, IT-Forensiker aus Menden, mit seinem Hinweis zu möglichen Sicherheitsmängeln womöglich gar nicht so Unrecht hatte.

„Ich habe ein komisches Bauchgefühl bei der Geschichte“, sagt der Sauerländer jetzt, „ich kann mir aus langjähriger Berufserfahrung nicht so recht vorstellen, dass es bei dem Hackerangriff - wie die SIT behauptet - mit ,hoher Wahrscheinlichkeit‘ zu keinem Abfluss von Daten gekommen ist und auch die Backups, also Sicherheitskopien, nicht attackiert wurden.“

„Eine Reihe von Merkwürdigkeiten“

Zimmer spricht von einer „Reihe von Merkwürdigkeiten“. „Am 30. Oktober 2023 wurde ein Angriff auf die SIT bekannt gegeben. Dabei wurden Daten gestohlen“, so sagt der Mendener, „die im Darknet entdeckt wurden.“ Diese Daten seien kurze Zeit später gelöscht worden, und auch auf der Internetseite des osteuropäischen Hacker-Netzwerks Akira, das hinter den kriminellen Machenschaften stehen soll, hätten sich dann keine Hinweise auf einen Angriff auf die SIT befunden. „Das ist in einem solchen Zusammenhang ungewöhnlich und könnte Betrachter vermuten lassen, dass entgegen allen Beteuerungen doch ein Lösegeld an die Erpresser gezahlt wurde.“

Von dem Angriff auf die SIT waren mehr als 70 Kommunen mit rund 1,7 Millionen Bürgerinnen und Bürgern betroffen, die auch nun zum Teil noch unter den Folgen leiden. In dem Forensik-Abschlussbericht stehe, so Zimmer weiter, dass der erste sogenannte Ransomware-Angriff am 18. Oktober 2023 dokumentiert sei. Öffentlich gemacht sei die Cyber-Attacke am 30. Oktober: „Hier von einer - wie von dem Unternehmen jetzt geschehen - ,unverzüglichen Reaktion der Südwestfalen-IT‘ zu sprechen, halte ich zumindest für diskussionswürdig.“

SIT: Keine Attacke auf kommunale Systeme

Der SIT zufolge seien die externen Cyber-Security-Experten in ihrem Abschlussbericht zu dem Ergebnis gekommen, dass das schnelle Notabschalten der Rechner den Angriff eingedämmt habe. Es sei in der Folge nicht zu einer Attacke auf kommunale Systeme gekommen, wurde SIT-Sprecher Marcus Ewald bei der Deutschen Presse-Agentur (dpa) zitiert.

IT-Forensiker Zimmer schließt derweil nicht aus, dass es bereits viel früher Cyberattacken auf die SIT gegeben hat: „Dafür spricht, dass in der Vergangenheit offenbar zu viele Mechanismen gefehlt haben, mögliche Einfallstore für Kriminelle zu schließen. So wurde die SIT-Firewall, also das Sicherungssystem vor unerwünschten Netzwerkzugriffen, dem Abschlussbericht zufolge eineinhalb Monate vor dem Angriff nicht mehr aktualisiert und somit auch keine Informationen aus dieser kontrolliert. Das ist grobe Fahrlässigkeit.“

Unverständlich ist Zimmer ebenfalls, dass in einem Unternehmen von IT-Spezialisten im Homeoffice oder mobil arbeitende Mitarbeiter offenbar sich mit einfachsten Zugangsdaten inklusive Passwörter in das System wählen konnten – ohne eine Mehrfach-Authentifizierung bei der Anmeldung nutzen zu müssen: „Ich vergleiche so etwas gerne mit einem Haus: Man hat die Eingangstür mithilfe verschiedener Zusatzverriegelungen vor Einbrüchen geschützt, aber die Fenster stehen auf. Im Fall der SIT: Intern standen alle digitalen Leitungen sperrangelweit offen.“

Einmal gehackt und nie wieder?

Nach Zimmers Auffassung muss man zu dem Ergebnis kommen, dass „offenbar Mitarbeiter in der SIT schlecht gearbeitet haben und sehr schlampig mit den Daten vieler Bürger umgegangen sind“. In dem Unternehmen mit Sitz in Siegen und Hemer müsse eine gewisse Betriebsblindheit geherrscht haben, folgert der Sauerländer, „aber offenbar auch eine gewisse Arroganz gegenüber Cyber-Security-Experten, die Wachsamkeit bei Aktivitäten in Unternehmenssystemen anmahnen“.

War‘s das jetzt mit den Cyberattacken auf die Südwestfalen-IT? „Die Vorstellung, man ist einmal gehackt worden und dann passiert nichts mehr, ist geradezu naiv“, sagt Karsten Zimmer. Angegriffene Unternehmen stünden unter besonderer Beobachtung von kriminellen Hackern, die mitbekommen hätten, dass das Eindringen in die Systeme offenbar sehr leicht gemacht wurde.

Auch wenn es gut möglich sei, dass die jetzt verantwortlichen Akira-Hacker zunächst die Finger von der SIT ließen, wäre es aus Sicht Zimmers „nicht unüblich, dass sie Zugangsdaten im Darknet anbieten bzw. bereits angeboten haben – und andere Hacker-Gruppierungen Löcher im System suchen.“ Für Akira brächten Passwörter bares Geld, so Zimmer weiter: „In der kriminellen Szene gilt die Regel: Pro Account zahlt man um die 9 Euro. Hier macht es die Masse.“