Kurz vor Hackerattacke: SIT lehnte Cyber-Versicherung ab

Ende Oktober legte ein Hackerangriff auf die SIT die Kommunen und Kreise in Südwestfalen lahm. © IMAGO/Rene Traut | IMAGO stock

Hagen. An der Entscheidung waren laut SIT die Kommunen und Kreise beteiligt. Das sagt die Staatsanwaltschaft zu Ermittlungen gegen die SIT.

Der kommunale Dienstleister Südwestfalen-IT (SIT) hat sich kurz vor dem folgenschweren Hackerangriff auf seine Infrastruktur gegen eine spezielle Versicherung entschieden. Das bestätigte die SIT auf Anfrage dieser Zeitung. „In Abstimmung mit den Verbandsmitgliedern im Beirat und im Verwaltungsrat wurde im September 2023 vom Abschluss einer Cyberversicherung abgesehen“, teilte das Unternehmen mit. Das sei „einstimmig“ beschlossen worden.

Warum man sich gegen den Abschluss einer solchen Versicherung entschied, wie teuer diese gewesen wäre und was sie abgedeckt hätte, wollte die SIT nicht erläutern. Auch nicht, wer genau an der Entscheidung beteiligt war. Diese Fragen berührten vertrauliche Aspekte, zudem Persönlichkeitsrechte der an der Abstimmung beteiligten Vertreter, erklärte SIT-Sprecher Marcus Ewald.

Kreise und Kommunen entsenden Vertreter

Der an der Entscheidung beteiligte Verwaltungsrat besteht laut Satzung der SIT, die ein Zweckverband der Kreise und Kommunen Südwestfalens ist, aus 28 stimmberechtigten Vertreter. Diese werden von den Kreisen (elf) sowie den Städten und Gemeinden (17) gewählt.

Aus den Kreisen und Kommunen war in den vergangenen Wochen und Monaten teils scharfe Kritik an der SIT geäußert worden.

Der Verwaltungsrat, der um weitere beratende Mitglieder ergänzt werden kann, ist in der Regel unter anderem für die Besetzung der Geschäftsführung sowie für Sicherheitsstandards und IT-Strategie (mit-)verantwortlich. Zudem regelt das Gremium die Besetzung des ebenfalls an der Entscheidung über den (Nicht-)Abschluss einer Cyberversicherung beteiligten Beirat.

In Abstimmung mit den Verbandsmitgliedern im Beirat und im Verwaltungsrat wurde im September 2023 vom Abschluss einer Cyberversicherung abgesehen.

Südwestfalen-IT

Neuer SIT-Chef soll „Konsequenzen“ prüfen

Ob und in welchem Umfang eine Cyberversicherung die massiven Folgen des Ende Oktober entdeckten Hackerangriffs auf die SIT gedeckt hätte, ist unklar, unter anderem weil die SIT keine Angaben zu den Konditionen eines solchen Schutzes macht. Ohne Cyberversicherung bleibt dem Unternehmen noch die Betriebshaftpflicht, über welche die SIT laut eigenen Angaben verfügt. Diese bestehe bei der GVV Kommunalversicherung. Inwieweit die Betriebshaftpflicht greift, konnte die SIT noch nicht sagen.

„Jeder gemeldete Schaden wird einer Einzelfallprüfung unterzogen, sobald Höhe und Umfang klar sind. Derzeit sind die SIT und die Kommunen noch mit der Bewältigung der Folgen des Cyberangriffs beschäftigt. Erst wenn diese abgeschlossen ist, können die Kosten dafür beziffert werden“, teilte das Unternehmen mit.

Daneben bleiben noch mögliche Regressforderungen der Verbandsmitglieder zu klären - und auch die Frage, inwieweit Versäumnisse der SIT sich negativ auf den Versicherungsschutz auswirken könnten. Das Unternehmen hatte in der Vorwoche einen forensischen Abschlussbericht zu dem Hackerangriff, der mehr als 70 Kommunen seit Ende Oktober erheblich einschränkt, veröffentlicht. Demnach gab es gravierende Sicherheitslücken. So war etwa ein Administrator-Passwort in den SIT-Systemen entschlüsselbar, es kam keine Zwei-Faktor-Authentifizierung zum Einsatz, auch war die SIT-Firewall nicht auf dem aktuellen Stand.

Insbesondere letztgenannter Punkt erstaunt, da viele Privatanwender auf automatische Updates ihrer Firewalls vertrauen. Die SIT hingegen offenbar nicht. Warum nicht? Gute Frage - welche die SIT nicht beantwortete. Stattdessen erfolgte ein Verweis auf den neuen Geschäftsführer Mirco Pinske, der seit Donnerstag im Amt ist. Ihm obliege die weitere Aufarbeitung des Vorfalls - und auch „das Ableiten entsprechender Konsequenzen“, erklärte die SIT.

„Mir ist bewusst, dass hier – besonders durch die jüngsten Entwicklungen – eine große Aufgabe vor mir liegt. Ich werde alles daran setzen, das im Zuge des Cyberangriffs verloren gegangene Vertrauen der Kunden zurückzugewinnen“, kündigte Pinske, ein 47 Jahre alter Diplom-Kaufmann, an.

Mir ist bewusst, dass hier – besonders durch die jüngsten Entwicklungen – eine große Aufgabe vor mir liegt.

Mirco Pinske, neuer Geschäftsführer der SIT

Strafrechtliche Konsequenzen? So reagiert die Staatsanwaltschaft

Neben dem Bericht der SIT zum Hackerangriff soll es auch ein Gutachten der Polizei geben. Es würden „eigenständige IT-forensische Untersuchungen durchgeführt“. Das erklärte die zuständige Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW), die bei der Kölner Staatsanwaltschaft angesiedelt ist. Die Ermittlungen seien allerdings noch nicht abgeschlossen. Weiteres könne man aus ermittlungstaktischen Gründen derzeit nicht bekanntgeben.

Eine Bewertung der SIT-Untersuchung wollte die Behörde nicht vornehmen. Ein Ergebnis aber - das umstritten ist - bestätigte die Staatsanwaltschaft: „Nach dem derzeitigen Kenntnisstand bestehen keine belastbaren Anhaltspunkte für einen Datenabfluss.“

Strafrechtliche Konsequenzen drohen Mitarbeitern der SIT nach derzeitigem Stand im Übrigen wohl nicht. Entsprechende Ermittlungsverfahren „wurden hier nicht eingeleitet“, teilte die Staatsanwaltschaft mit. „Etwaige Versäumnisse einzelner Mitarbeiter der Geschädigten im Hinblick auf Vorkehrungen zur IT-Sicherheit sind nach hiesiger Bewertung bereits deshalb ohne strafrechtliche Relevanz, weil sämtliche in Betracht kommenden Straftatbestände lediglich eine vorsätzliche Begehung unter Strafe stellen und Anhaltspunkte für einen solchen Vorsatz nicht bestehen“, hieß es weiter.