Nach Attacke auf Südwestfalen-IT: Jetzt spricht der Chef

Erst alle Systeme wieder ans Laufen bringen, dann die Konsequenzen aus dem Hackerangriff ziehen: Mirco Pinske, Geschäftsführer der Südwestfalen-IT. © FUNKE Foto Services | Ralf Rottmann

Hemer/Siegen. Mirco Pinske hat seinen Job als Chef der Südwestfalen-IT erst nach dem Hackerangriff angetreten. Was er über Konsequenzen sagt.

Mirco Pinske ist Geschäftsführer der Südwestfalen-IT. Das ist der Dienstleister, der im vergangenen Herbst bundesweit Schlagzeilen machte, weil er einem spektakulären Hackerangriff zum Opfer fiel. 72 Kommunen, in Südwestfalen, waren weitgehend lahmgelegt. Der 48-Jährige trat seinen Job erst im Februar 2024 an, also nach der Attacke. Die WESTFALENPOST hat mit ihm gesprochen: über Verantwortung, Aufbauarbeiten und Fehler.

Haben Sie den miesesten Job in Südwestfalen?

Auf keinen Fall. Mein Wechsel stand schon vor dem Hackerangriff fest. Die Südwestfalen-IT hat mich begeistert, weil sich hier Kommunen zusammenschließen, um gemeinsam die Digitalisierung voranzubringen, und das für eine sehr große Region. Das ist ein sehr gutes und notwendiges Modell, eine Stadt alleine schafft das nicht. Wir können den Bürgerinnen und Bürgern tatsächlich mit unseren Dienstleistungen konkret helfen.

Aber dann kamen die Hacker.

Das hat natürlich alles verändert. Damit verliert der Job aber nicht an Reiz, eher im Gegenteil. Unser erstes Ziel war selbstverständlich, die Krise zu bekämpfen und alle Angebote wieder herzustellen. Ich habe im Februar dieses Jahres angefangen, da waren die Mitarbeiterinnen und Mitarbeiter schon mitten in der Aufarbeitung. Ich muss sagen: Die haben alles gegeben. Das war sehr beeindruckend. Auch deshalb konnten wir in Zusammenarbeit mit den Kommunen viele Angebote relativ schnell wieder zur Verfügung stellen. Angesichts der Tragweite des Cyberangriffs konnte das Team die realen Beeinträchtigungen für die Bürgerinnen und Bürger auf ein Minimum zurückfahren. Das Wichtigste: Schon rasch konnte jeder etwa sein Auto zulassen, wenn auch in einem anderen Kreis, jeder hat seinen neuen Personalausweis bekommen.

Aber die Kommunen waren zwischendurch sehr unzufrieden.

Eines vorweg: Niemand ist vor so einem Hackerangriff gefeit. Auch in Zukunft wird es solche Attacken geben. Was sehr deutlich war: Wir waren auf eine solche Cyberattacke nicht vorbereitet und konnten gerade in der Anfangszeit kaum relevante Informationen für die Kommunen bereitstellen, weil wir sie selbst nicht hatten. Das frustriert natürlich. Wir analysieren gerade – mit externer Unterstützung –, was wir in Zukunft besser machen müssen, zum Beispiel wenn es um die Priorisierung der Fachverfahren geht oder um die Frage, was passiert, wenn die gesamte E-Mail-Kommunikation ausfällt und Ansprechpartner nicht mehr zu erreichen sind.

Zur Wahrheit gehört auch, dass vor dem Angriff grundlegende Sicherheitsstandards nicht eingehalten wurden, zum Beispiel die Zwei-Wege-Authentifizierung und starke Passwörter. Das sollte einem IT-Unternehmen nicht passieren.

Absolut! Auch das analysieren wir in einer umfangreichen Compliance-Untersuchung. Es gab Versäumnisse. Selbstverständlich existierte auch vor dem Angriff eine Passwortrichtlinie. Die Frage ist: Wurde sie auch im gesamten Verbandsgebiet umgesetzt? Sie dürfen nicht vergessen: Wir bedienen 72 Kommunen mit mehr als 180 Fachverfahren, von der Kfz-Anmeldung bis zur Bolzplatzverwaltung. Da sind mehr als 2000 Server im Einsatz.

Einige Kunden wollten sogar kündigen und sich selbst um ihre IT-Sicherheit kümmern.

Ja, das ist richtig. Aber diese Diskussion hat sich beruhigt. Wir haben glaubhaft vermittelt, dass wir die richtigen Konsequenzen ziehen und uns neu aufstellen. Wir haben die Schwachstellen in Zusammenarbeit mit einer externen Sicherheitsfirma analysiert und schonungslos offengelegt, indem wir den forensischen Bericht vollständig veröffentlicht haben. Nun verfügen wir über ein höheres Sicherheitsniveau. Und zu glauben, man werde als Stadt nicht von Hackern angegriffen, weil man zu klein sei, ist ein Trugschluss.

Gibt es schon Schadenersatzforderungen von Kommunen?

Nein, es gibt keine Forderungen. Ich weiß aber, dass einzelne Kunden das noch prüfen.

Sie haben von Versäumnissen gesprochen. Gab es personelle Konsequenzen?

Zunächst bin ich neuer Geschäftsführer. Das ist eine erhebliche Veränderung. Und in dieser Rolle habe ich mich in den vergangenen Monaten darauf konzentriert, alle Verfahren wieder ans Laufen zu bekommen, damit es keine Beeinträchtigungen mehr für die Bürger gibt. Im Compliance-Prozess stellt sich aber natürlich auch die Frage der Verantwortung im Vorfeld.

In NRW gibt es 32 IT-Dienstleister Ihrer Art, in Hessen nur zwei. Was halten Sie von einer Zentralisierung?

Die Diskussion über einen landesweiten Dienstleister halte ich zunächst für legitim. Man muss sich aber sehr genau anschauen, welche Leistungen dann zentralisiert werden sollten, zum Beispiel den Betrieb des Rechenzentrums. Beim Thema Service ist das eine andere Sache. Wir dürfen nicht vergessen, dass wir hier in einer sehr ländlichen Region leben. Wenn dann alles etwa aus der Landeshauptstadt gesteuert wird, halte ich das nicht für kundenfreundlich.

Wann laufen wieder alle Systeme so wie vor dem Angriff?

Ziel ist der 30. September, und das schaffen wir. Wir sind also deutlich schneller als andere, bei denen es bis zu zwei Jahre gedauert hat.

Warum hatte die SIT keine Cyberversicherung?

Zunächst einmal ist fraglich, ob die Versicherung in diesem Fall aufgrund der Versäumnisse überhaupt gegriffen hätte. Unabhängig davon: Zum damaligen Zeitpunkt hat man sich dagegen entschieden, weil Beiträge und Deckungsbetrag in keinem guten Verhältnis standen. Aber auch das überprüfen wir.

Die SIT wird von Politikern kontrolliert, unter anderem von den Landräten. Deren Wissensschwerpunkt ist sicher nicht die IT-Sicherheit.

Zum Restrukturierungsprozess gehört auch die Frage, ob der Zweckverband die richtige Rechtsform für ein IT-Unternehmen ist. Darüber werden wir mit unseren Eigentümern sprechen. Ist ein agiler Dienstleister beispielsweise in einer GmbH nicht besser aufgehoben als in einem Zweckverband?

Der Fachkräftemangel ist in der IT-Branche besonders stark ausgeprägt. Warum sollten Fachleute zur SIT gehen.

Weil bei uns in den nächsten zwei bis drei Jahren mehr Entwicklung passieren wird als in anderen Unternehmen in zehn Jahren! Bei uns können Menschen in einem spannenden dynamischen Umfeld arbeiten. Der öffentliche Dienst bietet viele Vorteile, wir legen Wert auf eine gute Work-Life-Balance. Unsere beiden Standorte Hemer und Siegen können eine hohe Lebensqualität liefern. Und: Die Arbeit ist spannend, wir bewegen Dinge für den Bürger, wir digitalisieren Südwestfalen. Wir arbeiten in agilen Teams an neuen Produkten, auch mithilfe von Künstlicher Intelligenz.