Arnsberg/Hagen. Ein Arnsberger Unternehmer fordert Schadenersatz nach der Cyberattacke auf Südwestfalen-IT. Das Gericht sieht (bisher) keinen Anspruch.

Die massiven Folgen des Hackerangriffs auf den kommunalen Dienstleister Südwestfalen-IT (SIT) sind am Montag vor Gericht verhandelt worden. Der Arnsberger Unternehmer Joachim Drees hatte über seine Immobilienfirma Vesda GmbH eine Zivilklage eingereicht und den Hochsauerlandkreis auf Schadenersatz verklagt, weil seiner Meinung nach auch die Behörde rund um die Cyberattacke schwere Versäumnisse zu verantworten habe. In dem Güte- und Verhandlungstermin am Montag vor dem Landgericht Arnsberg fiel aber vorerst keine Entscheidung in der Sache.

Das liegt zum einen daran, dass sich die Parteien zu Beginn der mündlichen Verhandlung nicht gütlich einigen konnten. Und zum anderen daran, dass das Gericht „die Voraussetzungen für einen Schadenersatzanspruch nicht hinreichend dargelegt“ sieht, wie Alexander Brüggemeier, Sprecher des Landgerichts Arnsberg, nach dem Termin zusammenfasst. Dies beziehe sich sowohl auf die vermeintliche Amtspflichtverletzung des Hochsauerlandkreises als auch auf die Kausalität und auf die Schadenshöhe. Der Kläger hat innerhalb einer zweiwöchigen Frist Gelegenheit, weiter dazu Stellung zu nehmen. Erst dann wisse man, wie es in dem Fall weitergehe.

Laut Klageschrift geht es in dem Verfahren um Schadenersatz in Höhe von 1633 Euro und 59 Cent, also eine Summe, die „uns nicht in die Insolvenz treibt“, wie Joachim Drees vor dem Termin sagte. Ihm aber gehe es um mehr, nämlich „ums Prinzip“ und um „substanzielle Dinge“. Er wolle wachrütteln, die „Fahrlässigkeit von Behörden bei IT-Themen“ müsse aufhören. Der Unternehmer, der auch Gesellschafter der Fröndenberger Stahl- und Kunststofffirma H&R ist, fühlt sich zudem von den Behörden mit Vorgaben überhäuft – und will den Spieß nun umdrehen.

„Wir werden in der Industrie und im Dienstleistungssektor über Vorschriften und Vorschriften gegängelt. Wir müssen beispielsweise ein Business-Continuity-Management unterhalten, das heißt, wir müssen garantieren, dass wir bei einem Ausfall unserer IT-Systeme in der Lage sind, unsere Geschäftsprozesse aufrechtzuerhalten und Rechnungen zu schreiben. Diesen Plan müssen wir Banken präsentieren, wenn wir eine Finanzierung haben möchten“, erklärt der 68-Jährige, der findet: „Wenn man solche und andere Dinge von Unternehmen verlangt, dann darf der Unternehmer, der von solchen Vorgaben gegängelt wird, doch erwarten, dass auch Behörden ihre Prozesse und IT-Systeme so aufstellen, dass bei einem Ausfall eine Absicherung existiert.“

Joachim Drees, VESDA GmbH Arnsberg

„Wir werden in der Industrie und im Dienstleistungssektor über Vorschriften und Vorschriften gegängelt. (...) Als Unternehmer darf man dann doch erwarten, dass auch Behörden ihre Prozesse und IT-Systeme so aufstellen, dass bei einem Ausfall eine Absicherung existiert.“

Joachim Drees

Es geht um die Kosten für einen Mietwagen

Die Cyberattacke auf die Südwestfalen-IT, welche ein Dienstleister für die Behörden in der Region ist, hatte vor einem Jahr die IT-Systeme von 72 Kommunen und Kreisen in Südwestfalen weitgehend lahmgelegt, unter anderem zeitweise die Kfz-Zulassung auch im HSK. Erst ab Mitte November war dieser Service durch Amtshilfe bei den Kreisen Paderborn und Waldeck-Frankenberg wieder möglich.

Drees möchte vom HSK die Kosten für einen Mietwagen erstattet bekommen, eben jene 1633,59 Euro (nebst Zinsen). Auf das Kfz habe seine Vesda GmbH zurückgreifen müssen, weil die Zulassung eines Firmenwagens für einen Außendienstmitarbeiter im Herbst infolge des Hackerangriffs auf die Südwestfalen-IT zunächst nicht möglich gewesen sei. Den Firmenwagen habe die Vesda GmbH erst nach Ablauf von 22 Tagen anmelden können. Die Versicherung des HSK hatte eine Kostenübernahme abgelehnt. Deshalb klagt Drees gegen den HSK.

Mehr zum Thema

Wie erwähnt, ist das aber lediglich der Aufhänger. Drees möchte vor allem vom Hochsauerlandkreis erfahren, welche Maßnahmen ergriffen wurden, um für mögliche künftige Cyberattacken besser gewappnet zu sein. Bisher sei da jedoch wenig geschehen, meint der Unternehmer. Die Südwestfalen-IT habe zwar einen neuen Geschäftsführer installiert – zum 1. Februar, also etwa drei Monate nach dem Hackerangriff, trat Mirco Pinske seinen Posten an –, das sei aber alles. „Mein Eindruck ist, dass versucht wird, die Probleme auf HSK-Seite auszusitzen. Für mich ist nicht spürbar, dass man sich bemüht, dass solch ein Systemausfall nicht wieder auftreten kann“, sagte Drees schon vor dem Termin.

An dieser Meinung änderte sich auch danach wenig. „Ich bin wenig begeistert von dem Termin heute, weil ich das Gefühl habe, dass der HSK nicht verstanden hat, worum es eigentlich geht. Das ist ja nicht das Geld allein, sondern das sind die Versäumnisse, die es beim Kreis gegeben hat, und die Konsequenzen, die folgen müssten. Aber sie verstehen es bis heute nicht“, so Drees, der persönlich bei Gericht erschien. Zum Zwischenstand nach dem Termin vor Gericht sagt er: „Paradoxerweise glaubt man uns nicht, dass das Ersatzfahrzeug auch genutzt wurde. Welche Einfältigkeit auch hier! Wir müssen nun etwas bei der Beweiskraft nachschärfen und dann schauen wir, was dabei herauskommt.“

Mirco Pinske ist seit Februar 2024 neuer Geschäftsführer der Südwestfalen-IT. Er fing bei dem kommunalen IT-Dienstleister etwa vier Monate nach der Hackerattacke an.
Mirco Pinske ist seit Februar 2024 neuer Geschäftsführer der Südwestfalen-IT. Er fing bei dem kommunalen IT-Dienstleister etwa vier Monate nach der Hackerattacke an. © FUNKE Foto Services | Ralf Rottmann

Für die Auseinandersetzung zwischen Drees und dem HSK wäre das Landgericht Arnsberg normalerweise gar nicht zuständig, weil der Streitwert unter 5000 Euro liegt. Aber Drees geht es um eine Staatshaftung bei Amtspflichtverletzungen. Der HSK, so der Ansatz des Unternehmers, hätte sich nicht allein auf die Südwestfalen-IT verlassen dürfen, sondern ein eigenes Ersatz-IT-System in der Hinterhand haben müssen, um im Fall eines Hackerangriffs handlungsfähig zu sein. Er erwarte bei einer Behörde „Standards wie in der Industrie“.

Markus Ogorek, Univ.-Prof. Dr. iur. Markus Ogorek, Direktor des Instituts für Öffentliches Recht und Verwaltungslehre der Universität zu Köln

„Der Vorwurf, der Kreis habe mit dem Ausfall des IT-Dienstleisters rechnen und eine Ersatz-Infrastruktur aufbauen müssen, überspannt die Anforderungen an den Betrieb staatlicher Infrastruktur.“

Prof. Dr. Markus Ogorek

Prof. Dr. Markus Ogorek, Direktor des Instituts für Öffentliches Recht und Verwaltungslehre der Universität zu Köln, hatte der Westfalenpost gesagt, dass diese Erwartung die Anforderungen an den Betrieb staatlicher Infrastruktur überspanne. Kfz-Zulassungen und ähnliche kommunale Verwaltungsleistungen beträfen keine besonders kritischen Bereiche wie die Innere Sicherheit, die Energie- oder die Krankenversorgung, für die in Deutschland besondere gesetzliche Anforderungen gelten würden (z.B. redundante Systeme).

Für den – in den Augen des Kölner Juristen unwahrscheinlichen – Fall eines Erfolgs der Klage weist Ogorek darauf hin, dass damit kein „Grundsatzurteil“ vorläge. Jedoch könnte es dazu führen, „dass sich Bürger in anderen, von der Hackerattacke betroffenen Kreisen und Gemeinden zur Klage motiviert sähen“, so der Verwaltungsrechtler.