Hackerangriff: Südwestfalen-IT entlässt Ex-Geschäftsführer

Nichts ging mehr: Nach der Cyberattacke auf die Südwestfalen-IT mussten viele Rathäuser in der Region ihren Bürgerservice einstellen. © WP | Hendrik Schulz

Siegen/Hemer. Die Systeme laufen wieder, jetzt arbeitet die Südwestfalen-IT den Hackerangriff auch organisatorisch auf. Mit Folgen für Mitarbeiter.

Vor gut einem Jahr legten Kriminelle die Rathäuser in Südwestfalen lahm, jetzt hat der Hackerangriff auf die Südwestfalen-IT (SIT) auch personelle Konsequenzen. Der IT-Dienstleister, der rund 70 Kommunen in der Region betreut, hat nach Informationen der WESTFALENPOST einer ehemaligen Führungskraft gekündigt und gegen weitere Mitarbeiter Disziplinarmaßnahmen ausgesprochen. Das hat das Unternehmen in einer Betriebsversammlung mitgeteilt. Konkrete Namen und Positionen der Betroffenen wurden dabei nicht genannt.

Nach Informationen dieser Redaktion handelt es sich jedoch bei zwei Betroffenen um ehemalige Geschäftsführer der Südwestfalen-IT. Einer von ihnen schied bereits am 31. März 2022 aus der Geschäftsführung aus, wurde aber bei gleichen Bezügen weiterbeschäftigt, unter anderem, um in Gremien des Unternehmens zu arbeiten. Er betreibt parallel eine Management-Beratung und würde im kommenden Jahr bei der SIT in den Ruhestand gehen. Seine Kündigung wurde nun beschlossen.

Ehemaliger Geschäftsführer stand weiter auf Gehaltsliste

Grund für seine Degradierung sollen damals unterschiedliche Ansichten über die zukünftige Ausrichtung der Südwestfalen-IT gewesen sein. Zudem galt sein Verhältnis zum zweiten Geschäftsführer als angespannt. Dieser übernahm am 1. April 2022 die alleinige Leitung der SIT, verließ sie aber am 30. September 2023, also einen Monat vor dem Hackerangriff. Das Unternehmen führte zwei Geschäftsführer auf der Gehaltsliste, weil es sich im Jahr 2018 aus der Citkomm (Hemer) und der KDZ Westfalen-Süd (Siegen) zur SIT zusammengeschlossen hatte.

Den beiden Führungskräften werden in einem Compliance-Bericht, den die Südwestfalen-IT nach der Cyberattacke bei der international tätigen Rechtsanwaltskanzlei CMS in Auftrag gegeben hatte, Versäumnisse vorgeworfen, die den Hackerangriff begünstigt haben sollen. Ein solcher Bericht untersucht die Einhaltung von Gesetzen und anderen Regeln in einem Unternehmen oder einer Organisation und deckt Versäumnisse auf. „Die Compliance-Untersuchung kommt zu dem Schluss, dass beispielsweise Prozesse im Zusammenhang mit Sicherheits-Updates nicht ausreichend formalisiert waren, Zuständigkeiten im Bereich der IT-Sicherheit sowie des Informationsaustauschs zwischen Gremien des Zweckverbands teils nicht ausreichend strukturiert waren und Passwortrichtlinien nicht genügend organisiert waren. Dies ist teilweise auch auf organisatorische Mängel und Versäumnisse bestimmter verantwortlicher Personen zurückzuführen“, teilte die Südwestfalen-IT auf Anfrage der WESTFALENPOST mit.

Grundlegende Sicherheitsstandards nicht eingehalten

Zu Einzelheiten der ergriffenen oder geplanten Maßnahmen wollte die Südwestfalen-IT „im Interesse und zum Schutz der betroffenen Personen“ keine Angaben machen. Die beiden ehemaligen Geschäftsführer wollten sich auf Anfrage dieser Redaktion nicht zur Südwestfalen-IT äußern.

Nach dem Hackerangriff war bekannt geworden, dass die Südwestfalen-IT grundlegende Sicherheitsstandards nicht eingehalten hatte. So wurde etwa die Passwortrichtlinie offenbar nicht im gesamten Verbandsgebiet konsequent umgesetzt. Die Folge waren schwache, also leicht zu ermittelnde Passwörter. Zudem fehlte eine Zwei-Faktor-Authentifizierung. Sie macht es erforderlich, dass Nutzer sich zusätzlich zum Passwort über einen zweiten Weg identifizieren müssen, wenn sie sich in ein System einloggen wollen. Sie ist - nicht nur in IT-Unternehmen - Standard. Die Südwestfalen-IT betreut bei ihren Kunden mehr als 20.000 Arbeitsplätze.

Der Erpresser-Software-Angriff hat nach Angaben des Unternehmens bis jetzt Mehrkosten von mindestens 2,8 Millionen Euro verursacht. Um die Sicherheit der Systeme weiter zu optimieren, seien auch im kommenden Geschäftsjahr Investitionen in sechsstelliger Höhe kalkuliert. Die zusätzlichen Ausgaben müssen die Kunden, also die Kommunen, über höhere Umlagen ausgleichen.

Die Südwestfalen-IT hat einen Sitz in Siegen (Foto) und einen in Hemer. © WP | Florian Adam

Nach Informationen dieser Redaktion hat der Compliance-Bericht jedoch keine grobe Fahrlässigkeit bei den betroffenen Führungskräften festgestellt. Deshalb wird die Südwestfalen-IT nach derzeitigem Stand auch keine Schadenersatzforderungen an die ehemaligen Geschäftsführer stellen.

Dennoch sollen nach der Hackerattacke auch organisatorische Konsequenzen folgen. Derzeit werden die Entscheidungsprozesse des kommunalen Dienstleisters noch von zahlreichen Gremien beeinflusst. Allein in der Verbandsversammlung sitzen 119 Mitglieder; der Verbandsvorstand besteht mehrheitlich aus Politikern, nicht aus IT-Experten. Das soll sich nun ändern: „Neben den bereits umgesetzten technischen Sicherheitsmaßnahmen hat die SIT begonnen, weitere Maßnahmen zu ergreifen, um Managementstrukturen besser aufzustellen und interne Berichtsprozesse zu verbessern“, teilte das Unternehmen mit. „Um die ‚neue‘ SIT zukunftssicher aufzustellen, wird daher gerade ein Maßnahmenpaket erarbeitet, das mittelfristig Aufgabenbereiche stärker bündelt, Zuständigkeiten im Bereich der IT-Sicherheit klarer zuweist und Entscheidungswege effizienter machen wird.“