Siegen. „Es war keine Frage ob, sondern wann“, so der Siegener IT-Experte Markus Weber über die Cyberattacke. Die Folgen zu bewältigen, dürfte dauern.
Bis die Computersysteme der öffentlichen Verwaltungen in Südwestfalen wieder uneingeschränkt funktionieren, dürfte es dauern. Es zeichnet sich ab, dass die Einschränkungen durch den Cyberangriff auf die Südwestfalen-IT (SIT) eher Wochen als Tage anhalten werden. Die betroffenen Städte und Gemeinden als Kunden des kommunalen Dienstleistern richten sich darauf ein, möglichst viele Dienstleistungen analog zu erbringen. Währenddessen laufen bei der SIT Analyse und Schadensbegrenzung.
+++Mehr Nachrichten aus Siegen und dem Siegerland finden Sie hier!+++
Mehr als 70 Kunden betreut die SIT, Kreise und Kommunen in einem riesigen Netzwerk über ganz Südwestfalen. Aufgefallen war der Angriff in der Nacht zu Montag in der Kreisleitstelle Siegen-Wittgenstein, wo Diensthabende ungewöhnliche verschlüsselte Dateien entdeckten, die sich dann als Ransomware entpuppten, sogenannte „Erpressungstrojaner“. Die Schadsoftware breitet sich im Computersystem aus, „infiziert“ die Dateien dort und macht sie unbrauchbar für die Nutzer – sie können ihre Geräte nicht mehr nutzen. Die Angreifer fordern in solchen Fällen Lösegeld, damit sie wieder Zugriff gewähren. Das bestätigte der Kreis inzwischen.
SIT Siegen betreut Kunden mit tausenden Beschäftigten – alle potenziell infiziert
Die Rechenzentren wurden schnell heruntergefahren, an alle Kunden und deren Beschäftigte erging umgehend Anweisung: Computer nicht einschalten. Erste Schadensbegrenzung, damit sich das Virus nicht weiter ausbreiten kann. Das Problem: Die Täter sind in der Regel keine Amateure. Sie wissen genau, wie solche Computersysteme geschützt werden sollen. Regelmäßig werden Backups erstellt, Kopien des kompletten Datenbestands. Im Ernstfall soll also das letzte nicht infizierte Backup wieder hergestellt werden, das System läuft wieder, so die Theorie.
So einfach ist das aber nicht, erklärt Markus Weber, Geschäftsführer des Siegener IT-Unternehmens Dokuworks, das Betroffene von Cyberangriffen in Notfällen in Sachen Krisenmanagement berät. „Hacker zielen auch auf Backups ab“ – es gab demnach Fälle, in denen sich die Hacker unerkannt seit 50 Tagen im angegriffenen Netzwerk bewegt hatten, bevor sie die Falle zuschnappen ließen. Das Virus war tief drin – jedes halbwegs frische Backup hätte es nur wieder reproduziert. Infiziert sind potenziell auch alle Geräte im Netzwerk: Jeder Computer, jeder Laptop, jedes Tablet, jedes Diensthandy. Rund 20.000 Beschäftigte arbeiten in dem Netzwerk, das von der SIT bereitgestellt wird.
Cyberangriff in Siegen: Am noch abgesperrten Tatort putzt man noch nicht
Die Täter setzen darauf, dass ihre Opfer einknicken und Lösegeld zahlen, um möglichst schnell wieder arbeitsfähig zu werden. Bei Privatunternehmen kann ein wochenlanger Ausfall der IT den Ruin bedeuten. Experten wie Weber raten grundsätzlich davon ab, sich erpressen zu lassen: Damit sei die Gefahr nicht gebannt, es gebe keinerlei Gewähr, dass die Angreifer sich zurückziehen oder die Systeme überhaupt freigeben. Derzeit ist noch nicht bekannt, wie stark die Systeme tatsächlich betroffen sind.
Was also tun? In den nächsten Tagen und Wochen sind SIT und Kommunen auf unterschiedlichen Feldern gefragt. Die SIT muss zunächst genau wissen, wie tief das Virus eingedrungen ist – und ob der Angriff überhaupt beendet ist. Alle Systeme sind abgeschaltet und werden nacheinander wieder hochgefahren – abgeschottet, ohne Zugriff von außen, um nachzuschauen, was und wie verschlüsselt ist, erklärt Markus Weber das Prozedere. Liegt das Ausmaß des Schadens irgendwann vor, kann mit dem „Wiederaufbau“ begonnen werden. „Solange ein Tatort noch abgesperrt ist, putzt man nicht.“ Auch das kann dauern. Jedes einzelne Gerät muss von der Schadsoftware gereinigt werden. Ein verseuchter Laptop im ansonsten sauberen Netzwerk und alles war umsonst. Dafür gibt es leistungsfähige Virenscanner – aber die brauchen auch durchaus einige Stunden, bis ein Gerät „desinfiziert“ ist. Es gibt viele Laptops im Siegener Kreishaus. Und nicht nur da.
Siegen – Fachkräftemangel im Cyberbereich: „Ein Riesenproblem“
Die Kommunen können währenddessen nicht viel mehr tun, als ihre Notfallpläne aktivieren, so sie denn welche haben. „Einige Verwaltungen haben einiges richtig gemacht und sind analog top vorbereitet“, lobt Weber. Der Kreis etwa sei innerhalb eines Tages in der Lage gewesen, eine Notfall-Telefonnummer zu schalten, die auch sehr stark frequentiert sei, es sei auch bereits begonnen worden, eine neu IT-Infrastruktur aufzubauen. Viele Kommunen zogen nach. Die Stadt Siegen beispielsweise kann Urkunden drucken und hilft den Nachbarn aus. Die Städte und Gemeinden müssten sich technisch auf den Dienstleister verlassen und ansonsten auf die Krise vorbereitet sein – „es ist keine Frage, ob, sondern wann“, so der Experte. Irgendwann musste der Tag kommen, „dann zieht man den Ordner aus dem Schrank und legt los“. Der Dienstleister könne umgekehrt nicht dafür sorgen, wie die Stadt mit ihren Bürgern umgeht. Alle Mitarbeiter nach Hause zu schicken, sei jedenfalls keine gute Option.
+++Die Lokalredaktion Siegen ist auch bei Facebook!+++
Cyberangriff auf Verwaltungen in Südwestfalen - mehr zum Thema:
- Entscheidend: Wie tief sind Hacker in Systeme eingedrungen?
- Cyberattacke auf Südwestfalen: Was bislang bekannt ist
- IT-Experte nach Cyberattacke: Das kann noch Wochen dauern
- Landeskriminalamt enthüllt: So arbeiten moderne Hacker
- Video: Cyberangriff auf Kommunen in Südwestfalen
IT-Sicherheit ist ein „Wettrüsten mit den Hackern“, sagt Markus Weber. „Cyberangriffe sind ein Kriegsmittel“, für welche Ziele auch immer, Geld oder politische Motive. Auch das weiß man bisher nicht. Absolute Sicherheit jedenfalls gebe es nicht, „man kann nie alles tun.“ Mehr Geld verspreche mehr Sicherheit, aber keine absolute. Zumal sich der Personalmangel in der IT-Branche ganz besonders zeige. Unternehmen würden die wenigen Fachkräfte mit Gehältern locken, mit denen die öffentliche Hand schlicht nicht konkurrieren könne. „Im Cyberbereich ist das ein Riesenproblem“, sagt Markus Weber.