Cyberattacke Siegen: SIT hat keinen Kontakt zu Erpressern

Die Täter dringen in Computersysteme ein, verschlüsseln die Daten und erpressen die Nutzer, diese nur gegen ein Lösegeld wieder freigeben zu wollen (Symbolbild). © Getty Images/iStockphoto | solarseven

Siegen. Nach dem Cyberangriff auf die Südwestfalen-IT gibt es erstmals Einblick in den Ausmaß des Schadens. Demnach seien viele Systeme nicht betroffen.

Eine Woche nach dem Hackerangriff auf den Dienstleister Südwestfalen-IT (SIT) haben Ermittler nun offiziell den Einsatz einer Erpresser-Software bestätigt. Diese sogenannte Ransomware sei verwendet worden mit dem Ziel, Lösegeld zu erlangen, teilte die Polizei in Dortmund am Montag unter Berufung auf die Zentral- und Ansprechstelle Cybercrime (ZAC) bei der Kölner Staatsanwaltschaft mit. „Kontakt zur Tätergruppe besteht derzeit nicht.“ Die Angreifer verschaffen sich in solchen Fällen in der Regel Zugang zu einem Netzwerk, „infizieren“ dieses mit den sogenannten Erpressungstrojanern und lassen die Falle zuschnappen, wenn sich das Virus weit genug verbreitet hat. Daten und Dateien sind dann gesperrt, nur gegen Zahlung eines Lösegelds werde man sie wieder freigeben.

+++Mehr Nachrichten aus Siegen und dem Siegerland finden Sie hier!+++

Die SIT selbst hat inzwischen ein Büro mit der Krisenkommunikation beauftragt: Die Angreifer seien „höchst professionell“ vorgegangen, heißt es in einer ersten Mitteilung der Agentur am Montag, 6. November. Gleichzeitig seien viele Systeme nicht von der Schadsoftware betroffen, so der stellvertretende SIT-Geschäftsführer Jörg Kowalke – sehr wohl aber von der dennoch erforderlichen Notabschaltung. Nach wie vor läuft demnach die Analyse des Schadensausmaßes. Davon, wie tief das Computervirus in die Systeme eingedrungen ist, hängt auch die Dauer der Wiederherstellung ab.

Südwestfalen-IT: Nach Cyberattacke helfen externe Spezialisten

Der Dienstleister Südwestfalen-IT war vor einer Woche Opfer eines kriminellen Cyber-Angriffs geworden. Als Folge darauf sind seitdem Service und Betrieb mehrerer kommunaler Verwaltungen in NRW eingeschränkt. In den 72 betroffenen Kommunen – zum Verband gehören die Kreise Siegen-Wittgenstein, Olpe, Soest, Hochsauerlandkreis, Märkischer Kreis, Teile des Rheinisch-Bergischen Kreises sowie die Stadt Schwerte – wird an alternativen Lösungen gearbeitet (wir berichteten). Not-Homepages sind vielfach online gegangen, verstärkt wird ausgewichen auf Papierdokumente. Einige Dienstleistungen sind so wieder möglich, bei anderen gibt es nach wie vor erhebliche Einschränkungen – bei der Kfz-Zulassungsstelle etwa.

Bislang hatte die SIT lediglich von „Ransomware“ im Zusammenhang mit der Cyberattacke gesprochen, Ermittler hatten sich dazu noch nicht geäußert. Der Kreis Siegen-Wittgenstein hatte aber mitgeteilt, dass es einen Erpressungsversuch gegeben habe. Der IT-Dienstleister nutze „nunmehr auch externe Hilfe“ und stehe mit weiteren Netzwerkpartnern wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in Kontakt, hieß es von der Dortmunder Polizei.

Verschärfte Sicherheitsstandards sollen bei der Südwestfalen-IT umgesetzt werden

Nachdem die Schadsoftware entdeckt worden war, seien alle Systeme sofort abgeschaltet worden. In Abstimmung mit dem LKA und der Zentral- und Ansprechstelle Cybercrime wurde demnach eine Informationssperre verhängt, „um den Kriminellen keine Anhaltspunkte zu möglichen weiteren Verwundbarkeiten zu liefern“, wie es weiter von der SIT heißt. Dem Krisenstab gehören auch externe IT-Forensiker an, man stehe zudem „täglich im intensiven Austausch mit den IT-Verantwortlichen aller Kreisverwaltungen des Verbandsgebiets sowie jeweils den größten Kommunen dieser Kreise“. Dieser erweiterte Krisenstab soll dazu dienen, Informationen innerhalb des Verbands zu verbreiten; er stehe als Ansprechpartner für die Mitgliedskommunen zur Verfügung.

Noch am Tag, an dem der Angriff entdeckt wurde, habe man spezialisierte IT-Forensiker damit beauftragt, mit Hilfe von speziellen Analysewerkzeugen den Hergang des Angriffs aufzuarbeiten. Außerdem würden alle Produktivsysteme einzeln überprüft. „Das Ziel ist, schnellstmöglich für einzelne Systeme eine Infektion auszuschließen.“ Außerdem seien neue Sicherheitsrichtlinien erarbeitet worden. Sobald diese verschärften Standards umgesetzt seien, könne mit der Wiederinbetriebnahme der nicht betroffenen Systeme begonnen werden. „Im Interesse aller geht hierbei Sicherheit vor Geschwindigkeit.“

SIT Siegen: „Absoluter Fokus“ auf schneller System-Wiederherstellung

Da in den Kommunen nicht nur bürgernahe Dienstleistungen ohne funktionierende IT-Systeme schwierig sind, sondern auch absehbar ist, dass viele wichtige Fachverfahren für längere Zeit ausfallen dürften – die Haushaltsplanung beispielsweise – gebe es inzwischen einen Koordinator, der „mit Hochdruck“ daran arbeitet, gemeinsam mit den betroffenen Kommunen Behelfs-Lösungen zu etablieren.

+++Die Lokalredaktion Siegen ist auch bei Facebook!+++

Jörg Kowalke betont, dass „unser absoluter Fokus“ darauf liege, die Systeme schnell wiederherzustellen und geeignete Behelfs-Lösungen zu etablieren, um ein „möglichst hohes Niveau an Arbeitsfähigkeit“ zu gewährleisten. Der Fall werde professionell und gründlich aufgearbeitet, die Erkenntnisse mit Behörden und Kommunen geteilt. Mein Dank gilt ausdrücklich den Mitarbeiterinnen und Mitarbeitern in den Landkreisen, Städten und Gemeinden und bei der SIT, die seit einer Woche mit hohem persönlichem Einsatz gemeinsam an der Bewältigung dieser Krise arbeiten.“