Siegen. Südwestfalen-IT und die Kommunen haben mit Hilfe externer Spezialisten den Angriff der Cyberkriminellen abgewehrt. Rekonstruktion und Ausblick.

Eine Schlacht ist für einen Cyberangriff eine durchaus treffende Metapher. Es gibt Angreifer und Verteidiger, Aufklärung und Spionage, Infiltration hinter feindlichen Linien. Die Siegener Südwestfalen-IT und damit ihre mehr als 100 Kunden haben die Schlacht gewonnen, den Gegner zurückgedrängt und aus der belagerten Stadt geworfen. Jetzt geht es ans Aufräumen und Wiederaufbauen – der Feind hat Schaden verursacht. Der Versuch einer Rekonstruktion.

1. Der Angriff: Hier wurde der Staat angegriffen, also hilft der Staat auch

Am 29. Oktober waren die ersten feindlichen Truppen eingesickert und begannen damit, strategisch wichtige Dinge unbrauchbar zu machen – die Hacker drangen ins System der SIT ein, platzierten die Schadsoftware („Erpressungstrojaner“). Das Fiese an diesem Feind: Er vervielfältigt sich selbst und permanent. Er dringt unbemerkt überall hin vor, in jedes Haus, in jede Verteidigungsanlage. Wer weiß, wie lange das so gegangen wäre, wenn die Feuerwehr nicht schon nach einem Tag misstrauisch geworden wäre. Tatsächlich fiel den Wachhabenden in der Kreisleitstelle am 30. Oktober auf: Da ist irgendwas komisch mit den Daten. Sie geben Alarm.

+++Mehr Nachrichten aus Siegen und dem Siegerland finden Sie hier!+++

Die öffentliche Hand hat Notfallpläne, auch für solche Angriffe. Dass der kommt, ist keine Frage des Ob, sondern des Wann. Erstmal wird alles dicht gemacht – Systeme aus, komplett vom Strom abkoppeln. Um im Bild zu bleiben: Die digitale Stadtmauer schießt damit unüberwindlich hoch und massiv nach oben, der Feind hat keine Chance mehr, von außen einzudringen, die Bewohnerinnen und Bewohner ziehen sich in den analogen Untergrund zurück. Aber oben, in den Häusern (den verschiedenen Computersystemen wie E-Mail, Telefon, Spezialsoftware), sind noch die feindlichen Kämpfer versteckt. Alles wird geschlossen, nichts geht mehr, keiner kann rein oder raus. Alle Häuser müssen jetzt abgesucht werden: Sind hier Kommandosoldaten des Gegners eingedrungen? Wo verstecken sie sich? Und wie sehen sie überhaupt aus? „Wir hatten noch Wasser und Strom, sonst ging gar nichts mehr“, erinnert sich Henrik Schumann, Krisenmanager der Stadt Siegen, im städtischen Podcast „Flurfunk“, wie buchstäblich die Stecker gezogen wurden.

Wiederherstellungs-Zeitplan nach Cyberangriff

weitere Videos

    Die SIT holt Verstärkung, alleine schafft sie das nicht. Weil der Staat angegriffen wurde, hilft der Staat auch. Polizei- und Fachbehörden, dazu externe Spezialisten. Quasi Anti-Terror-Truppen, die zusammen mit der Spurensicherung Haus für Haus durchsuchen nach verdächtigen Spuren und den Betroffenen sagen, was nun zu tun ist. Irgendwann werden die Experten dann fündig: Jetzt wissen sie, wonach sie suchen müssen, um den versteckten Feind aufzustöbern. Sie fangen an, ihn unschädlich zu machen. Aber das dauert. Jedes System wird einzeln abgesichert hochgefahren und analysiert. Als ob ein Haus mit einem Riesen-Kran von seinem Standort auf ein freies Feld gesetzt, umstellt und dann von Spezialkräften durchsucht wird.

    Mit dem Feind draußen vor den Toren, der Geld will, damit er seine Kämpfer abzieht, reden sie nicht.

    2. Die Belagerung: Tun was geht, halt ohne die Computersysteme der Südwestfalen-IT

    Währenddessen richtet sich die Bevölkerung im Untergrund ein. Nach und nach funktioniert dort immer mehr – nicht alles, aber immerhin. Die berühmten Behelfslösungen, bei denen die Verwaltungen Faxgeräte, Drucker, Durchschlagpapier und Akten-Hängeregister wieder hervorkramen und das Verwalten in der analogen Welt am Laufen halten. Dafür gibt es Krisenstäbe, in Siegen heißt er Stab für außergewöhnliche Ereignisse (SAE). Der hat schon ein paar Mal gut funktioniert, sagt der Leiter, Stadtbaurat Henrik Schumann, während Corona, in der Energiemangellage. Er funktioniert auch jetzt.

    Wir hatten noch Wasser und Strom, sonst ging gar nichts mehr.
    Henrik Schumann, Leiter des Siegener Krisenstabs („SAE“)

    „Alle wissen, was zu tun ist“, erzählt Schumann, deswegen sei es in der Nacht auch so schnell gegangen. 25 bis 30 Leute arbeiten in den folgenden militärisch-effizient an den wichtigsten Problemen; auf Besprechungs- folgen Arbeitsphasen, das wird penibel überwacht. Kein unnötiges Gerede, sondern Lösungen schaffen. Am Anfang ging es um Kommunikationsfähigkeit, in kürzester Zeit seien saubere Laptops beschafft und einsatzbereit gemacht worden, so der Stadtbaurat. Mit der Zeit stellen sie immer mehr auf die Beine: Eine Not-Homepage, auf der immer mehr Dinge landen, die wieder funktionieren.

    3. Der Sieg über die Cyberkriminellen und seine Folgen: „Siegen kann Krise“

    Am 21. November haben die Spezialtruppen alles fertig durchsucht – alle Systeme sind einmal isoliert eingeschaltet und mit Anti-Viren-Software gescannt worden. Jetzt wissen sie, wo der Feind überall eindringen konnte und vor allem wo nicht. Ins Kernsystem der SIT, aber nicht in die Netzwerke der Kommunen. In dieser Situation bedeutet das für alle Betroffenen ein blaues Auge – das hätte wesentlich schlimmer kommen können. Wenn die Angreifer länger drin gewesen wären und sich gründlich hätten verschanzen können, zum Beispiel.

    Auch interessant

    Siegen hat im Digitalranking der deutschen Großstädte erneut einen Fortschritt erzielt. Aber auch ohne Cyberattacke hat die Stadt die Digitalisierung nicht komplett in eigener Hand.
    Siegen: Cyberangriff oder nicht –„kann nicht so schwer sein“
    Von Hendrik Schulz

    Das bedeutet keineswegs, dass nun auf Knopfdruck alles wieder geht. Die SIT baut ihr Rechenzentrum neu auf, das läuft bereits, und es dauert. „Die Auswirkungen sind riesig, wir sprechen hier von einer Katastrophe“, bekräftigt Henrik Schumann. 73 Kommunen im Großraum Südwestfalen plus weitere Kunden im ganzen Land, mehr als 2 Millionen Bürger sind von den Auswirkungen betroffen. Einiges geht – Urkunden ausdrucken, ausfüllen und abstempeln zum Beispiel. Manche Beschäftigten in der Verwaltung haben auf einmal alle Hände voll zu tun, weil sie noch analog etwas erledigen können, was vorher digital und damit viel schneller und einfacher war. Andere hingegen können gar nicht mehr arbeiten, nicht ohne Computer. Für vieles von dem, was eine Verwaltung tut, braucht es bestimmte Computerprogramme, sogenannte „Fachverfahren“. Die Kämmerei nutzt eine Finanzsoftware zum Beispiel, die ist an Datenbanken gekoppelt, an beides ist erstmal kein Rankommen.

    Die, die zur Untätigkeit gezwungen waren, „die wollten was tun“, lobt Schumann. Hilfsbereitschaft und Kreativität in den Siegener Rathäusern seien groß, es wurde eine Meldestelle eingerichtet, wo die Aufgaben an die weiterverteilt werden, die ihren eigentlichen Job gerade nicht machen können. „Wir können auf die Schwarmintelligenz unserer 1500 Leute zählen“, sagt der Krisenmanager dankbar. Auch der Bürgermeister zeigt sich bei einer außerordentlichen Personalversammlung in der Bismarckhalle beeindruckt von „Einsatz und Durchhaltevermögen“, um die Bugwelle der künftigen Arbeit nicht zu groß werden zu lassen. Dirk Helmes, Leiter der Personalabteilung: „Siegen kann Krise!“

    +++Die Lokalredaktion Siegen ist auch bei Facebook!+++

    Denn irgendwann werden die Systeme wieder so laufen wie vorher. Und dann wird es immer noch mühselig sein. Denn alles, was seit dem 30. Oktober liegengeblieben ist, muss nachgeholt werden: Jede Urkunde, die von Hand ausgefüllt wurde, in die Computersysteme nachtragen, zusätzlich zu dem Berg von Arbeit, der gar nicht analog bewältigt werden konnte. Und zusätzlich zum normalen Tagesgeschäft, das auch oft genug angespannt genug ist. Schumann: „Wir werden über einen langen Zeitraum sehr ausgelastet sein.“ Um noch ein anderes Bild zu wählen: Marathon, kein Sprint.