Cyberattacke Siegen: Ganz normaler User holt die Hacker rein

Ohne sein Wissen wird ein gewöhnlicher Nutzer von den Cyberkriminellen zum Admin gemacht. Damit gelangen die Angreifer in die SIT-Systeme. (Symbolbild) © dpa-tmn | Karl-Josef Hildenbrand

Siegen. Leichter als Onlinebanking: Für Erpresser aus dem Darknet war es nicht schwer, das Passwort zu finden und Dateien der Südwestfalen IT zu kapern.

Es ist der berühmte VPN-Tunnel, den jeder im Homeoffice kennenlernt: das „Virtual Private Network“, das die Verbindung ins Computersystem am Arbeitsplatz oder in der fernen Zentrale herstellt. Oder von einem Rathaus-Schreibtisch zur Südwestfalen-IT (SIT) in Siegen. Es war am 18. Oktober, zwischen 16.25 und 21.22 Uhr, als zum ersten Mal zwei Benutzerkennungen verwendet wurden, zu denen das Passwort nicht passte. Mit diesem „fehlgeschlagenen Login-Versuch“ begann der Angriff auf die Südwestfalen-IT, der zehn Tage später Rat- und Kreishäuser in rund 100 Städten und Gemeinden in Südwestfalen und im Bergischen Land auf Wochen und Monate lahm legen wird.

+++Mehr Nachrichten aus Siegen und dem Siegerland finden Sie hier!+++

Und so beginnt auch der Abschlussbericht der r-tec Security GmbH, den die SIT am Donnerstag vorgelegt hat. Ein „Forensischer Bericht“, lernt das Publikum am Freitag bei der von (Fach-)Medien aus der ganzen Republik besuchten Pressekonferenz. Forensiker sind längst nicht nur bei Mord und Totschlag gefragt.

18. Oktober 2023

Ab 16.25 Uhr versucht an jenem Mittwochnachmittag ein User aus den USA, sich in den VPN-Tunnel einzuloggen. Innerhalb von zehn Minuten erfolgen zwei Mal 190 Versuche aus den USA und den Niederlanden. Die Forensiker sprechen von einer „Brute-Force-Attacke“: Mit den „erbeuteten“ Nutzernamen, so erklärt es Marcus Ewald, „wird ein Passwort nach dem anderen durchprobiert“, von einer Maschine natürlich. Bis irgendwann eins passt. Marcus Ewald ist Krisen-Pressesprecher der SIT; seine Agentur wird als „Profi für schwere Fälle“ engagiert. Die SIT ist so einer: Einen Chef hat das kommunale Unternehmen, 2018 aus der Citkomm mit Sitz in Hemer und KDZ Westfalen-Süd fusioniert, gerade nicht. Der neue Geschäftsführer Mirco Pinski wird seinen Dienst zum 1. Februar antreten, sein Stellvertreter Jörg Kowalke ist erst seit 1. Oktober bei der SIT. Aber das ist ein anderes Thema

Zurück zum 18. Oktober. Der Benutzer – „ein ganz normaler Nutzer“, sagt Marcus Ewald – wird ohne sein Wissen zum „Admin“ gemacht, zum Administrator. Das sind die Leute, die viel mehr dürfen. Der kriminelle Angreifer nutzt seine neue Macht, um Schadsoftware zu installieren und mit der Verschlüsselung der Daten zu beginnen. Aber bis dahin wird es noch zehn Tage dauern.

Zurück ins Analoge: Die Siemag-Schreibmaschine - hier von Bürgermeister-Referentin Janine Wolski präsentiert - steht im Vorzimmer des Kreuztaler Kämmerers. © Siegen | Steffen Schwab

Später wird man wissen, warum die „Akira-Ransomgroup“, als die Cyber-Kriminmellen firmieren, so schnell erfolgreich sein sollte. Die SIT verzichtete auf die Zwei-Faktor-Authentifizierung, die jeder Nutzer von Online-Banking kennt: Man loggt sich mit der PIN oder dem Passwort ein und bekommt einen Zifferncode zugespielt, meist übers Handy, mit dem erst sich der Zugang öffnet. Und: Die Software der Firewall, die die Rechner eigentlich schützen soll, war schadhaft. Das allerdings hätte die SIT wissen können. Hersteller Cisco hatte darauf schon am 9. September aufmerksam gemacht. Warum darauf im Haus niemand reagiert hat? Das herauszufinden, sagt Marcus Ewald, „ist eine der vordringlichsten Aufgaben des neuen Geschäftsführers“.

Am Mittwoch, 25. Oktober, beginnen die Täter um 0.33 Uhr mit einem ersten Login, um 7.03 Uhr mit einem zweiten. So geht es am Nachmittag weiter und am frühen Abend des darauffolgenden Donnerstags.

29. Oktober 2023

Am Sonntag, 29. Oktober, hat der Eindringling sich den Namen „USER\Administrator“ gegeben, er kommt nun auch schon ohne Tunnel ins System. Um 12.26 Uhr wird erstmals eine *.exe-Datei, also eine Anwendung, ausgeführt. „Dies deutet auf ein koordiniertes Vorgehen eines länger vorbereiteten Angriffs hin“, heißt es im Bericht der Forensiker. Tatsächlich, so finden sie heraus, war es „das Kennwort des Domänen-Administrators intra.lan\Administrator seit 2014 in einem Gruppenrichtlinienobjekt in entschlüsselbarer Textform hinterlegt“.

Um 15.40 Uhr meldet sich „Windows Defender“, ein Schutzprogramm: Eine „Ransomware“ wurde erkannt, die Software, die Daten verschlüsselt und eine Erpressung ermöglicht. Um 15.43 Uhr befindet sich die Datei „akira_readme.txt“ im System. „Akira“ ist die Organisation, die hinter der Cyber-Attacke steht, die nun ihren Lauf nimmt. Auf 960 Systemen von intra.lan, der von 4176 Nutzern verwendeten größten Domain, beginnt die Verschlüsselung der Daten. „w.exe“ heißt die ausführende Datei, die Daten verschlüsselt und ihre Kopien löscht. Verschlüsselt wird übrigens nur der Anfang der Dateien. Das geht schneller und „ermöglichte den Angreifern, effizienter Schaden anzurichten, da bereits ein geringer verschlüsselter Anteil ausreicht, um viele Dateitypen unbrauchbar zu machen“, heißt es im Abschlussbericht.

In der Nacht zum Montag, 30. Oktober, bemerken SIT-Fachleute den Angriff. Ab 0.30 Uhr wird gehandelt, alle Systeme werden heruntergefahren, mit einem Schlag werden über hundert Kommunalverwaltungen handlungsunfähig. Am Montag um 11 Uhr wird der „sicherheitsrelevante Vorfall“ an r-tec IT Security gemeldet.

Der kommunale IT-Dienstleister Südwestfalen IT mit Sitz in Siegen wurde Ziel eines Hackerangriffs. © Siegen | Florian Adam

„akira_readme.txt“ ist die Erpressungsnachricht mit der Aufforderung, Kontakt mit den Erpressern aufzunehmen. Das hat die SIT nicht getan, „weil Sicherungskopien der verschlüsselten Daten vorhanden waren und keine Anzeichen für Datenabflüsse vorlagen“, wie die Forensiker betonen. Verwendet werden die Backups aus der Zeit vor dem 18. Oktober, dem Tag, als die Erpresser zum ersten Mal Spuren hinterlassen.

Wir haben derzeit keinen Zeitplan, der bis zum Ende geht.

Marcus Ewald - SIT

Heute

Die Städte und Gemeinden improvisieren über Wochen, bauen Not-Homepages auf, müssen vor allem vertrösten. Eigentlich geht nichts mehr. Heiraten so wenig wie Autos anmelden, zumindest nicht mit SI-Kennzeichen. Seit ein paar Tagen läuft ein „Basisbetrieb“ im Meldewesen, im Ausländeramt, bei der Verkehrsbehörde und im Standesamt. „Zuversichtlich“ sei die SIT, dass diese Bereiche bis Ende März in den „Normalbetrieb“ zurückkehren, sagt Marcus Ewald, „die Backups werden jetzt Stück für Stück aufgespielt“.

Mit einem Vierteljahr Abstand soll die „zweite Welle“ folgen: Ordnungswidrigkeiten, Gewerbeanmeldungen, Bauaufsicht, Liegenschaftswesen gehören dazu, aber auch interne Verwaltungsverfahren und die Lohnabrechnung. Auch hier wieder: Bis Ende März ein „Basisbetrieb“, dann der „Normalbetrieb“. Dann ist Sommer und Zeit für die „dritte Welle“. Und so weiter. „Wir haben derzeit keinen Zeitplan, der bis zum Ende geht“, gesteht Marcus Ewald.

Vor der Öffentlichkeit ist der Bericht der Forensiker der Verbandsversammlung vorgestellt worden. Die tagte am Donnerstagnachmittag, wie immer, unter Ausschluss der Öffentlichkeit. Marcus Ewald antwortet etwas verschwommen, als er Theo Melcher, den Olper Landrat, zitiert, der Verbandsvorsteher der SIT ist: Es sei „wahrscheinlich sinnvoller, das Ganze zu konsolidieren“, habe Melcher gesagt, also: die Zahl der Daten-Dienstleister in NRW durch weitere Fusionen zu verringern. „Man macht sich natürlich Gedanken darüber.“ Die Höhe des Schadens ist nicht beziffert, antwortet Ewald weiter. Die SIT lässt sich von einer Anwaltskanzlei beraten, wie sie mit Schadenersatzforderungen umgeht. Hoffnungen setzt sie offenbar auch auf ihre Betriebshaftpflichtversicherung. Wobei: Die meisten, die geschädigt sind, sind als Verbandsmitglieder auch Miteigentümer der SIT und kommen deshalb nicht ungeschoren davon. Ja, sagt Marcus Ewald, ein „Verteilungsschlüssel“ werde verabredet. Die Beträge tauchen dann in den Haushaltsplänen der Kommunen auf. Wenn sie denn wieder welche aufstellen können.

+++Die Lokalredaktion Siegen ist auch bei Facebook!+++