Siegen. „Wir waren personell überfordert“: Südwestfalen-IT hat nicht mit Cyberkriminellen verhandelt, kein Lösegeld gezahlt, betont die Geschäftsführung.
Tobias Wein muss mal etwas loswerden. „Warum soll immer jemand aufgeknüpft werden?“, fragt der Dezernent im Ausschuss für Finanzen, Bau und Digitalentwicklung des Kreises Siegen-Wittgenstein. In NRW gehe es zu oft darum, eine persönliche Verantwortlichkeit zu finden, so die Ansicht des Hessen, „ich finde das immer etwas schwierig.“ Anlass des Rüffels war eine weitere Anfrage rund um das Thema Cyberattacke auf die Südwestfalen-IT: Nach der Linken-Fraktion hatten auch die Grünen Fragen eingereicht, die sich durchaus so lesen lassen, dass sie vor Kritik und Schuldzuweisungen nur so triefen.
+++Mehr Nachrichten aus Siegen und dem Siegerland finden Sie hier!+++
Die Kreispolitik gehe offenbar davon aus, „wir hätten uns wie bei einer Bauleistung einer externen Firma bedient“, die man bei Nichterfüllung in Regress nehmen kann, erklärte Tobias Wein einmal mehr. „Wir sind die SIT!“, sagte er – der Kreis ist eines von 72 Mitgliedern, Teil des Zweckverbands. „Selbstverständlich“ seien Schlüsselpositionen beim Dienstleister zum Zeitpunkt der Cyberattacke besetzt, Prozesse beachtet worden – all das werde seit der Attacke überprüft, „um die richtigen Schlüsse zu ziehen“. Die Grünen hatten in ihrer Anfrage anklingen lassen, dass die SIT womöglich nicht die nötigen Standards hinsichtlich Mitarbeiterqualifikation, Sicherheit und Personalorganisation und Meldungen über etwaige Fehler habe. Das wies Wein für die Kreisverwaltung zurück; der stellvertretende SIT-Geschäftsführer Jörg Kowalke berichtete aus der Innensicht über den Cyberangriff und die bis heute andauernden Folgen.
Siegen: „Hat die SIT kein Notfallmanagement? Geschäftsführer: Doch, hat sie
„Hat die SIT kein Notfallmanagement?“, werde oft gefragt – doch, habe sie, so Kowalke. Nachdem in der Nacht auf den 30. Oktober in der Kreisleitstelle die Angriffe aufgefallen und die Daten verschlüsselt waren, sei umgehend der „Krisenmanager“ angerufen worden. Noch in der Nacht sei die Analyse gestartet, die Entscheidung gefallen, alle Systeme herunterzufahren. Alle Verbindungen kappen, Angreifer aussperren, sagt Kowalke.
„Wir waren personell mit der Situation überfordert“, sagt Jörg Kowalke, sowohl im Management als auch auf Projekt-Ebene sei die Besetzung nicht ausreichend gewesen, um eine solche Krise bewältigen zu können. Der Fachkräftemangel ist in der IT-Branche besonders drastisch, die SIT steht auch nicht an der Spitze der attraktiven Arbeitgeber für Informatiker. Sie wandten sich noch am Morgen an das Wuppertaler IT-Sicherheitsunternehmen „r-tec“, am Nachmittag trafen Ermittler und Forensiker ein. Die Suche nach dem Schadensausmaß und der Wiederaufbau begannen und dauern an, die Kommunen schalteten auf analogen Notbetrieb um. „Die Verwaltungen haben einen tollen Job geleistet“, sagt Kowalke, „und die Bürger bedient, wo es nur geht.“
Attacke auf SIT in Siegen: Cyberkriminelle haben sich genau auf diese Sicherheitslücke spezialisiert
Angreifer war die kriminelle Hackergruppe „Akira“, berichtet Kowalke – das ist seit einiger Zeit schon bekannt, „die richten weltweit Schaden an“, so der Vize-Geschäftsführer. Gleichwohl und auch wenn es vielen nicht so vorkomme: Man sei mit dem Wiederaufbau „viel schneller als andere Angegriffene“. Dabei handle es sich um einen Marathon, alle Beteiligten hätten dabei eine „großartige Leistung erbracht.“
Ins System gekommen seien die Angreifer wohl mit der „Brute Force“-Methode: So lange Passwörter durchprobieren, bis das richtige dabei ist. Anders als zu lesen war, könne man ausschließen, dass es eine sehr einfache Zeichenkombination wie etwa „123456“ gewesen sei, betont Jörg Kowalke. Vielmehr sei eine Schwachstelle des Anbieters Cisco ausgenutzt worden: Nach drei Fehlversuchen wurde das System, mit dem sich Nutzer von Zuhause ins SIT-Netzwerk einwählen können („VPN“), nicht gesperrt. Die Hacker, die sich auf genau diese Schwachstelle spezialisiert haben sollen, konnten demnach weiter probieren, bis das Passwort „erraten“ war. Nachweislich ab dem 18. Oktober seien die ersten Aktivitäten der Angreifer feststellbar. Benutzername und Passwort reichten: Multifaktor-Authentifizierung (beispielsweise ein zusätzlicher Sicherheitscode per SMS) gab es „in Teilen“ nicht, so Kowalke.
Südwestfalen-IT Siegen: Cyberangriffe wie nie zuvor – „es ist Wahnsinn“
Diese Schwachstelle sei schon vorher bekannt gewesen – warum das entsprechende Update nicht eingespielt worden sei, wollte Hans Peter Kunz (FDP) wissen. „Das ist Gegenstand unserer Auswertung“, so Jörg Kowalke. Die entsprechende Meldung sei in der Tat bereits im September veröffentlich worden, der Hersteller habe sie auf einer Skala von 1 bis 10 mit der Priorität 5 klassifiziert.
Nach aktuellem Wissensstand wurden bei dem Cyberangriff keine Daten abgesaugt. Bei Attacken mittels Ransomware („Verschlüsselungssoftware“) werde auf mehrere Arten erpresst: Daten werden verschlüsselt, so dass die Eigentümer keinen Zugriff mehr haben, sie werden abgesaugt und mit ihrer Veröffentlichung gedroht, im ungünstigsten Fall sind auch die Backups (System-Sicherheitskopien) verschlüsselt. Die Cyberkriminellen melden sich dann, um über Lösegeld zu verhandeln, damit sie die Daten eben nicht veröffentlichen, die Systeme wieder freigeben. Kowalke: „Es wurde nicht verhandelt, es wurde kein Lösegeld gezahlt.“ Im Darknet, dem verborgenen Teil des Internets, seien keinerlei SIT-Daten entdeckt oder zum Kauf angeboten worden. Dahinter stehe eine durchaus professionelle kriminelle Industrie: Hochgradig arbeitsteilig. Die einen beschaffen die Zugangsdaten, die anderen hacken sich ins System, die nächsten betreiben „Kundenservice“. „Sie bekommen eine Kundennummer und können dann übers Lösegeld verhandeln“, erklärt Kowalke. „Eigentlich unvorstellbar.“ Derzeit werde „angegriffen wie nie zuvor. Das ist Wahnsinn.“
Geschäftsführer: Dienstleistungen für jedes Mitglied der Südwestfalen-IT ein bisschen anders
Immer mehr geht inzwischen wieder, wenn auch längst noch nicht alles. E-Mails, Datenserver, PCs seien zum Großteil wieder arbeitsfähig. In Absprache mit den Kunden, die alle unterschiedliche Leistungen von der SIT beziehen, seien die wichtigsten Dienstleistungs-Computerprogramme („Fachverfahren“) so schnell wie möglich wieder angeboten worden. „Wenn sich rumspricht, man kann rasen und parken wie man will, ist das für die öffentliche Ordnung nicht gut.“
+++Die Lokalredaktion Siegen ist auch bei Facebook!+++
Wie berichtet ist die Struktur der IT in NRW sehr „zersiedelt“ – es gibt Dutzende Zweckverbands-Dienstleister wie die Südwestfalen-IT, das Land will hier straffen und zentralisieren. Auch vor dem Hintergrund steigender Sicherheitsanforderungen, zunehmender Cyberattacken und wachsenden Fachkräftemangels. NRW-Digitalministerin Ina Scharrenbach hat bestätigt, dass die Zahl der Cyberattacken auf Verwaltungen steige, was Kommunen und Rechenzentren vor immense Herausforderungen stelle.