Cyberangriff auf die Südwestfalen-IT 2023
Ransomware-Angriff auf die SIT[Bearbeiten]
In der Nacht auf den 30.10.2023 wurde bei der Südwestfalen-IT (SIT) ein Ransomware-Angriff[1] entdeckt. Die SIT ist ein Zweckverband der südwestfälischen Kommunen mit Sitz in Hemer und Siegen, der als Dienstleister die IT für 72 Kommunen - darunter alle Kommunen in Südwestfalen - und einige weitere Kund:innen betreibt.[2] Deshalb waren neben der SIT selbst all diese Kommunen von dem Angriff betroffen, sprich, sie konnten ihre IT nicht mehr nutzen und auch digitale Diensleistungen für die Bürger:innen nicht mehr anbieten. Nach Informationen vom 31.10. ist damit die IT oder große Teile davon in 72 Kommunen mit 22.000 Arbeitsplätzen ausgefallen, darunter alle Kommunen im Hochsauerlandkreis, Märkischen Kreis, Kreis Olpe, Kreis Siegen-Wittgenstein, Kreis Soest (einschließlich dieser Kreise selbst) sowie mehrere Kommunen im Rheinisch-Bergischen Kreis und einige kommunale Unternehmen. Auch einige Städte im Ruhrgebiet und im südlichen Münsterland waren betroffen, beispielsweise fielen einige Dienstleistungen des Ennepe-Ruhr-Kreises sowie das Serviceportal der Stadt Gelsenkirchen aus. Nicht nutzbar war zunächst auch die Nora-App, mit der Notrufe getätigt werden können; sie sollte jedoch schnellstmöglich auf eine andere Rufnummer umgeleitet werden.[3] Nach neueren Informationen sollen deutlich über 100 Kommunen betroffen sein, viele davon allerdings nur mit einem Teil ihrer IT- oder Internet-Dienstleistungen.[4] Neben den Kernverwaltungen ist auch eine unbekannte Zahl von Schulen mit dem teilweisen oder vollständigen Ausfall der IT konfrontiert, mit z.T. drastischen Folgen für Kommunikation und die Bereitstellung von Lehrmaterialien.[5]
Die SIT schaltete das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Landeskriminalamt ein. Für aktuelle Informationen schaltete sie eine Notfallseite. Ob neben der Verschlüsselung auch Daten abgeflossen sind, war zunächst unklar. Die Verbindungen des Rechenzentrums zu und von allen Verbandskommunen wurden gekappt, Expert:innen machten sich an die Untersuchungen, um Art und Ausmaß des Schadens festzustellen. Nach Informationen von "Borns IT- und Windows-Blog" wurde als externe Cybersicherheitsfirma die rtec hinzugezogen.[6] Die SIT bildete mit externen Partnern und den IT-Verantwortlichen aller Kreisverwaltungen des Verbandsgebiets einen "erweiterten Krisenstab", der zunächst täglich tagen sollte. Sie setzte außerdem einen "zentralen Behelfe-Koordinator" ein, der zusammen mit betroffenen Kommunen für bestimmte Dienstleistungen Behelfslösungen entwickeln soll.[7] Die Zentral- und Ansprechstelle Cybercrime (ZAC NRW), bei der Kölner Staatsanwaltschaft angesiedelt, übernahm gemeinsam mit der Polizeidirektion Dortmund die Ermittlungen. Staatsanwalt Dr. Christoph Hebbecker, Sprecher der ZAC, rechnete mit „wahrscheinlich komplexen und langanhaltenden Ermittlungen“; der aktuelle Fall habe, verglichen mit anderen, ein "ganz erhebliches Ausmaß".[8]
Hackergruppe identifiziert, Lösegeld wird nicht gezahlt[Bearbeiten]
Die Angreifer seien "höchst professionell" vorgegangen, so ein SIT-Sprecher. Viele Systeme seien von dem Cyberangriff nicht betroffen, wohl aber von der erforderlichen Notabschaltung. Am 06.11. wurde bekannt, dass auf befallenen Rechnern eine Aufforderung, mit den Erpressern Kontakt aufzunehmen, gefunden wurde, diese wurden jedoch nicht kontaktiert; eine konkrete Lösegeldforderung liegt deshalb nicht vor. Laut der Polizei Dortmund lehnen die SIT wie auch die betroffenen Kommunen jegliche Lösegeldzahlung ab. Nach Informationen der dpa, die sich auf einen vertraulichen Bericht des Innenministeriums an den Landtag beruft, sowie des WDR soll die Hackergruppe "Akira" für den Angriff verantwortlich sein, die erstmals im März 2023 in Erscheinung trat, aber inzwischen als eine der aktivsten kriminellen Vereinigungen im Bereich der Internet-Erpressung gilt, so das Sicherheitsunternehmen Logpoint. Akira ist dafür bekannt, Dienste zu infizieren, die auf eine 2-Faktor-Authentifizierung verzichten. Dabei bietet sie ihre Leistungen Kunden gegen Bezahlung an. Die Auftraggeber, die den Angriff ausführen ließen, sind nicht bekannt. Anders als sonst hat sich die Gruppe "Akira" jedoch auch Wochen nach dem Angriff noch nicht dazu bekannt. Das könnte daran liegen, dass die betroffenen Kommunen jede Kontaktaufnahme zu Akira bislang ablehnen.[9]
Auswirkungen in den Kommunen[Bearbeiten]
Die konkreten Auswirkungen waren unterschiedlich, aber oft drastisch. Die Webseiten vieler Kommunen waren nicht mehr am Netz, die Verwaltungen weder per Mail noch telefonisch erreichbar. Viele Kommunen schlossen ihre Büros und baten Bürger:innen, die Termine hatten, zu Hause zu bleiben; einige öffneten zumindest Notfall-Schalter. Viele Sozialämter waren nicht mehr in der Lage, Anträge zu bearbeiten oder (am Monatswechsel!) Auszahlungen zu veranlassen. Betroffen waren ebenso Meldebehörden, Standesämter und Zulassungsstellen. Auch in Krankenhäusern fielen Computersysteme aus.[10] Viele Kommunen nutzten Social-Media-Kanäle, um die Bürger:innen über den Stand zu informieren.
Vor allem bei Kommunen, die die SIT-Dienste für ihre Finanzsoftware nutzten, waren die Auswirkungen tiefgreifend. Fast alle Dienstleistungen sind mit Finanzvorgängen gekoppelt. So waren viele Kommunen nicht in der Lage, die ab 15.11. fälligen Lastschrifteinzüge (z.B. Grund- und Gewerbesteuer) vorzunehmen. Einige dieser Kommunen baten Zahlungspflichtige, ausnahmsweise direkt zu überweisen, andere forderten sie auf, gerade das nicht zu tun, weil sie die Einzüge später nachholen wollten. Ebenso sind alle Dienstleistungen der Kfz-Zulassungsstellen von zentralen IT-Diensten abhängig: Alle Vorgänge (z.B. Neuzulassungen, Halterwechsel, Abmeldungen, technische Veränderungen) werden im Zentralen Fahrzeugregister (ZFZR) beim Kraftfahrt-Bundesamt (KBA) gespeichert. Das ZFZR hält die Daten bereit für Zulassungsbehörden, Versicherungen und technische Überwachungsinstitutionen. Aus Sicherheitsgründen kann nur über die zentral bereitgestellten Schnittstellen auf die Daten des ZFR zugegriffen werden.[11] Unter dem Stopp von Neuzulassungen leiden auch die Autohäuser, die bestellte Fahrzeuge nicht ausliefern und damit auch keine neuen beschaffen können.[12]
Je nach der Lage vor Ort griffen Verwaltungen auf die traditionellen Methoden (Papier und Stift bzw. Schreibmaschine) zurück oder reaktivierten ältere Rechner, die nicht ans Netz angeschlossen werden (stand alone). Einige Dienstleistungen können jedoch ohne IT gar nicht erbracht werden. Was ohne IT-Netz bearbeitet wird, muss nach der Wiederherstellung der Systeme nachgepflegt werden. Zudem war zu Beginn auch unklar, auf welchem Stand die Datensicherungen sind; sofern die Angreifer schon länger unbemerkt im System waren, ist es möglich, dass auch Backups kompromittiert sind.[13]
Informationen aus einzelnen Kommunen[Bearbeiten]
Die folgenden Informationen sind nach Kreisen alfabetisch geordnet. Sie können nicht dauerhaft aktuell gehalten werden, bitte immer auf das Datum in den Quellenangaben achten![14]
- Beim Ennepe-Ruhr-Kreis fielen das Serviceportal und die interaktiven Formulare auf der Internetseite aus. In der Stadt Witten ging die Webseite offline, eine provisorische Seite ist seit dem 02.11.2023 am Netz.[15]
- Bei der Stadt Gelsenkirchen war nur das kommunale Serviceportal betroffen, weil nur dieses von der SIT betrieben wurde. Die städtische Webseite, über die Termine in der Behörde vereinbart werden können und die auch ein Kontaktformular enthält, funktionierte weiter, ebenso die interne IT. Damit können in den Behördenräumen weiterhin alle Dienstleistungen erbracht werden, Bürgercenter, Mail und Telefon stehen zur Verfügung. Auch der Datenbestand der Stadt konnte daher nicht geschädigt oder angezapft werden. Gleiches gilt für Bottrop und Gladbeck.[16]
- Im Hochsauerlandkreis konnte in Zusammenarbeit mit der Sparkasse sichergestellt werden, dass Auszahlungen zunächst möglich sind, viele andere Dienste fallen jedoch aus.[17] Der Kreis reaktivierte bereits ausgemusterte Faxgeräte und kaufte rund 100 PCs und Laptops, die übergangsweise ohne Netzanbindung eingesetzt werden sollen.[18] Die Stadt Arnsberg bat Bürger:innen bei Bedarf um persönliche Kontaktaufnahme mit den zuständigen Mitarbeiter:innen, die auf dem Postweg, telefonisch und auch persönlich in den Dienststellen erreichbar seien. Viele Dienstleistungen könnten erbracht werden, jedoch ist die Webseite nicht am Netz und die Mail-Kommunikation nicht verfügbar.[19] In Eslohe ist die interne IT funktionsfähig, doch Webseite und von der SIT bereitgestellte Fachverfahren sind ausgefallen.[20] In Olsberg konnten Baugenehmigungen nicht mehr erteilt werden, Meldewesen und Standesamt stellten den Betrieb komplett ein. Bereits öffentlich ausgelegte Bebauungspläne mussten auf der Notfallseite erneut ausgelegt werden, der Hebetermin für die Grundsteuer wurde ausgesetzt. Jedoch funktionierte die interne Kommunikation, Schadsoftware wurde auf den Rechnern nicht gefunden.[21]
- Der Märkische Kreis baute eine Notfallseite auf und legte Ausweich-E-Mail-Adressen für wichtige Dienste an.[22] Das Bürgerbüro in Lüdenscheid blieb am 2.11. noch geschlossen, andere Dienststellen waren wieder geöffnet, konnten aber nicht alle Dienstleistungen anbieten. Eine Notfall-Homepage ging am 03.11. ans Netz, außerdem wurde an der Möglichkeit der Mail-Kommunikation gearbeitet. Einige Dienste wurde auf Papier umgestellt, z.B. Geburts- und Sterbeurkunden. Das Ausländeramt konnte am 08.11. wieder öffnen, bat aber um telefonische Voranmeldung. Wegen der eingeschränkten Angebote wurden die Öffnungszeiten an Samstagen ausgesetzt.[23] Auch Plettenberg richtete eine Notfall-Homepage ein. Hemer musste die Einbringung des Haushalts in den Gemeinderat auf Januar verschieben.[24] Die Märkische Verkehrsgesellschaft (MVG) hatte bis zum 2.11. eine Notfallseite im Netz und war zudem telefonisch und per Mail erreichbar. Auch die Stadt Menden erstellte eine Notfallseite, die lediglich Informationen bot und keine Interaktion ermöglichte. In Menden war, ebenso wie in Plettenberg, die Abbuchung von Gewerbesteuer, Grundbesitzabgaben und Elternbeiträgen nicht möglich; die Zahlungspflichtigen sollten abwarten, die Abbuchungen würden nachgeholt. In Menden war auch die Auszahlung von Grundsicherung und Wohngeld unterbrochen.[25] Auch in Nachrodt-Wiblingwerde war der Ausfall des Rechnungswesens das größte Problem für die Verwaltung, die Stadt konnte zum 15.11. fällige Steuern zunächst nicht einziehen.[26] Die Stadt Werdohl schaltete eine Notfall-Internetseite und mehrere Notfall-Mailadressen.[27]
- Die Verwaltung des Kreis Olpe war weder telefonisch noch per Mail zu erreichen, Termine konnten nicht wahrgenommen werden. Für Notfälle wurde eine Mobilnummer veröffentlicht. Ähnliches gilt für viele Kommunen im Kreis einschließlich der Stadt Olpe. Nur die Schuleingangsuntersuchungen können stattfinden.[28] Im Kreis Olpe fielen auch sämtliche Online-Bezahlsysteme bei Parkautomaten aus, zum Parken wurde wieder zwingend Kleingeld benötigt.[29] Die Gemeindewerke Finnentrop waren nur eingeschränkt erreichbar, der Gas-Notruf fiel komplett aus, für ihn wurde eine provisorische Telefonnummer eingerichtet.[30]
- Der Rhein-Erft-Kreis ist wenig betroffen, da nur drei Verwaltungen Dienste der SIT nutzen. Die Ausländer- und Einbürgerungsbehörde ist allerdings über die püblichen Wege nicht erreichbar, hier wurde eine Telefonnummer und eine Mail-Adresse veröffentlicht.[31]
- Im Rheinisch-Bergischen Kreis sind nur einzelne Kommunen in unterschiedlichem Ausmaß betroffen - besonders stark z.B. die Stadt Wermelskirchen. Diese forderte Zahlungspflichtige (z.B. für die Grundsteuer) auf, zum 15.11. fällige Beträge auch bei bestehendem Lastschriftmandat per Überweisung zu zahlen, da der Bankeinzug nicht funktioniert. Ende November informierte die Stadt alle Bürger:innen per Brief über die Situation, aktuelle Informationen stehen auch auf der Notfallseite der Stadt.[32] Die Stadt Bergisch Gladbach kann ebenfalls die Gewerbesteuer zum 15.11. nicht einziehen und rechnete damit, deswegen möglicherweise einen kurzfristigen Kredit aufnehmen zu müssen.[33]
- Der Kreis Siegen-Wittgenstein richtete eine Bürgerhotline sowie Info-Schalter in allen Rathäusern ein und schaltete eine provisorische Webseite. Einige Dienste fielen komplett aus, wie z.B. die Zulassungsstelle, andere wie das Jugendamt waren weitgehend arbeitsfähig.[34] In der Kreisverwaltung wurde ein "erweiterter Krisenstab" gebildet. Rund 150 bereits ausgemusterte Rechner wurden reaktiviert, neu aufgesetzt und sollen über ein ebenfalls neu eingerichtetes WLan auch Internet-Zugang erhalten.[35] Auch die Stadt Siegen stellte eine Notfall-Homepage ins Netz.[36]
- Der Kreis Soest schaltete eine Notfall-Homepage, ebenso wie die kreisangehörige Stadt Warstein.[37]
- Im Kreis Unna war die Kreisverwaltung nicht von dem Angriff betroffen, wohl aber die Systeme einiger Städte (Werne, Fröndenberg, Selm, Holzwickede, Lünen und Schwerte). Bei der Stadt Lünen war lediglich die Website offline. Interne Prozesse, so die Stadt, seien von der Störung nicht betroffen, auch die Sicherheit aller verwaltungsinterner Daten sei nicht gefährdet.[38] In Schwerte wurde ein Krisenstab gebildet, das Rathaus vorerst geschlossen und eine Notfallseite eingerichtet. Die Fachausschüsse des Rates konnten in der Woche ab 6.11. nicht tagen, die Ratssitzung wurde verschoben. Auszahlungen an Firmen verzögerten sich, Einzüge von Grundsteuer u.a. am 15.11. mussten verschoben werden. Neben der Verwaltung spürte auch der Kultur- und Weiterbildungsbetrieb (Kuwebe) Einschränkungen.[39]
Amtshilfe[Bearbeiten]
Teilweise leisteten andere, nicht betroffene Kommunen Amtshilfe, um zumindest einige Dienstleistungen wieder möglich zu machen. Dazu trug bei, dass die Landesregierung NRW per Erlass einige Dienstleistungen in anderen als dem eigenen Kreis ermöglichte.
- Der Oberbergische Kreis richtete für die benachbarten Kreisverwaltungen Siegen-Wittgenstein und Olpe eine Außenstelle ein. Insgesamt 9 Mitarbeitende können dort zumindest einige dringende Anliegen für Bürger:innen bearbeiten.[40] Eine Woche später ermöglichte der Oberbergische Kreis auch Kfz-Zulassungen für Bürger:innen des Kreises Olpe, allerdings mit dem Oberbergischen GM-Kennzeichen (für Gummersbach). Dazu arbeiteten zeitweilig 16 Mitarbeiter:innen der Olper Zulassungsstelle in den oberbergischen Außenstellen in Hückeswagen und Waldbröl. Terminvereinbarungen über eine neu geschaltete Web-Adresse waren zwingend, ebenso wie EC-Zahlungen. In den Bürgerbüros in Remscheid und Hückeswagen wurde jeweils ein "Wermelskirchen-Schalter" eingerichtet, an dem vorläufige Ausweise ausgestellt wurden.[41]
- Das Bürgerbüro in Leverkusen stellte für Bürger:innen aus benachbarten Gemeinden wie z.B. Leichlingen, Odenthal und Wermelskirchen (alle Rheinisch-Bergischer Kreis) vorläufige, sechs Wochen lang gültige Ausweise aus.[42]
- Die kreisfreie Stadt Hamm bot für Bürger:innen der benachbarten Kreise Soest und Hochsauerlandkreis die Kfz-Zulassung an, die rege genutzt wurde. Sie forderte allerdings auch die Bezirksregierung auf, die Zuständigkeiten klar zu regeln. Hamm können nicht für alle 1,1 Mio. Bürger:innen der betroffenen Kommunen Amtshilfe leisten. Die Bezirksregierung bildete einen Krisenstab, um diese Zuordnung zu regeln.[43]
- Für eine sehr begrenzte Menge an Kennzeichen wurde eine Kooperation des Märkischen Kreises mit der Stadt Dortmund vereinbart. Zulassungen waren nur für Händler und für die kritische Infrastruktur (Rettungsdienst, Krankentransport, THW, Pflegedienste etc.) sowie für Gewerbe (Speditionen, Busunternehmen, Lkw-Unternehmen, Taxis) möglich, dabei wurden Dortmunder Kennzeichen ausgegeben. Die notwendigen Unterlagen konnten in zwei Bürgerbüros abgegeben, die Kennzeichen dann einige Tage später in Dortmund abgeholt werden. Dafür stellte Dortmund einige Arbeitsplätze für Beschäftigte des Märkischen Kreises zur Verfügung.[44]
- Der Kreis Warendorf bot ebenfalls für Bürger:innen aus den betroffenen Kommunen die Ausstellung von Autokennzeichen an.[45]
- Der Rheinisch-Bergische Kreis kündete ebenfalls an, die Kfz-Zulassung in Nachbarkreisen zu ermöglichen, zunächst ohne detaillierte Informationen.[46]
- Auch Kreise in anderen Bundesländern leisteten Amtshilfe. So konnten Bürger*innen aus dem Kreis Siegen-Wittgenstein in bestimmten Außenstellen der Zulassungsstellen im Lahn-Dill-Kreis (Hessen) und im Westerwaldkreis (Rheinland-Pfalz) Kfz-Zulassungen erhalten.[47]
Seit 13.11.: Langsame Wiederherstellung[Bearbeiten]
Am Morgen des 09.11. gab die SIT bekannt, die forensischen Untersuchungen seien abgeschlossen. Mit den gewonnenen Erkenntnissen könnten jetzt alle Systeme auf Schadsoftware untersucht werden. Ab dem 13.11. solle damit begonnen werden, einzelne Fachverfahren wieder schrittweise ans Netz zu bringen.[48] Dafür wurde eine Prioritätenliste erstellt. Danach sind Kommunen und Bürger:innen auf folgende Dienstleistungen besonders angewiesen, die - neben der Wiederinbetriebnahme der Mail-Dienste und der internen WLans - vorrangig wiederhergestellt werden sollen:
- Aufgaben von Standesämtern (Anmeldung von Geburten, Todesfällen, Eheschließungen)
- Aufgaben des Einwohnermeldeamts (Ausstellung von Pässen und Ausweisen)
- Kfz-Zulassung und Ausstellung von Führerscheinen,
- Auszahlung von Sozialhilfe-Leistungen und Anträge auf Grundsicherung
- Bearbeitung von Asylanträgen, Ausstellung von Aufenthaltstiteln
- Haushaltsplanung und Budgetierung der Kommunen und Kreise.[49]
Am 21.11. beschloss der Verwaltungsrat der SIT einen Zeitplan für die Wiederherstellung der Systeme. Zunächst sollen einige Dienstleistungen der Kommunen - unter anderem das Ausstellen behördlicher Dokumente, Personenstandsänderungen, Auszahlung von Sozialleistungen, die KfZ-Zulassung sowie Dienstleistungen der Ausländerbehörden - ermöglicht werden. Die betroffenen Teile der IT-Landschaft der SIT werden vollkommen neu aufgebaut. Dabei holte die SIT Unterstützung von der regio iT, dem größten kommunaler IT-Dienstleister in NRW, ins Haus. Mitte Dezember, so der Plan, sollen die angeschlossenen Kommunen wieder eigenständig handlungsfähig sein.[50]
Schlussfolgerungen[Bearbeiten]
In verschiedenen Artikeln wird darüber spekuliert, ob die SIT zum Zeitpunkt des Angriffs gut aufgestellt war. So haben (ehemalige) Mitarbeiter:innen auf der Arbeitgeber-Bewertungsplattform kununu negative Bewertungen zur Unternehmens- und Führungskultur hinterlassen. Dies ist allerdings von begrenzter Aussagekraft, da auf kununu generell eher bei Beschwerden als bei Zufriedenheit gepostet wird. Eher schon lässt aufhorchen, dass in den Jahren 2022/2023 alle drei Geschäftsführer die Firma verlassen haben bzw. abberufen wurden. Entstanden ist die SIT 2018 als Zusammenschluss der Citkomm mit Sitz in Hemer und der Kommunalen Datenzentrale (KDZ) Westfalen-Süd aus Siegen. Sie wird in der Rechtsform einer GmbH unter dem Dach eines Zweckverbands geführt.[51]
Nach allen Erfahrungen mit früheren ähnlichen Vorkommnissen ist damit zu rechnen, dass die Wiederherstellung einer funktionierenden mindestens einige Wochen in Anspruch nehmen wird. Immerhin ergaben die forensischen Untersuchungen, dass die SIT die Systeme rechtzeitig abgeschaltet hatte, so dass die Schadsoftware nicht auf die Systeme der angeschlossenen Kommunen übergesprungen war; daher muss nur das interne Netz der SIT neu aufgesetzt werden.[52] Auch die Datensicherungen aus der Zeit vor Entdeckung des Angriffs müssen zunächst auf Integrität geprüft werden, ehe sie zurückgespielt werden können. Anschließend müssen alle Verwaltungsvorgänge ab dem Angriff bzw. ab dem Zeitpunkt, an dem zuletzt eine nicht kontaminierte Datensicherung stattfand, nachgearbeitet werden. Es zeigt sich, dass ein Angriff auf einen IT-Dienstleister mit vielen Kund:innen eine um Größenordnungen stärkere Wirkung entfalten kann als der Angriff auf eine einzelne Kommune. Borns oben zitiertem IT- und Windows-Blog zufolge "zeigt der Vorfall die Gefahr, wenn IT-Dienste zentral bereitgestellt werden, offenbart aber auch das Dilemma der Kommunen, die sich keine eigene IT leisten können oder wollen. ... Gelingt es einem Angreifer diese Systeme zu hacken, hat er quasi den Jackpot. Denn er bekommt Zugriff auf die Daten der Kunden und kann den Schaden potenzieren." Diese Kommunen sind ganz besonders auf funktionierende Sicherheitsmechanismen bei ihren IT-Dienstleistern angewiesen. Born zitiert in seinem Eintrag vom 06.11.2023 Prof. Denis Kipker, IT-Sicherheitsexperte, der auf X folgendes schrieb: "So kann es nicht mehr weitergehen: Entweder Länder und Kommunen steuern in der Vereinheitlichung des Cybersicherheitsniveaus nach, oder wir brauchen eine einheitliche bundesgesetzliche Regelung für die Cybersicherheit in der öffentlichen Verwaltung."[53]
Fußnoten[Bearbeiten]
- ↑ Bei einem Ransomware-Angriff werden auf dem angegriffenen Rechner Programme gestartet, die nach und nach immer mehr Dateien verschlüsseln, so dass ihr Inhalt nicht mehr zugänglich ist. Gegen Lösegeld, so wird in der Regel versprochen, soll der Schlüssel übermittelt werden, mit dem die Verschlüsselung rückgängig gemacht werden kann. Häufig wird der Forderung Nachdruck verliehen, indem bei Weigerung, Lösegeld zu zahlen, entwendete Daten im Darknet veröffentlicht oder zum Kauf angeboten werden. Siehe dazu mehr im Artikel Cyberangriffe, Abschnitt Ransomware.
- ↑ Für eine Liste der Mitgliedskommunen siehe Westfalenpost, Riesen-Cyberattacke: Rathäuser bleiben abgeschnitten, 30.10.2023 (am Ende des Artikels).
- ↑ Borns IT- und Windows-Blog: Cyberangriff auf Südwestfalen IT trifft 72 Kommunen mehr als erwartet, 31.10.2023; Westfalenpost, Riesen-Cyberattacke: Rathäuser bleiben abgeschnitten, 30.10.2023; WDR: Hacker-Angriff: Etliche NRW-Kommunen immer noch lahmgelegt, 31.10.2023; WDR, Hackerangriff stellt NRW-Kommunen weiter vor große Probleme, 02.11.2023. Siehe dazu auch die Information der SIT selbst auf einer neu eingerichteten - ironischerweise von vielen Browsern als "nicht sicher" eingestuften - Website; die eigentliche SIT-Seite ist (Stand 2.11.2023) nicht am Netz.
- ↑ Kommunaler Notbetrieb: Externer Angriff auf IT-Dienstleister mehrerer Kommunen in Südwestfalen, laufend aktualisiert (angesehen am 07.11.2023), mit Karte der betroffenen Kommunen; Borns IT- und Windows-Blog: Cyberangriff auf Südwestfalen IT trifft mindestens 103 Kommunen, 06.11.2023; Golem, Ransomware-Angriff legt Dienste deutscher Verwaltungen lahm, 07.11.2023
- ↑ News4Teachers: Hackerangriff legt IT von Kommunen lahm – und von deren Schulen, 06.11.2023
- ↑ Borns IT- und Windows-Blog: Neues zum Cyberangriff auf Südwestfalen IT, 10.11.2023
- ↑ Westfalenpost: Hackerangriff im HSK: Es gibt keinen Kontakt zu Erpressern, 07.11.2023
- ↑ Westfalenpost, Riesen-Cyberattacke: Rathäuser bleiben abgeschnitten, 30.10.2023; Cyberangriff: Mindestens „bis Ende der Woche“ keine Lösung, 31.10.2023
- ↑ Westfalenpost, Hacker-Angriff auf HSK-Kommunen: Erpresser fordern Lösegeld, 06.11.2023; SIT hat keinen Kontakt zu "höchst professionellen" Erpressern, 06.11.2023; Hackerangriff im HSK: Es gibt keinen Kontakt zu Erpressern, 07.11.2023; Cyberattacke auf SIT - das sollen die Angreifer aus dem Darknet sein, 09.11.2023; WDR, Hackergruppe "Akira" steckt hinter Angriff auf Südwestfalen-IT, 09.11.2023; Spiegel, Kommunen wollen Online-Erpressern kein Lösegeld zahlen, 09.11.2023; Golem, Ransomwaregruppe fordert Lösegeld von Südwestfalen IT, 10.11.2023; Borns IT- und Windows-Blog: Neues zum Cyberangriff auf Südwestfalen IT, 10.11.2023; heise, Nach Ransomware-Angriff: Südwestfalen-IT und Kommunen lehnen Lösegeldzahlung ab, 11.11.2023; heise: Cyberangriff auf Südwestfalen-IT: Mehr Kommunen betroffen, Notbetrieb hält an, 17.11.2023
- ↑ WDR: Hacker-Angriff: Etliche NRW-Kommunen immer noch lahmgelegt, 31.10.2023
- ↑ Westfalenpost: Nichts geht mehr beim Auto-Anmelden - noch nicht, 08.11.2023
- ↑ Soester Anzeiger: Cyberangriff: Stadt Warstein mit Not-Homepage, Folgen für Autohäuser, 08.11.2023
- ↑ come-on.de, Die Renaissance des Papiers, 08.11.2023
- ↑ Notfallnummern u.ä. aus vielen, unten nicht genannten Kommunen (Stand 31.10.2023) hat der WDR: Trotz Hackerangriff: Kontakt ins Rathaus
- ↑ WAZ: Nach Hackerangriff: Witten stellt Not-Homepage online, 02.11.2023
- ↑ WAZ: Hackerangriff: Serviceportal der Stadt Gelsenkirchen offline, 31.10.2023; Radio Emscher Lippe: Serviceportale bleiben nach Hackerangriff abgeschaltet, 10.11.2023
- ↑ Westfalenpost: Hackerangriff im HSK: „Diese Woche wird nichts mehr laufen“, 31.10.2023, mit Angaben zu einzelnen Kommunen im HSK; siehe dazu auch SauerlandKurier: „Seit Montag haben wir eine neue Welt“ - Städte und Gemeinden nach IT-Angriff im Ausnahmezustand, 03.11.2023
- ↑ Westfalenpost: Hackerangriff: HSK setzt jetzt auf Faxgeräte, 08.11.2023
- ↑ Annsberg-Neheim-Huesten-News: Stadtverwaltung ist trotz Cyber-Attacke für die Bürger:innen da, 01.11.2023
- ↑ Siehe zu Eslohe ausführlich Westfalenpost: Cyberangriff: Wichtige Hinweise aus dem Rathaus Eslohe, 06.11.2023
- ↑ Westfalenpost: Hackerangriff HSK: Olsberg kramt Schreibmaschinen aus Keller, 12.11.2023
- ↑ Siehe die Liste der Mail-Adressen in: IKZ-online, Cyberangriff: So ist der Märkische Kreis wieder erreichbar, 07.11.2023
- ↑ come-on.de, Cyberattacke: Weiter Einschränkungen im Lüdenscheider Bürgeramt, 17.11.2023
- ↑ ntv: Weiter Störungen in mehreren Kommunen nach Cyberangriff, 02.11.2023; come-on.de: Cyber-Angriff: Notfall-Seiten vom Märkischen Kreis und der Stadt Lüdenscheid sind jetzt abrufbar, 03.11.2023; Radio MK: Cyberangriff auf „Südwestfalen IT“: Städte im Märkischen Kreis mit eingeschränkten Dienstleistungen, 08.11.2023. Mehr Details zu Lüdenscheid: come-on.de, Nach dem Hackerangriff: „Wir müssen zehn bis 15 Jahre zurückdenken“, 11.11.2023. Zur Stadt Meinerzhagen siehe come-on.de: Cyber-Attacke: Auch Meinerzhagen weiter betroffen, 03.11.2023. Ausführlich zu Kierspe: come-on.de, Cyberangriff: Applaus für die Stadt Kierspe, 16.11.2023
- ↑ come-on.de: Cyberattacke: Kreis und Kommune arbeiten mit Hochdruck an Notfallseiten, 02.11.2023; Westfalenpost: Nach Hacker-Angriff: MVG jetzt auch mit Notfallseite im Netz, 03.11.2023; Radio MK: Zahlungseinschränkungen nach Cyberangriff in Plettenberg und Menden, 10.11.2023; Westfalenpost: Menden: Nach Cyberangriff sind Zahlungen besonders betroffen, 12.11.2023
- ↑ come-on.de: Gemeinde kann keine Steuern einziehen, 09.11.2023; Lösegeldforderung nach Hackerangriff: Altena und Nachrodt nicht befragt, 11.11.2023
- ↑ Come-on.de: Weil Computer ausfallen: Stadt kann Gewerbesteuer nicht abbuchen, 08.11.2023, mit allen Notfall-Mailadressen
- ↑ Westfalenpost: Großer Hacker-Angriff: Alle Infos und Nummern im Kreis Olpe, 31.10.2023
- ↑ Westfalenpost: Online-Bezahlsysteme fallen komplett aus, 03.11.2023
- ↑ LokalPlus: So arbeiten die Verwaltungen im Kreis Olpe nach dem Hackerangriff, 02.11.2023, mit weiteren Informationen zur Lage im Kreis und in einzelnen Gemeinden
- ↑ Radio Erft: Rhein-Erft: Hackerangriff schränkt Behörden weiter ein, 06.11.2023
- ↑ Siehe im Detail Rheinische Post, Rathaus in Wermelskirchen stellt sich auf längeren Notbetrieb ein, 03.11.2023; Zum 15. November fällige Abgaben überweisen, 06.11.2023; [1], 06.11.2023; IT-Koordinator soll bei Notbetrieb der Stadtverwaltung helfen, 06.11.2023; Rheinische Post: Stadt Wermelskirchen sendet Info-Brief zum Cyberangriff an die Bürger, 16.11.2023
- ↑ heise: Cyberangriff auf Südwestfalen-IT: Mehr Kommunen betroffen, Notbetrieb hält an, 17.11.2023
- ↑ Siegener Zeitung: Cyber-Attacke auf Kreis- und Stadtverwaltung, 31.10.2023; ntv: Weiter Störungen in mehreren Kommunen nach Cyberangriff, 02.11.2023. Siehe auch ausführlich, insb. zur Situation in der Stadt Bad Berleburg: Westfalenpost, Nach Hacker-Angriff: Wichtige Infos für Wittgenstein, 03.11.2023
- ↑ Siegener Zeitung: Nach Cyberangriff: Kreisverwaltung richtet alte Computer wieder her – um damit ins Internet gehen zu können, 01.11.2023
- ↑ Zur Lage im Kreis Siegen-Wittgenstein betreibt die Siegener Zeitung einen Liveticker mit jeweils tagesaktuellen Informationen. Informationen auch zur Erreichbarkeit der Verwaltung in weiteren Städten des Kreise sind ebenfalls in der Westfalenpost zu finden: Cyberangriff Siegen: Notbetrieb wird sehr lange dauern, 02.11.2023. Siehe auch Radio Siegen: Eineinhalb Wochen nach Cyberattacke in Siegen-Wittgenstein, 08.11.2023, mit Interview mit Marco Schwunk, Kämmerer in Neunkirchen (½ min), und Informationen zu einigen weiteren Gemeinden
- ↑ Soester Anzeiger: Cyberangriff: Stadt Warstein mit Not-Homepage, Folgen für Autohäuser, 08.11.2023
- ↑ Ruhr Nachrichten: Website der Stadt Lünen nicht aufrufbar, 30.10.2023
- ↑ Ruhr Nachrichten: Cyberangriff auf Kommunen: Rathaus Schwerte bleibt vorerst geschlossen, 31.10.2023; Nach Cyberattacke auf Kommunen Wie geht es im Schwerter Rathaus weiter?, 04.11.2023; Ruhr Nachrichten: Nach Cyberangriff: Zahlungsverkehr der Stadt Schwerte ist beeinträchtigt, 10.11.2023
- ↑ Siegener Zeitung, Oberbergischer Kreis springt für Siegen-Wittgenstein und Olpe ein, 10.11.2023
- ↑ Westfalenpost: Kreis Olpe: Zulassungsstau durch Nachbarschaftshilfe gelöst, 17.11.2023; Rheinische Post: Stadt Wermelskirchen sendet Info-Brief zum Cyberangriff an die Bürger, 16.11.2023
- ↑ Radio Leverkusen: Leverkusen hilft nach Cyberangriff, 09.11.2023
- ↑ WA: Amtshilfe statt Lösegeld: Hammer Verwaltung springt für lahmgelegte Kommunen ein, 12.11.2023; Nach Hackerangriff: Stadt Hamm drängt darauf, Amtshilfe klar zu regeln, 15.11.2023
- ↑ come-on.de: Nach Cyberangriff: Kfz-Anmeldungen für Händler bald wieder möglich - mit DO statt MK, 17.11.2023
- ↑ Die Glocke: Soester erhalten Autokennzeichen aus Kreis Warendorf, 20.11.2023
- ↑ Rheinische Post: Kfz-Zulassung durch Notlösung möglich – aber ohne „GL“, 17.11.2023
- ↑ Westfalenpost: Bürger können Autos wieder an- und ummelden, 16.11.2023, mit weiteren Einzelheiten
- ↑ SIT, Südwestfalen IT macht erste Fortschritte, 09.11.2023; Siegener Zeitung: Nach Hackerangriff auf Kommunen: Südwestfalen-IT macht Fortschritte, 09.11.2023
- ↑ LokalPlus: Südwestfalen-IT arbeitet am Wiederaufbau der Basis-Infrastruktur, 16.11.2023; Borns IT- und Windows-Blog: Südwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten, 17.11.2023
- ↑ heise, Cyberangriff in Südwestfalen: Zeitplan für Notbetrieb und Wiederanlauf steht, 21.11.2023
- ↑ Borns IT- und Windows-Blog: Neues zum Cyberangriff auf Südwestfalen IT, 10.11.2023
- ↑ heise, Cyberangriff in Südwestfalen: Zeitplan für Notbetrieb und Wiederanlauf steht, 21.11.2023
- ↑ Borns IT- und Windows-Blog: Cyberangriff auf Südwestfalen IT trifft mindestens 103 Kommunen, 06.11.2023
Siehe auch[Bearbeiten]
- Lokalplus: In den Verwaltungen müssen 22.000 Computer überprüft werden, Interview mit SIT-Verbandsvorsteher Theo Melcher (08.11.2023)
- Cyberangriffe