Cyberangriff auf die Südwestfalen-IT 2023

Aus KommunalWiki

Ransomware-Angriff auf die SIT[Bearbeiten]

In der Nacht auf den 30.10.2023 wurde bei der Südwestfalen-IT (SIT) ein Ransomware-Angriff[1] entdeckt. Die SIT ist ein Zweckverband der südwestfälischen Kommunen mit Sitz in Hemer und Siegen, der als Dienstleister die IT für 72 Kommunen - darunter alle Kommunen in Südwestfalen - und einige weitere Kund:innen betreibt.[2] Deshalb waren neben der SIT selbst all diese Kommunen von dem Angriff betroffen, sprich, sie konnten ihre IT nicht mehr nutzen und auch digitale Diensleistungen für die Bürger:innen nicht mehr anbieten. Nach Informationen vom 31.10. ist damit die IT oder große Teile davon in 72 Kommunen mit 22.000 Arbeitsplätzen ausgefallen, darunter alle Kommunen im Hochsauerlandkreis, Märkischen Kreis, Kreis Olpe, Kreis Siegen-Wittgenstein, Kreis Soest (einschließlich dieser Kreise selbst) sowie mehrere Kommunen im Rheinisch-Bergischen Kreis und einige kommunale Unternehmen. Auch einige Städte im Ruhrgebiet und im südlichen Münsterland waren betroffen, beispielsweise fielen einige Dienstleistungen des Ennepe-Ruhr-Kreises sowie das Serviceportal der Stadt Gelsenkirchen aus. Nicht nutzbar war zunächst auch die Nora-App, mit der Notrufe getätigt werden können; sie sollte jedoch schnellstmöglich auf eine andere Rufnummer umgeleitet werden.[3] Nach neueren Informationen sollen deutlich über 100 Kommunen betroffen sein, viele davon allerdings nur mit einem Teil ihrer IT- oder Internet-Dienstleistungen.[4] Neben den Kernverwaltungen ist auch eine unbekannte Zahl von Schulen mit dem teilweisen oder vollständigen Ausfall der IT konfrontiert, mit z.T. drastischen Folgen für Kommunikation und die Bereitstellung von Lehrmaterialien.[5]

Logo der Südwestfalen-IT

Die SIT schaltete das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Landeskriminalamt ein. Für aktuelle Informationen schaltete sie eine Notfallseite. Ob neben der Verschlüsselung auch Daten abgeflossen sind, war zunächst unklar. Die Verbindungen des Rechenzentrums zu und von allen Verbandskommunen wurden gekappt, Expert:innen machten sich an die Untersuchungen, um Art und Ausmaß des Schadens festzustellen. Nach Informationen von "Borns IT- und Windows-Blog" wurde als externe Cybersicherheitsfirma die rtec hinzugezogen.[6] Die SIT bildete mit externen Partnern und den IT-Verantwortlichen aller Kreisverwaltungen des Verbandsgebiets einen "erweiterten Krisenstab", der zunächst täglich tagen sollte. Sie setzte außerdem einen "zentralen Behelfe-Koordinator" ein, der zusammen mit betroffenen Kommunen für bestimmte Dienstleistungen Behelfslösungen entwickeln soll.[7] Die Zentral- und Ansprechstelle Cybercrime (ZAC NRW), bei der Kölner Staatsanwaltschaft angesiedelt, übernahm gemeinsam mit der Polizeidirektion Dortmund die Ermittlungen. Staatsanwalt Dr. Christoph Hebbecker, Sprecher der ZAC, rechnete mit „wahrscheinlich komplexen und langanhaltenden Ermittlungen“; der aktuelle Fall habe, verglichen mit anderen, ein "ganz erhebliches Ausmaß".[8]

Hackergruppe identifiziert, Lösegeld wird nicht gezahlt[Bearbeiten]

Die Angreifer seien "höchst professionell" vorgegangen, so ein SIT-Sprecher. Viele Systeme seien von dem Cyberangriff nicht betroffen, wohl aber von der erforderlichen Notabschaltung. Am 06.11. wurde bekannt, dass auf befallenen Rechnern eine Aufforderung, mit den Erpressern Kontakt aufzunehmen, gefunden wurde, diese wurden jedoch nicht kontaktiert; eine konkrete Lösegeldforderung liegt deshalb nicht vor. Laut der Polizei Dortmund lehnen die SIT wie auch die betroffenen Kommunen jegliche Lösegeldzahlung ab. Nach Informationen der dpa, die sich auf einen vertraulichen Bericht des Innenministeriums an den Landtag beruft, sowie des WDR soll die Hackergruppe "Akira" für den Angriff verantwortlich sein, die erstmals im März 2023 in Erscheinung trat, aber inzwischen als eine der aktivsten kriminellen Vereinigungen im Bereich der Internet-Erpressung gilt, so das Sicherheitsunternehmen Logpoint. Akira ist dafür bekannt, Dienste zu infizieren, die auf eine 2-Faktor-Authentifizierung verzichten. Dabei bietet sie ihre Leistungen Kunden gegen Bezahlung an. Die Auftraggeber, die den Angriff ausführen ließen, sind nicht bekannt. Anders als sonst hat sich die Gruppe "Akira" jedoch auch Wochen nach dem Angriff noch nicht dazu bekannt. Das könnte daran liegen, dass die betroffenen Kommunen jede Kontaktaufnahme zu Akira bislang ablehnen.[9]

Auswirkungen in den Kommunen[Bearbeiten]

Die konkreten Auswirkungen waren unterschiedlich, aber oft drastisch. Die Webseiten vieler Kommunen waren nicht mehr am Netz, die Verwaltungen weder per Mail noch telefonisch erreichbar. Viele Kommunen schlossen ihre Büros und baten Bürger:innen, die Termine hatten, zu Hause zu bleiben; einige öffneten zumindest Notfall-Schalter. Viele Sozialämter waren nicht mehr in der Lage, Anträge zu bearbeiten oder (am Monatswechsel!) Auszahlungen zu veranlassen. Betroffen waren ebenso Meldebehörden, Standesämter und Zulassungsstellen. Auch in Krankenhäusern fielen Computersysteme aus.[10] Viele Kommunen nutzten Social-Media-Kanäle, um die Bürger:innen über den Stand zu informieren.

Vor allem bei Kommunen, die die SIT-Dienste für ihre Finanzsoftware nutzten, waren die Auswirkungen tiefgreifend. Fast alle Dienstleistungen sind mit Finanzvorgängen gekoppelt. So waren viele Kommunen nicht in der Lage, die ab 15.11. fälligen Lastschrifteinzüge (z.B. Grund- und Gewerbesteuer) vorzunehmen. Einige dieser Kommunen baten Zahlungspflichtige, ausnahmsweise direkt zu überweisen, andere forderten sie auf, gerade das nicht zu tun, weil sie die Einzüge später nachholen wollten.[11] Ebenso sind alle Dienstleistungen der Kfz-Zulassungsstellen von zentralen IT-Diensten abhängig: Alle Vorgänge (z.B. Neuzulassungen, Halterwechsel, Abmeldungen, technische Veränderungen) werden im Zentralen Fahrzeugregister (ZFZR) beim Kraftfahrt-Bundesamt (KBA) gespeichert. Das ZFZR hält die Daten bereit für Zulassungsbehörden, Versicherungen und technische Überwachungsinstitutionen. Aus Sicherheitsgründen kann nur über die zentral bereitgestellten Schnittstellen auf die Daten des ZFR zugegriffen werden.[12] Unter dem Stopp von Neuzulassungen leiden auch die Autohäuser, die bestellte Fahrzeuge nicht ausliefern und damit auch keine neuen beschaffen können.[13] Damit sorgte auch das vorzeitige Ende der E-Auto-Förderung Ende 2023 für Aufregung, da der Erhalt der Förderung vom Datum der Zulassung abhing.[14] Eine weitere Folge des Cyberangriffs war, dass viele Kreise und Gemeinden keine Bußgeldbescheide mehr zustellen konnten: Da die Verbindung zum Kraftfahrt-Bundesamt ausgefallen war, konnten den Nummernschildern die Halteradressen nicht zugeordnet werden.[15]

Je nach der Lage vor Ort griffen Verwaltungen auf die traditionellen Methoden (Papier und Stift bzw. Schreibmaschine) zurück oder reaktivierten ältere Rechner, die nicht ans Netz angeschlossen werden (stand alone). Einige Dienstleistungen können jedoch ohne IT gar nicht erbracht werden. Was ohne IT-Netz bearbeitet wird, muss nach der Wiederherstellung der Systeme nachgepflegt werden. Zudem war zu Beginn auch unklar, auf welchem Stand die Datensicherungen sind; sofern die Angreifer schon länger unbemerkt im System waren, ist es möglich, dass auch Backups kompromittiert sind.[16]

Informationen aus einzelnen Kommunen[Bearbeiten]

Die folgenden Informationen sind nach Kreisen alfabetisch geordnet. Sie können nicht dauerhaft aktuell gehalten werden, bitte immer auf das Datum in den Quellenangaben achten![17]

  • Beim Ennepe-Ruhr-Kreis fielen das Serviceportal und die interaktiven Formulare auf der Internetseite aus. In der Stadt Witten ging die Webseite offline, eine provisorische Seite ist seit dem 02.11.2023 am Netz.[18]
  • Bei der Stadt Gelsenkirchen war nur das kommunale Serviceportal betroffen, weil nur dieses von der SIT betrieben wurde. Die städtische Webseite, über die Termine in der Behörde vereinbart werden können und die auch ein Kontaktformular enthält, funktionierte weiter, ebenso die interne IT. Damit können in den Behördenräumen weiterhin alle Dienstleistungen erbracht werden, Bürgercenter, Mail und Telefon stehen zur Verfügung. Auch der Datenbestand der Stadt konnte daher nicht geschädigt oder angezapft werden. Gleiches gilt für Bottrop und Gladbeck.[19]
  • Im Hochsauerlandkreis konnte in Zusammenarbeit mit der Sparkasse sichergestellt werden, dass Auszahlungen zunächst möglich sind, viele andere Dienste fallen jedoch aus.[20] Der Kreis reaktivierte bereits ausgemusterte Faxgeräte und kaufte rund 100 PCs und Laptops, die übergangsweise ohne Netzanbindung eingesetzt werden sollen.[21] Die Stadt Arnsberg bat Bürger:innen bei Bedarf um persönliche Kontaktaufnahme mit den zuständigen Mitarbeiter:innen, die auf dem Postweg, telefonisch und auch persönlich in den Dienststellen erreichbar seien. Viele Dienstleistungen könnten erbracht werden, jedoch ist die Webseite nicht am Netz und die Mail-Kommunikation nicht verfügbar. Die Stadtwerke Arnsberg gingen davon aus, dass sie4 den Zahlungsverkehr gewährleisten können.[22] In Eslohe ist die interne IT funktionsfähig, doch Webseite und von der SIT bereitgestellte Fachverfahren sind ausgefallen.[23] In Olsberg konnten Baugenehmigungen nicht mehr erteilt werden, Meldewesen und Standesamt stellten den Betrieb komplett ein. Bereits öffentlich ausgelegte Bebauungspläne mussten auf der Notfallseite erneut ausgelegt werden, der Hebetermin für die Grundsteuer wurde ausgesetzt. Jedoch funktionierte die interne Kommunikation, Schadsoftware wurde auf den Rechnern nicht gefunden.[24]
  • Der Märkische Kreis baute eine Notfallseite auf und legte Ausweich-E-Mail-Adressen für wichtige Dienste an.[25] Der Kreis konnte fällige Forderungen nicht mit Hilfe der Finanzsoftware abbuchen und bat die Bürger:innen darum, die Mitte November fälligen Zahlungen selbst zu leisten.[26] Das Bürgerbüro in Lüdenscheid blieb am 2.11. noch geschlossen, andere Dienststellen waren wieder geöffnet, konnten aber nicht alle Dienstleistungen anbieten. Eine Notfall-Homepage ging am 03.11. ans Netz, außerdem wurde an der Möglichkeit der Mail-Kommunikation gearbeitet. Einige Dienste wurde auf Papier umgestellt, z.B. Geburts- und Sterbeurkunden. Das Ausländeramt konnte am 08.11. wieder öffnen, bat aber um telefonische Voranmeldung. Wegen der eingeschränkten Angebote wurden die Öffnungszeiten an Samstagen ausgesetzt.[27] Auch Plettenberg richtete eine Notfall-Homepage ein. Hemer musste die Einbringung des Haushalts in den Gemeinderat auf Januar verschieben.[28] Die Märkische Verkehrsgesellschaft (MVG) hatte bis zum 2.11. eine Notfallseite im Netz und war zudem telefonisch und per Mail erreichbar. Auch die Stadt Menden erstellte eine Notfallseite, die lediglich Informationen bot und keine Interaktion ermöglichte. In Menden war, ebenso wie in Plettenberg, die Abbuchung von Gewerbesteuer, Grundbesitzabgaben und Elternbeiträgen nicht möglich; die Zahlungspflichtigen sollten abwarten, die Abbuchungen würden nachgeholt. In Menden war auch die Auszahlung von Grundsicherung und Wohngeld unterbrochen.[29] Auch in Nachrodt-Wiblingwerde war der Ausfall des Rechnungswesens das größte Problem für die Verwaltung, die Stadt konnte zum 15.11. fällige Steuern zunächst nicht einziehen. Zudem konnte der Haushalt 2024 nicht wie geplant in der Ratssitzung am 18.12. eingebracht werden, dies wurde auf den Januar 2024 verschoben. Wer seit dem 30.10. E-Mails an die Verwaltung geschickt hatte, wurde Anfang Dezember aufgefordert, diese nochmal zu senden. Nachrodt-Wiblingwerde plane jedoch nicht, sich von der SIT zu verabschieden; dies wäre aufwändig, ein Umzug der Daten und der Aufbau einer eigenen Firewall sei von einer kleinen Gemeinde nicht zu leisten.[30] Die Stadt Werdohl schaltete eine Notfall-Internetseite und mehrere Notfall-Mailadressen.[31] Altena konnte die Mitte November fälligen Steuern nicht einziehen und ist hierzu möglicherweise auch im Februar 2024 noch nicht in der Lage, so dass das Konto in Minus rutschte. Auch die Elternbeiträge für Kitas und Offene Ganztagsschulen konnten nicht eingezogen werden, so dass voraussichtlich alle Gebührenpflichtigen persönlich angeschrieben werden müssen, damit sie die Beiträge eigenständig überweisen. In der Kämmerei funktionierte keiner der fünf Arbeitsbereiche Buchhaltung, Zahlungsverkehr, Vollstreckung, Steuern und Veranlagung sowie Haushalt; der Haushalt 2024 kann voraussichtlich erst nach Ostern verabschiedet werden.[32]
  • Die Verwaltung des Kreis Olpe war weder telefonisch noch per Mail zu erreichen, Termine konnten nicht wahrgenommen werden. Für Notfälle wurde eine Mobilnummer veröffentlicht. Ähnliches gilt für viele Kommunen im Kreis einschließlich der Stadt Olpe. Nur die Schuleingangsuntersuchungen können stattfinden.[33] Im Kreis Olpe fielen auch sämtliche Online-Bezahlsysteme bei Parkautomaten aus, zum Parken wurde wieder zwingend Kleingeld benötigt.[34] Die Gemeindewerke Finnentrop waren nur eingeschränkt erreichbar, der Gas-Notruf fiel komplett aus, für ihn wurde eine provisorische Telefonnummer eingerichtet.[35] Wie weit die Beeinträchtigungen reichten, zeigt ein kleines Beispiel: Die Einladungen für den Ehrenamtstag der Gemeinde Kirchhundem im März 2024 konnten nicht wie geplant im Dezember 2023 verschickt werden, weil die Adressdaten nicht verfügbar waren.[36]
  • Der Rhein-Erft-Kreis ist wenig betroffen, da nur drei Verwaltungen Dienste der SIT nutzen. Die Ausländer- und Einbürgerungsbehörde ist allerdings über die üblichen Wege nicht erreichbar, hier wurde eine Telefonnummer und eine Mail-Adresse veröffentlicht.[37]
  • Im Rheinisch-Bergischen Kreis sind nur einzelne Kommunen in unterschiedlichem Ausmaß betroffen. Durch Kooperation mit einer benachbarten Kommune ermöglichte der Kreis innerhalb von knapp zwei Wochen, dass zumindest in dringenden Fällen Anträge auf Elterngeld und Ausweise für Schwerbehinderte wieder gestellt werden konnten.[38] Besonders stark traf es die Stadt Wermelskirchen. Diese forderte Zahlungspflichtige (z.B. für die Grundsteuer) auf, zum 15.11. fällige Beträge auch bei bestehendem Lastschriftmandat per Überweisung zu zahlen, da der Bankeinzug nicht funktioniert. Ende November informierte die Stadt alle Bürger:innen per Brief über die Situation, aktuelle Informationen stehen auch auf der Notfallseite der Stadt.[39] Die Stadt Bergisch Gladbach konnte ebenfalls die Gewerbesteuer zum 15.11. nicht einziehen und rechnete damit, deswegen einen kurzfristigen Kredit aufnehmen zu müssen.[40] Die Stadt Leichlingen bat die Zahlungspflichtigen darum, zum 15.11. fällige Zahlungen nicht selbst zu leisten, sie würden später abgebucht.[41]
  • Der Kreis Siegen-Wittgenstein richtete eine Bürgerhotline sowie Info-Schalter in allen Rathäusern ein und schaltete eine provisorische Webseite. Einige Dienste fielen komplett aus, wie z.B. die Zulassungsstelle, andere wie das Jugendamt waren weitgehend arbeitsfähig.[42] In der Kreisverwaltung wurde ein "erweiterter Krisenstab" gebildet. Rund 150 bereits ausgemusterte Rechner wurden reaktiviert, neu aufgesetzt und sollen über ein ebenfalls neu eingerichtetes WLan auch Internet-Zugang erhalten.[43] Auch die Stadt Siegen stellte eine Notfall-Homepage ins Netz. Die Stadtkasse wollte die zum 15.11. fälligen Quartalseinzüge analog dem vorausgegangenen Quartal vornehmen, die Abweichungen seien minimal und würden später ausgeglichen.[44] Dank der Amtshilfe aus benachbarten Kreisen war nach ca. zwei Wochen die Anmeldung von Fahrzeugen wieder möglich (dazu mehr im folgenden Abschnitt).[45]
    • Über den verwaltungsinternen Umgang mit den Folgen des Cyberangriffs in der Stadt Siegen berichtet der stadteigene Podcast "Flurfunk": SONDERFOLGE: Cyber-Angriff, Teil 1 (20.11.2023) und Teil 2 (04.12.2023).
  • Der Kreis Soest schaltete eine Notfall-Homepage, ebenso wie die kreisangehörige Stadt Warstein.[46]
  • Im Kreis Unna war die Kreisverwaltung nicht von dem Angriff betroffen, wohl aber die Systeme einiger Städte (Werne, Fröndenberg, Selm, Holzwickede, Lünen und Schwerte). Bei der Stadt Lünen war lediglich die Website offline. Interne Prozesse, so die Stadt, seien von der Störung nicht betroffen, auch die Sicherheit aller verwaltungsinterner Daten sei nicht gefährdet.[47] In Schwerte wurde ein Krisenstab gebildet, das Rathaus vorerst geschlossen und eine Notfallseite eingerichtet. Die Fachausschüsse des Rates konnten in der Woche ab 6.11. nicht tagen, die Ratssitzung wurde verschoben. Auszahlungen an Firmen verzögerten sich, Einzüge von Grundsteuer u.a. am 15.11. mussten verschoben werden. Neben der Verwaltung spürte auch der Kultur- und Weiterbildungsbetrieb (Kuwebe) Einschränkungen.[48]

Amtshilfe[Bearbeiten]

Teilweise leisteten andere, nicht betroffene Kommunen Amtshilfe, um zumindest einige Dienstleistungen wieder möglich zu machen. Dazu trug bei, dass die Landesregierung NRW per Erlass einige Dienstleistungen in anderen als dem eigenen Kreis ermöglichte.

  • Der Oberbergische Kreis richtete für die benachbarten Kreisverwaltungen Siegen-Wittgenstein und Olpe eine Außenstelle ein. Insgesamt 9 Mitarbeitende können dort zumindest einige dringende Anliegen für Bürger:innen bearbeiten.[49] Eine Woche später ermöglichte der Oberbergische Kreis auch Kfz-Zulassungen für Bürger:innen des Kreises Olpe, allerdings mit dem Oberbergischen GM-Kennzeichen (für Gummersbach). Dazu arbeiteten zeitweilig 16 Mitarbeiter:innen der Olper Zulassungsstelle in den oberbergischen Außenstellen in Hückeswagen und Waldbröl. Terminvereinbarungen über eine neu geschaltete Web-Adresse waren zwingend, ebenso wie EC-Zahlungen. In den Bürgerbüros in Remscheid und Hückeswagen wurde jeweils ein "Wermelskirchen-Schalter" eingerichtet, an dem vorläufige Ausweise ausgestellt wurden.[50]
  • Um Führerscheinangelegenheiten bearbeiten zu können, insbesondere für Berufskraftfahrer:innen, schloss der Märkische Kreis eine Vereinbarung mit der kreisfreien Stadt Hagen ab.[51]
  • Das Bürgerbüro in Leverkusen stellte für Bürger:innen aus benachbarten Gemeinden wie z.B. Leichlingen, Odenthal und Wermelskirchen (alle Rheinisch-Bergischer Kreis) vorläufige, sechs Wochen lang gültige Ausweise aus.[52]
  • Die kreisfreie Stadt Hamm bot für Bürger:innen der benachbarten Kreise Soest und Hochsauerlandkreis die Kfz-Zulassung an, die rege genutzt wurde. Sie forderte allerdings auch die Bezirksregierung auf, die Zuständigkeiten klar zu regeln. Hamm können nicht für alle 1,1 Mio. Bürger:innen der betroffenen Kommunen Amtshilfe leisten. Die Bezirksregierung bildete einen Krisenstab, um diese Zuordnung zu regeln.[53]
  • Für eine sehr begrenzte Menge an Kennzeichen wurde eine Kooperation des Märkischen Kreises mit der Stadt Dortmund vereinbart. Zulassungen waren nur für Händler und für die kritische Infrastruktur (Rettungsdienst, Krankentransport, THW, Pflegedienste etc.) sowie für Gewerbe (Speditionen, Busunternehmen, Lkw-Unternehmen, Taxis) möglich, dabei wurden Dortmunder Kennzeichen ausgegeben. Die notwendigen Unterlagen konnten in zwei Bürgerbüros abgegeben, die Kennzeichen dann einige Tage später in Dortmund abgeholt werden. Dafür stellte Dortmund einige Arbeitsplätze für Beschäftigte des Märkischen Kreises zur Verfügung. Anfang Dezember konnten in Dortmund auch Kennzeichen für Bürger:innen aus dem Märkischen Kreis erstellt werden.[54]
  • Der Kreis Warendorf bot ebenfalls für Bürger:innen aus den betroffenen Kommunen die Ausstellung von Autokennzeichen an.[55]
  • Der Rheinisch-Bergische Kreis kündete ebenfalls an, die Kfz-Zulassung in Nachbarkreisen zu ermöglichen, zunächst ohne detaillierte Informationen.[56]
  • Auch Kreise in anderen Bundesländern leisteten Amtshilfe. So konnten Bürger*innen aus dem Kreis Siegen-Wittgenstein in bestimmten Außenstellen der Zulassungsstellen im Lahn-Dill-Kreis, im Kreis Marburg-Biedenkopf (beide Hessen) und im Westerwaldkreis (Rheinland-Pfalz) Kfz-Zulassungen erhalten.[57] Die Verbandsgemeinde Kirchen (Rheinland-Pfalz) ermöglichte Anfang Dezember in Notfällen die Ausstellung von Ausweisen für Bürger:innen aus Siegen.[58]

Seit 13.11.: Langsame Wiederherstellung[Bearbeiten]

Am Morgen des 09.11. gab die SIT bekannt, die forensischen Untersuchungen seien abgeschlossen. Mit den gewonnenen Erkenntnissen könnten jetzt alle Systeme auf Schadsoftware untersucht werden. Ab dem 13.11. solle damit begonnen werden, einzelne Fachverfahren wieder schrittweise ans Netz zu bringen.[59] Dafür wurde eine Prioritätenliste erstellt. Danach sind Kommunen und Bürger:innen auf folgende Dienstleistungen besonders angewiesen, die - neben der Wiederinbetriebnahme der Mail-Dienste und der internen WLans - vorrangig wiederhergestellt werden sollen:

  • Aufgaben von Standesämtern (Anmeldung von Geburten, Todesfällen, Eheschließungen)
  • Aufgaben des Einwohnermeldeamts (Ausstellung von Pässen und Ausweisen)
  • Kfz-Zulassung und Ausstellung von Führerscheinen,
  • Auszahlung von Sozialhilfe-Leistungen und Anträge auf Grundsicherung
  • Bearbeitung von Asylanträgen, Ausstellung von Aufenthaltstiteln
  • Haushaltsplanung und Budgetierung der Kommunen und Kreise.[60]

Am 21.11. beschloss der Verwaltungsrat der SIT einen Zeitplan für die Wiederherstellung der Systeme. Zunächst sollen einige Dienstleistungen der Kommunen - unter anderem das Ausstellen behördlicher Dokumente, Personenstandsänderungen, Auszahlung von Sozialleistungen, die KfZ-Zulassung sowie Dienstleistungen der Ausländerbehörden - ermöglicht werden. Die betroffenen Teile der IT-Landschaft der SIT werden vollkommen neu aufgebaut. Dabei holte die SIT Unterstützung von der regio iT, dem größten kommunalen IT-Dienstleister in NRW, ins Haus. Mitte Dezember, so der Plan, sollten die angeschlossenen Kommunen im Rahmen eines Notbetriebes wieder eigenständig handlungsfähig sein.

Die tatsächliche Wiederherstellung der Services verlief jedoch deutlich langsamer als angekündigt. Am 8.12. wurde der Ende November verkündete Zeitplan wieder einkassiert. Grund für die Verzögerung sei "eine Kombination aus erhöhten Sicherheitsanforderungen und der Komplexität der IT-Systeme", so die SIT. Ein neues zeitliches Ziel wurde nicht genannt. Erste Fachverfahren (zunächst 3 von 160) sollten zuerst mit Pilotkommunen getestet werden, bevor sie allgemein zur Verfügung stehen. Die Wiederherstellung der Dienste sollte, so die SIT, in den nördlichen Kreisen des Verbandsgebiets (Märkischer Kreis, Hochsauerlandkreis und Kreis Soest) etwas schneller gehen, da in diesen Kreisen weniger Systeme betroffen waren. In der SIT arbeiteten 170 Personen zusammen mit neun externen Dienstleistern an der Wiederherstellung der Systeme.[61] Aus Lüdenscheid wurde bekannt, dass dem Rat ein Betrag von gut 320.000 € als überplanmäßige Aufwendungen zur Beschlussfassung vorgelegt wurde; die Mittel dienen zur Erhöhung der IT-Sicherheit und zur Finanzierung der Notfallmaßnahmen. In den Haushalt 2024 werden weitere 130.000 € für dieselben Zwecke eingestellt.[62] In einer gemeinsamen Stellungnahme von sieben Bürgermeistern und dem Landrat des Kreises Olpe am 13.12.2023 blieb diesen nichts anderes übrig als zu erklären, dass der Notbetrieb noch länger andauern würde.[63] Wenn einzelne Funktionen freigeschaltet wurden, führte dies oft eher zu "Ernüchterung" als zu Freude. So erhielt die Stadt Werdohl am 12.12.2023 wieder Zugriff auf ihre Finanzsoftware, musste aber feststellen, dass die Schnittstellen zu anderen Programmen noch nicht funktionierten, Abbuchungen gar nicht und Zahlungen nur sehr eingeschränkt möglich waren. Auch die Aufstellung des neuen Haushalts wird sich aufgrund der IT-Probleme stark verzögern.[64]

Immerhin konnte die Stadt Arnsberg Mitte Dezember 2023 bekanntgeben, dass die eigentlich im November fälligen Steuerzahlungen ab 21.12. eingezogen werden, weil Basisfunktionen der Finanzsoftware wieder verfügbar waren.[65] Der Kreis Siegen-Wittgenstein kündigte kurz vor Weihnachten an, ab Januar 2023 voraussichtlich wieder eigene Kfz-Kennzeichen ausgeben zu können.[66] Im Märkischen Kreis wurde am 29.12.2023 angekündigt, dass in Iserlohn ab Januar 2024 wieder die Auszahlung von Wohngeld möglich sei - einschließlich der rückständigen Beträge und der Verarbeitung von Änderungen. Im Bürgerbüro Lüdenscheid konnten wieder Online-Termine für die Fahrzeugzulassung vergeben werden. In Hemer waren die Fachdienste der Stadt und die Stadtbüchereien wieder erreichbar, jedoch waren dort Bürgerbüro und Standesamt noch geschlossen. Schalksmühle konnte um Weihnachten herum sein Bürger- und Kundenbüro wieder öffnen, zwischen den Jahren und Anfang Januar sogar mit erweiterten Öffnungszeiten: "Wir können wieder richtig arbeiten", so die Fachbereichsleiterin Silvia Gonzalez. Die Homepage der Gemeinde und alle Online-Services waren zu diesem Zeitpunkt jedoch noch nicht wieder verfügbar.[67] Auch in Neuenrade öffnete das Bürgeramt zwischen Weihnachten und Neujahr an zwei Tagen.[68]

Wegen der anhaltenden Probleme musste in den betroffenen Kreisen die Frist für den Austausch alter Papierführerscheine, die für die Geburtsjahrgänge 1965 bis 1970 am 19.01.2024 abgelaufen wäre, auf den 19.07.2024 verlängert werden; hierzu erließ die Bezirksregierung Arnsberg eine Allgemeinverfügung.[69] Im Februar 2024 titelte der bekannte IT-Blogger Born nach einem erneuten kurzfristigen Ausfall von Mail-Diensten: "Chaos ist das neue Normal" und verwies weiterhin auf einen offensichtlichen Personalbedarf der SIT sowie die angekündigte Erhöhung der Verbandsumlage für die SIT.[70]

Ende März 2024 zeichnete sich ab, dass die vollständige Wiederherstellung der IT-basierten kommunalen Dienstleistungen bis in den Herbst dauern würde, also erst rund ein Jahr nach dem Cyberangriff abgeschlossen werden kann. Zu diesem Zeitpunkt, fünf Monate nach der Attacke, konnten die Kommunen Vorgänge wie die Ausstellung von Personalausweisen und Reisepässen, Ummeldungen u.ä. wieder anbieten; als nächste Schritte sollten der Einzug von Steuern und die Ausstellung von Bußgeldbescheiden wieder möglich werden. In einzelnen Kommunen dauert dies unterschiedlich lange.[71]

Tatsächlich waren Ende Juli 2024 in einigen Kommunen alle, in anderen die meisten Dienste wieder verfügbar. Beispielsweise fehlte im Kreis Soest neben einigen Formularen und dem Telefonverzeichnis noch die i-Kfz, im Hochsauerlandkreis war das Mitarbeiterverzeichnis nicht verfügbar. Die SIT erklärte, sie habe vorrangig die Services wieder aufgebaut, die in großem Umfang verwendet werden, solche, die nur vereinzelt von Kommunen genutzt werden, kämen später. Bis Ende September sollten alle Dienste wieder funktionieren.[72] Im Oktober 2024 erklärte die SIT, 98% der ausgefallenen Dienstleistungen seien wieder verfügbar.[73]

Siegen baut eigene Infrastruktur auf[Bearbeiten]

Schon frühzeitig hatte die Verwaltung in Siegen Zweifel an der schnellen Wiederherstellung der Dienste und begann vorsorglich damit, Rechner bereitzustellen, um ggf. für eine Übergangszeit ein eigenes Netz aufzubauen.[74] Nach und nach wurde weitere Technik beschafft, so wurde z.B. die Ausstattung für einen satellitengestützte Internetzugang gekauft. Diese soll im IT-Park der Stadt verbleiben, um für zukünftige Krisen gewappnet zu sein. Siegen hat sich generell zum Ziel gesetzt, unabhängiger von der SIT zu werden.[75]

Forensik-Bericht gibt weitere Hinweise[Bearbeiten]

Entstanden ist die SIT 2018 als Zusammenschluss der Citkomm mit Sitz in Hemer und der Kommunalen Datenzentrale (KDZ) Westfalen-Süd aus Siegen. Sie wird in der Rechtsform einer GmbH unter dem Dach eines Zweckverbands geführt.[76] In verschiedenen Artikeln wurde darüber spekuliert, ob die SIT zum Zeitpunkt des Angriffs gut aufgestellt war. So haben (ehemalige) Mitarbeiter:innen auf der Arbeitgeber-Bewertungsplattform kununu negative Bewertungen zur Unternehmens- und Führungskultur hinterlassen. Dies ist allerdings von begrenzter Aussagekraft, da auf kununu generell eher Beschwerden als Zufriedenheit gepostet werden. Eher schon lässt aufhorchen, dass in den Jahren 2022/2023 alle drei Geschäftsführer die Firma verlassen haben bzw. abberufen wurden. Ein neuer Geschäftsführer wurde erst zum 01.02.2024 eingestellt.[77] Weiterhin kursierten Vermutungen, dass bei der SIT und vielleicht auch den angeschlossenen Kommunen elementare Sicherheitsregeln nicht immer beachtet wurden. Das bezieht sich z.B. auf fehlende Zwei-Faktor-Authentifizierung wie auf triviale, leicht zu erratende Passwörter.[78]

Für Expert:innen ließen die Berichte über den Hergang der Attacke eine Reihe von Fragen offen.[79] Am 25.01.2024 veröffentlichte die SIT den forensischen Bericht über den Cyberangriff und die Gegenmaßnahmen, der die Fragen teilweise aufklären kann.[80] Danach erfolgten erste Zugriffsversuche auf Server der SIT am 18.10.2023, weitere folgten an verschiedenen Tagen zwischen dem 20. und dem 29.10. Diese Login-Versuche stammten aus den USA und den Niederlanden, Ländern, in denen SIT-Mitarbeiter:innen üblicherweise nicht arbeiten. Am 18.10. erfolgten allein innerhalb von 10 Minuten 190 fehlgeschlagene Login-Versuche. Obwohl diese in Log-Dateien protokolliert wurden, waren die Sicherheitssysteme nicht so eingestellt, dass ein Alarm ausgelöst worden wäre. Am 29.10. gelang dann ein Zugriff über eine IP-Adresse aus den USA, der 18 Stunden dauerte, wobei die Verschlüsselung von Dateien angestoßen wurde. Wie die Angreifer an die Zugangsdaten gelangten, konnte nicht aufgeklärt werden; vermutet wird ein erfolgreicher Brute-Force-Angriff, der möglich war, weil der Zugang nicht durch eine 2-Faktor-Authentifizierung gesichert war.[81] Denkbar ist aber auch das Ausnutzen einer bekannten, noch nicht durch ein Update geschlossenen Schwachstelle in einer "Adaptive Security Appliance" (einer Firewall mit Verschlüsselungsfunktionen), die noch nicht geschlossen worden war, obwohl sie im Common Vulnerability Scoring System (CVSS, deutsch: „Allgemeines Bewertungssystem für Schwachstellen“) als "kritisch" eingestuft worden war. Damit bestätigt sich das aus anderen Vorfällen bekannte Vorgehen der Akira-Gruppe, die sich auf die unbefugte Nutzung von VPN-Zugängen durch kompromittierte Konten ohne Multi-Faktor-Authentifizierung (MFA) spezialisiert hat. Die Windows-eigene Erkennung von Schadsoftware "Defender" schlug bei der Installation der Verschlüsselungssoftware nicht an, weil die Angreifer, nachdem sie einen Administrator-Zugang etabliert hatten, das Laufwerk C:\ vom Schutz gegen Schadsoftware ausnehmen konnten.

Günter Born kritisiert in seinem Blog, dass eine Vielzahl von eigentlich bekannten Sicherheitsmaßnahmen nicht eingehalten wurde; dazu zählen

  • Sicherheitssysteme, die weder bei Zugriffen aus dem Ausland noch bei einer Vielzahl von erfolglosen Zugriffsversuchen oder bei einem Burte-Force-Angriff auf ein Passwort Alarm geben;
  • Verspätetes Einspielen von Updates bei bekannten Sicherheitslücken (im konkreten Fall stand das Update seit dem 06.09.2023 zur Verfügung);
  • über VPN[82] zugängliche Administrator-Konten ohne weitere Sicherung;
  • ein Administrator-Kennwort, das in entschlüsselbarer Textform auf dem Server zu finden war;
  • ein Sicherheitssystem, das die Verschlüsselung von Daten durch die Schadsoftware zwar protokollierte, sie aber nicht unterbinden konnte und auch keinen Alarm auslöste.

Jedoch waren die Angreifer nicht in jeder Hinsicht erfolgreich. So konnte die forensische Untersuchung zeigen, dass Versuche, Dateien abzuziehen, scheiterten, jedenfalls tauchten trotz entsprechender Drohungen keine im Darknet auf; auch deshalb wäre eine Lösegeldzahlung falsch gewesen.[83]. Auch ein Übergreifen auf andere Domänen (logische Gruppierungen innerhalb der Netzwerkstruktur) gelang ihnen nicht, ebensowenig das Verschlüsseln von Backups. Dagegen konnten sie auf dem gekaperten Server eine Vielzahl von Dateien verschlüsseln, was zum Ausfall vieler kommunaler IT-Verfahren führte. Dazu trug bei, dass der Angriff erst erkannt wurde, als eine externe Anfrage scheiterte. Der Angriff begann am 29.10. vor 18 Uhr, erste Fehlfunktionen wurden nachts um 2 Uhr erkannt und die Server morgens um 6:30 Uhr heruntergefahren und vom Internet getrennt.[84]

SIT zieht Konsequenzen[Bearbeiten]

Gut ein Jahr nach dem Angriff, im November 2024, zog die SIT auch personelle Konsequenzen. Zwei ehemaligen Geschäftsführern wurde gekündigt. Einer von ihnen hatte die SIT kurz vor der Attacke von sich aus verlassen, der andere war nicht mehr aktiv tätig, bezog aber noch sein Gehalt. Beiden nach einem Compliance-Bericht der Anwaltskanzlei CMS vorgeworfen, grundlegende Sicherheitsmaßnahmen nicht beachtet oder nicht durchgesetzt zu haben. So wurden Passwort-Richtlinien nicht eingehalten, und es gab keine Zwei-Faktor-Authentifizierung. Viele Kompetenzen im Sicherheitsbereich waren unklar verteilt. Schadensersatzforderungen wurden jedoch nicht erhoben, da keine grobe Fahrlässigkeit nachgewiesen wurde. Gegen weitere Mitarbeiter:innen wurden Disziplinarverfahren eingeleitet. Die Sicherheitsmaßnahmen wurden grundlegend verstärkt. Außerdem fordert der neue SIT-Geschäftsführer Mirco Pinske Veränderungen der Entscheidungsstrukturen. So soll die Verbandsversammlung verkleinert werden, dem bislang überwiegend mit Politiker:innen besetzen Vorstand sollen zukünftig auch IT-Fachleute angehören. Pinske forderte auch die Politik auf, die Kommunen zur Einhaltung der NIS-2-Richtlinie zu verpflichten - was z.B. der Deutsche Städte- und Gemeindebund ablehnt.[85]

Wie geht es weiter?[Bearbeiten]

Nach der Wiederherstellung der Daten auf dem Stand vor dem Angriff müssen alle Verwaltungsvorgänge ab dem Zeitpunkt, an dem zuletzt eine nicht kontaminierte Datensicherung stattfand, nachgearbeitet werden. Es zeigt sich, dass ein Angriff auf einen IT-Dienstleister mit vielen Kund:innen eine um Größenordnungen stärkere Wirkung entfalten kann als der Angriff auf eine einzelne Gemeinde. Kommunen, die ihre IT-Leistungen nicht selbst erbringen, sind ganz besonders auf funktionierende Sicherheitsmechanismen bei ihren IT-Dienstleistern angewiesen. Borns oben zitiertem IT- und Windows-Blog zufolge "zeigt der Vorfall die Gefahr, wenn IT-Dienste zentral bereitgestellt werden, offenbart aber auch das Dilemma der Kommunen, die sich keine eigene IT leisten können oder wollen. ... Gelingt es einem Angreifer diese Systeme zu hacken, hat er quasi den Jackpot. Denn er bekommt Zugriff auf die Daten der Kunden und kann den Schaden potenzieren." Die Zeitschrift "Chip" zählt den Angriff auf die SIT zu den "5 heftigsten Hackerangriffen in Deutschland 2023".[86] Born zitiert in seinem Eintrag vom 06.11.2023 Prof. Denis Kipker, IT-Sicherheitsexperte, der auf X folgendes schrieb: "So kann es nicht mehr weitergehen: Entweder Länder und Kommunen steuern in der Vereinheitlichung des Cybersicherheitsniveaus nach, oder wir brauchen eine einheitliche bundesgesetzliche Regelung für die Cybersicherheit in der öffentlichen Verwaltung."[87]

Als eine Konsequenz aus dem Angriff hat das Land NRW entschieden, insbesondere kleineren Kommunen eine Überprüfung ihrer IT-Sicherheit zu finanzieren. Diese können auf Kosten des Landes Verträge mit einer privaten IT-Firma abschließen. Bis zum 11.03.2024 hatten 205 NRW-Kommunen dies Angebot angenommen.[88] Mittelfristig wird darüber nachgedacht, die Vielzahl von IT-Dienstleistern und der von ihnen gepflegten Anwendungen zu reduzieren. So gibt es in NRW laut dem stellvertretenden Geschäftsführer der SIT Jörg Kowalke 36 kommunale IT-Dienstleister - andere Bundesländer haben teilweise nur einen. Bei Gründung der SIT hätten sich die beteiligten Kommunen nicht auf gemeinsame Datenbank-Modelle einigen können, so dass die SIT viele verschiedene Anwendungen pflegen müsse - darunter auch sehr alte, für die keine Updates mehr angeboten werden. Dies treffe auf einen erheblichen Fachkräftemangel in der IT-Branche und gleichzeitig erheblich steigende Sicherheitsanforderungen. Schon diese Personalknappheit sei ein Grund, Dienstleister in NRW zusammenzulegen.[89]

Finanzielle Folgen[Bearbeiten]

Die finanziellen Folgen des Cyberangriffs für die betroffenen Kommunen sind auch ein Jahr nach dem Ereignis nicht absehbar. Ebenfalls noch offen ist, ob der Zweckverband den betroffenen Kommunen gegenüber schadensersatzpflichtig ist; laut der Verbandssatzung ist dies bei "fehlerhafter Aufgabenerfüllung der Organe des Zweckverbandes" der Fall. Da jedoch praktisch alle Mitgliedskommunen betroffen sind und sich der Verband jedoch zu großen Teilen über die Verbandsumlage seiner Mitgliedskommunen finanziert, könnte diese Bestimmung faktisch ins Leere laufen. Ob die Betriebshaftpflicht, die bei der GVV Kommunalversicherung besteht, die Schäden der betroffenen Kommunen ganz oder teilweise ausgleicht ist offen. Bestätigt wurde, dass sich der Verwaltungsrat der SIT im September 2023, wenige Wochen vor dem Angriff, einstimmig gegen den Abschluss einer Versicherung gegen Cyberattacken entschieden hatte.[90] Im April 2024 wurde von einer "angespannten Liquiditätslage" der SIT berichtet; in einem Schreiben bat sie ihre Mitgliedskommunen, die Beiträge für 2023 und 2024 zu überweisen, "unabhängig davon, ob eine Leistung ganz oder teilweise nicht erbracht werden konnte".[91] Die Gesamtkosten für die Kommunen sind schwer zu beziffern, weil sie sich aus vielen Einzelpositionen zusammensetzen. Einzelne betroffene Kreise schätzen ihre Kosten aus dem Angriff auf ungefähr 1,5 Mio. €; darin enthalten ist eine Erhöhung der Verbandsumlage für die Mitgliedskommunen, um die höheren Kosten der SIT abzudecken.[92] Enthalten sind auch Kosten, die den Kommunen durch die Ausfälle entstanden. Beispielsweise will der Kreis Siegen-Wittgenstein für das Ummelden von Fahrzeugen, die während des IT-Ausfall in benachbarten Kreisen angemeldet wurden, für einen Zeitraum von März 2024 bis Ende Februar 2028 auf die Erhebung von Gebühren verzichten; die Kosten dafür werden mit bis zu 382.000 € angegeben.[93]

Fußnoten[Bearbeiten]

  1. Bei einem Ransomware-Angriff werden auf dem angegriffenen Rechner Programme gestartet, die nach und nach immer mehr Dateien verschlüsseln, so dass ihr Inhalt nicht mehr zugänglich ist. Gegen Lösegeld, so wird in der Regel versprochen, soll der Schlüssel übermittelt werden, mit dem die Verschlüsselung rückgängig gemacht werden kann. Häufig wird der Forderung Nachdruck verliehen, indem bei Weigerung, Lösegeld zu zahlen, entwendete Daten im Darknet veröffentlicht oder zum Kauf angeboten werden. Siehe dazu mehr im Artikel Cyberangriffe, Abschnitt Ransomware.
  2. Für eine Liste der Mitgliedskommunen siehe Westfalenpost, Riesen-Cyberattacke: Rathäuser bleiben abgeschnitten, 30.10.2023 (am Ende des Artikels).
  3. Borns IT- und Windows-Blog: Cyberangriff auf Südwestfalen IT trifft 72 Kommunen mehr als erwartet, 31.10.2023; Westfalenpost, Riesen-Cyberattacke: Rathäuser bleiben abgeschnitten, 30.10.2023; WDR: Hacker-Angriff: Etliche NRW-Kommunen immer noch lahmgelegt, 31.10.2023; WDR, Hackerangriff stellt NRW-Kommunen weiter vor große Probleme, 02.11.2023. Siehe dazu auch die Information der SIT selbst auf einer neu eingerichteten - ironischerweise von vielen Browsern als "nicht sicher" eingestuften - Website; die eigentliche SIT-Seite ist (Stand 2.11.2023) nicht am Netz.
  4. Kommunaler Notbetrieb: Externer Angriff auf IT-Dienstleister mehrerer Kommunen in Südwestfalen, laufend aktualisiert (angesehen am 07.11.2023), mit Karte der betroffenen Kommunen; Borns IT- und Windows-Blog: Cyberangriff auf Südwestfalen IT trifft mindestens 103 Kommunen, 06.11.2023; Golem, Ransomware-Angriff legt Dienste deutscher Verwaltungen lahm, 07.11.2023
  5. News4Teachers: Hackerangriff legt IT von Kommunen lahm – und von deren Schulen, 06.11.2023
  6. Borns IT- und Windows-Blog: Neues zum Cyberangriff auf Südwestfalen IT, 10.11.2023
  7. Westfalenpost: Hackerangriff im HSK: Es gibt keinen Kontakt zu Erpressern, 07.11.2023
  8. Westfalenpost, Riesen-Cyberattacke: Rathäuser bleiben abgeschnitten, 30.10.2023; Cyberangriff: Mindestens „bis Ende der Woche“ keine Lösung, 31.10.2023
  9. Westfalenpost, Hacker-Angriff auf HSK-Kommunen: Erpresser fordern Lösegeld, 06.11.2023; SIT hat keinen Kontakt zu "höchst professionellen" Erpressern, 06.11.2023; Hackerangriff im HSK: Es gibt keinen Kontakt zu Erpressern, 07.11.2023; Cyberattacke auf SIT - das sollen die Angreifer aus dem Darknet sein, 09.11.2023; WDR, Hackergruppe "Akira" steckt hinter Angriff auf Südwestfalen-IT, 09.11.2023; Spiegel, Kommunen wollen Online-Erpressern kein Lösegeld zahlen, 09.11.2023; Golem, Ransomwaregruppe fordert Lösegeld von Südwestfalen IT, 10.11.2023; Borns IT- und Windows-Blog: Neues zum Cyberangriff auf Südwestfalen IT, 10.11.2023; heise, Nach Ransomware-Angriff: Südwestfalen-IT und Kommunen lehnen Lösegeldzahlung ab, 11.11.2023; Rheinische Post: Mehr als 70 Kommunen in NRW lahmgelegt — das sind die Folgen, 13.11.2023; heise: Cyberangriff auf Südwestfalen-IT: Mehr Kommunen betroffen, Notbetrieb hält an, 17.11.2023. Siehe zu Akira auch: ThreatDown, Was ist Akira Ransomware?
  10. WDR: Hacker-Angriff: Etliche NRW-Kommunen immer noch lahmgelegt, 31.10.2023
  11. Siehe dazu: Borns IT- und Windows-Blog, Cyberangriff auf Südwestfalen IT (SIT): Chaos bei betroffenen Kommunen, 14.11.2023
  12. Westfalenpost: Nichts geht mehr beim Auto-Anmelden - noch nicht, 08.11.2023
  13. Soester Anzeiger: Cyberangriff: Stadt Warstein mit Not-Homepage, Folgen für Autohäuser, 08.11.2023
  14. Westfalenpost: E-Auto-Prämie: Kommt Härtefallregelung für Südwestfalen?, 18.12.2023
  15. come-on.de: Hackerangriff: Stadt und Kreis können keine Bußgeldbescheide zustellen, 07.12.2023; come-on.de: Knöllchen gibt es in Plettenberg trotz der Cyberattacke, 11.12.2023; come-on.de: Nach Cyberattacke: Keine Strafen für Temposünder?, 15.12.2023; Soester Anzeiger: Nach Cyberangriff: Bußgelder könnten wegen Monatsfrist verpuffen, 15.12.2023
  16. come-on.de, Die Renaissance des Papiers, 08.11.2023
  17. Notfallnummern u.ä. aus vielen, unten nicht genannten Kommunen (Stand 31.10.2023) hat der WDR: Trotz Hackerangriff: Kontakt ins Rathaus
  18. WAZ: Nach Hackerangriff: Witten stellt Not-Homepage online, 02.11.2023
  19. WAZ: Hackerangriff: Serviceportal der Stadt Gelsenkirchen offline, 31.10.2023; Radio Emscher Lippe: Serviceportale bleiben nach Hackerangriff abgeschaltet, 10.11.2023
  20. Westfalenpost: Hackerangriff im HSK: „Diese Woche wird nichts mehr laufen“, 31.10.2023, mit Angaben zu einzelnen Kommunen im HSK; siehe dazu auch SauerlandKurier: „Seit Montag haben wir eine neue Welt“ - Städte und Gemeinden nach IT-Angriff im Ausnahmezustand, 03.11.2023
  21. Westfalenpost: Hackerangriff: HSK setzt jetzt auf Faxgeräte, 08.11.2023
  22. Annsberg-Neheim-Huesten-News: Stadtverwaltung ist trotz Cyber-Attacke für die Bürger:innen da, 01.11.2023; Westfalenpost: Cyberangriff: Zahlungsverkehr bei Stadtwerken läuft, 15.11.2023
  23. Siehe zu Eslohe ausführlich Westfalenpost: Cyberangriff: Wichtige Hinweise aus dem Rathaus Eslohe, 06.11.2023
  24. Westfalenpost: Hackerangriff HSK: Olsberg kramt Schreibmaschinen aus Keller, 12.11.2023
  25. Siehe die Liste der Mail-Adressen in: IKZ-online, Cyberangriff: So ist der Märkische Kreis wieder erreichbar, 07.11.2023
  26. lokaldirekt: IT-Ausfall: Forderungen des Kreises manuell überweisen, 12.11.2023
  27. come-on.de, Cyberattacke: Weiter Einschränkungen im Lüdenscheider Bürgeramt, 17.11.2023
  28. ntv: Weiter Störungen in mehreren Kommunen nach Cyberangriff, 02.11.2023; come-on.de: Cyber-Angriff: Notfall-Seiten vom Märkischen Kreis und der Stadt Lüdenscheid sind jetzt abrufbar, 03.11.2023; Radio MK: Cyberangriff auf „Südwestfalen IT“: Städte im Märkischen Kreis mit eingeschränkten Dienstleistungen, 08.11.2023. Mehr Details zu Lüdenscheid: come-on.de, Nach dem Hackerangriff: „Wir müssen zehn bis 15 Jahre zurückdenken“, 11.11.2023. Zur Stadt Meinerzhagen siehe come-on.de: Cyber-Attacke: Auch Meinerzhagen weiter betroffen, 03.11.2023. Ausführlich zu Kierspe: come-on.de, Cyberangriff: Applaus für die Stadt Kierspe, 16.11.2023
  29. come-on.de: Cyberattacke: Kreis und Kommune arbeiten mit Hochdruck an Notfallseiten, 02.11.2023; Westfalenpost: Nach Hacker-Angriff: MVG jetzt auch mit Notfallseite im Netz, 03.11.2023; Radio MK: Zahlungseinschränkungen nach Cyberangriff in Plettenberg und Menden, 10.11.2023; Westfalenpost: Menden: Nach Cyberangriff sind Zahlungen besonders betroffen, 12.11.2023
  30. come-on.de: Gemeinde kann keine Steuern einziehen, 09.11.2023; Lösegeldforderung nach Hackerangriff: Altena und Nachrodt nicht befragt, 11.11.2023; come-on.de: Verschiebung um mehrere Wochen: Gemeinde kann Haushalt nicht einbringen, 23.11.2023; come-on.de: Cyberangriff: Kleine Verwaltung kann keine eigenen Firewalls aufbauen, 05.12.2023
  31. Come-on.de: Weil Computer ausfallen: Stadt kann Gewerbesteuer nicht abbuchen, 08.11.2023, mit allen Notfall-Mailadressen. Zu Herscheid siehe: come-on.de, Cyberangriff: Lage im Rathaus bleibt angespannt, 22.11.2023
  32. come-on.de: Der Stadt geht so langsam das Geld aus, 13.12.2023
  33. Westfalenpost: Großer Hacker-Angriff: Alle Infos und Nummern im Kreis Olpe, 31.10.2023
  34. Westfalenpost: Online-Bezahlsysteme fallen komplett aus, 03.11.2023
  35. LokalPlus: So arbeiten die Verwaltungen im Kreis Olpe nach dem Hackerangriff, 02.11.2023, mit weiteren Informationen zur Lage im Kreis und in einzelnen Gemeinden
  36. Westfalenpost: Kirchhundem: Fällt Ehrenamtstag dem Hackerangriff zum Opfer?, 05.12.2023
  37. Radio Erft: Rhein-Erft: Hackerangriff schränkt Behörden weiter ein, 06.11.2023
  38. Bürgerportal in GL: Cyber-Attacke: Kreis Rhein-Berg meldet erste Fortschritte, 13.11.2023
  39. Siehe im Detail Rheinische Post, Rathaus in Wermelskirchen stellt sich auf längeren Notbetrieb ein, 03.11.2023; Zum 15. November fällige Abgaben überweisen, 06.11.2023; IT-Koordinator soll bei Notbetrieb der Stadtverwaltung helfen, 06.11.2023; IT-Koordinator soll bei Notbetrieb der Stadtverwaltung helfen, 06.11.2023; Rheinische Post: Stadt Wermelskirchen sendet Info-Brief zum Cyberangriff an die Bürger, 16.11.2023
  40. Bürgerportal in GL: Cyber-Attacke: Stadt kann Steuern nicht einziehen, nimmt Kredit auf, 13.11.2023; Kölner Stadtanzeiger, Bergisch Gladbach kann wegen Hackerangriff keine Steuern eintreiben, 14.11.2023; heise: Cyberangriff auf Südwestfalen-IT: Mehr Kommunen betroffen, Notbetrieb hält an, 17.11.2023
  41. RP online: Stadt zieht Steuern und Beiträge später ein, 13.11.2023
  42. Siegener Zeitung: Cyber-Attacke auf Kreis- und Stadtverwaltung, 31.10.2023; ntv: Weiter Störungen in mehreren Kommunen nach Cyberangriff, 02.11.2023. Siehe auch ausführlich, insb. zur Situation in der Stadt Bad Berleburg: Westfalenpost, Nach Hacker-Angriff: Wichtige Infos für Wittgenstein, 03.11.2023
  43. Siegener Zeitung: Nach Cyberangriff: Kreisverwaltung richtet alte Computer wieder her – um damit ins Internet gehen zu können, 01.11.2023
  44. Zur Lage im Kreis Siegen-Wittgenstein betreibt die Siegener Zeitung einen Liveticker mit jeweils tagesaktuellen Informationen. Informationen auch zur Erreichbarkeit der Verwaltung in weiteren Städten des Kreise sind ebenfalls in der Westfalenpost zu finden: Cyberangriff Siegen: Notbetrieb wird sehr lange dauern, 02.11.2023. Siehe auch Radio Siegen: Eineinhalb Wochen nach Cyberattacke in Siegen-Wittgenstein, 08.11.2023, mit Interview mit Marco Schwunk, Kämmerer in Neunkirchen (½ min), und Informationen zu einigen weiteren Gemeinden
  45. Kreis Siegen-Wittgenstein: Hinweise für An- und Ummeldungen von Fahrzeugen, 20.11.2023
  46. Soester Anzeiger: Cyberangriff: Stadt Warstein mit Not-Homepage, Folgen für Autohäuser, 08.11.2023
  47. Ruhr Nachrichten: Website der Stadt Lünen nicht aufrufbar, 30.10.2023
  48. Ruhr Nachrichten: Cyberangriff auf Kommunen: Rathaus Schwerte bleibt vorerst geschlossen, 31.10.2023; Nach Cyberattacke auf Kommunen Wie geht es im Schwerter Rathaus weiter?, 04.11.2023; Ruhr Nachrichten: Nach Cyberangriff: Zahlungsverkehr der Stadt Schwerte ist beeinträchtigt, 10.11.2023. Zum Zwischenstand Anfang Dezember 2023 siehe Ruhrnachrichten: Fünf Wochen nach Cyberangriff: Schwerter Rathaus ist weiter im Notbetrieb – SIT nennt Zeitplan, 06.12.2023
  49. Siegener Zeitung, Oberbergischer Kreis springt für Siegen-Wittgenstein und Olpe ein, 10.11.2023
  50. Westfalenpost: Kreis Olpe: Zulassungsstau durch Nachbarschaftshilfe gelöst, 17.11.2023; Rheinische Post: Stadt Wermelskirchen sendet Info-Brief zum Cyberangriff an die Bürger, 16.11.2023
  51. Westfalenpost: Bearbeitung von Führerscheinen im MK teils wieder möglich, 25.11.2023, mit vielen Details
  52. Radio Leverkusen: Leverkusen hilft nach Cyberangriff, 09.11.2023
  53. WA: Amtshilfe statt Lösegeld: Hammer Verwaltung springt für lahmgelegte Kommunen ein, 12.11.2023; Nach Hackerangriff: Stadt Hamm drängt darauf, Amtshilfe klar zu regeln, 15.11.2023
  54. come-on.de: Nach Cyberangriff: Kfz-Anmeldungen für Händler bald wieder möglich - mit DO statt MK, 17.11.2023; WDR, Nach Hackerangriff: Dortmund hilft dem Märkischen Kreis mit Büro, 05.12.2023
  55. Die Glocke: Soester erhalten Autokennzeichen aus Kreis Warendorf, 20.11.2023
  56. Rheinische Post: Kfz-Zulassung durch Notlösung möglich – aber ohne „GL“, 17.11.2023
  57. Westfalenpost: Bürger können Autos wieder an- und ummelden, 16.11.2023, mit weiteren Einzelheiten; Siegener Zeitung: Siegen-Wittgenstein: Kfz-Zulassungen jetzt auch in Biedenkopf möglich, 22.11.2023
  58. Siegener Zeitung: Nach Cyberangriff: So hilft Kirchen der Stadt Siegen aus, 06.12.2023
  59. SIT, Südwestfalen IT macht erste Fortschritte, 09.11.2023; Siegener Zeitung: Nach Hackerangriff auf Kommunen: Südwestfalen-IT macht Fortschritte, 09.11.2023
  60. LokalPlus: Südwestfalen-IT arbeitet am Wiederaufbau der Basis-Infrastruktur, 16.11.2023; Borns IT- und Windows-Blog: Südwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten, 17.11.2023
  61. SIT-Notfallseite: Nach Hacker-Angriff auf Südwestfalen-IT: Kommunen und Bürger müssen sich weiter gedulden, 08.12.2023; Siegener Zeitung: Cyberangriff: Südwestfalen-IT braucht nun doch länger als gedacht – Bürger müssen sich gedulden, 08.12.2023; Borns IT- und Windows-Blog: Südwestfalen IT: Wiederanlauf nach Cyberangriff dauert länger; Betreiber werden Versäumnisse vorgeworfen, 14.12.2023; come-on.de: Nach Hackerangriff: Gemeinde bittet Bürger weiter um Geduld, 16.12.2023
  62. come-on.de: Cyberattacke: Stadt muss mindestens 321.563 Euro investieren, 03.12.2023
  63. Lokalplus: Cyberangriff: Bürgermeister aus dem Kreis Olpe und Landrat nehmen Stellung, 13.12.2023
  64. come-on.de: Wie gewonnen, so zerronnen: Ernüchterung nach Zugriff auf Finanzsoftware, 14.12.2023
  65. Westfalenpost, Stadt Arnsberg zieht Steuern ab 21. Dezember ein, 15.12.2023
  66. Westfalenpost: Cyberattacke Siegen: Autos bald endlich wieder mit SI-Kennzeichen zulassen, 20.12.2023
  67. come-on.de: Cyber-Attacke überstanden: „Wir können wieder richtig arbeiten“, 31.12.2023
  68. come-on.de: Nach dem IT-Angriff: Im Einwohnermeldeamt laufen die Rechner wieder, 28.12.2023
  69. t-online: Frist zum Führerscheinumtausch verlängert, 12.12.2023; Siegener Zeitung: Nach Cyberangriff: Umtauschpflicht für Führerscheine in Siegen-Wittgenstein wird verlängert, 15.01.2024
  70. Borns IT- und Windows-Blog: Südwestfalen IT: Chaos ist das neue Normal; Mail für NRW-Verwaltungen wegen Sicherheitslücke gestoppt, 19.02.2024
  71. Siehe als Beispiele: Nachrodt-Wiblingwerde: Nach Cyberangriff: Gemeinde zieht jetzt Geld für Grundbesitz ein (come-on.de); Wermelskirchen: Keine freiwilligen Zahlungen an Stadt leisten (Rheinische Post); siehe auch Deutschlandfunk, Viele Bürger-Dienstleistungen in rund 70 NRW-Kommunen noch immer nicht abrufbar, 29.03.2024
  72. Heise: Neun Monate nach Cyberangriff: Südwestfalen IT ist wieder online, 25.07.2024
  73. come-on.de: Zurück im „Normalmodus“: Südwestfalen-IT bittet Kommunen zur Kasse, 09.10.2024
  74. heise, Cyberangriff in Südwestfalen: Zeitplan für Notbetrieb und Wiederanlauf steht, 21.11.2023; Siegener Zeitung: Nach Cyberangriff auf Verwaltungen: Wann die wichtigsten Leistungen wieder verfügbar sind, 22.11.2023; Radio MK: Update nach Cyberangriff im Märkischen Kreis: Dienstleistungen bald wieder möglich, 22.11.2023; Westfalenpost: Cyberattacke „effektiv abgewehrt“, Systeme fahren wieder hoch – Siegen zweifelt, 23.11.2023; Westfalenpost: Cyberangriff Siegen: „Waschstraße“ für 1400 infizierte Rechner, 28.11.2023; Siegen baut immer mehr Computer-Systeme ohne die SIT auf, 05.12.2023
  75. Westfalenpost: Cyberangriff in Siegen: „Die Südwestfalen-IT war deutlich zu optimistisch“, 21.12.2023
  76. Borns IT- und Windows-Blog: Neues zum Cyberangriff auf Südwestfalen IT, 10.11.2023
  77. Westfalenpost, Cyber-Angriff Siegen: Neuer Chef übernimmt jetzt die SIT, 01.02.2024
  78. WDR: Cyberangriff: IT-Experte erhebt schwere Vorwürfe gegen Südwestfalen-IT, 08.12.2023; Borns IT- und Windows-Blog: Südwestfalen IT: Wiederanlauf nach Cyberangriff dauert länger; Betreiber werden Versäumnisse vorgeworfen, 14.12.2023 mit weiteren Quellen
  79. Siehe im Detail: Borns IT- und Windows-Blog, Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT; Stand Januar 2024, 26.01.2024
  80. Der Bericht: Südwestfalen-IT und rtec, Abschlussbericht Security Incident, veröffentlicht am 25.01.2024 (pdf-Format, 42 Seiten). Siehe auch: Südwestfalen-IT: Forensik-Bericht liefert Erkenntnisse zu Ransomware-Angriff – neuer Geschäftsführer der Südwestfalen IT arbeitet Vorfall auf, 25.01.2024; LokalPlus: Cyber-Attacke: Wohl keine Daten gestohlen - Schwachstelle im VPN, 25.01.2024
  81. Als "Brute-Force-Angriff" ("Rohe Gewalt") wird das automatisierte Durchprobieren eine Vielzahl von möglichen Passworten bezeichnet, was leichter wird, wenn Nutzer:innen gängige, leicht zu merkende Passworte verwenden. Eine 2-Faktor-Authentifizierung (2FA) bedeutet, dass neben Nutzernamen und Passwort noch eine Bestätigung über einen anderen Kanal notwendig ist, z.B. eine Identifizierung per Smartphone, Kartenleser oder Verschlüsselungs-USB-Stick.
  82. Ein "virtuelles privates Netz" (VPN) wird durch verschlüsselte Verbindungen über das Internet aufgebaut; die so verbundenen Teilnehmenden werden behandelt, als seien sie im internen Netz eingeloggt.
  83. heise, Cyberangriff in Südwestfalen: Zeitplan für Notbetrieb und Wiederanlauf steht, 21.11.2023; heise: Erpressung in Südwestfalen: Akira kam mit geratenem Passwort ins kommunale Netz, 27.01.2024
  84. Borns IT- und Windows-Blog: Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT: Nachlese IT-Forensik-Bericht, Teil 1 vom 26.01.2024 und Teil 2 vom 29.01.2024. Sie auch Günter Born: Vertraulicher Forensik-Bericht offenbart viele Versäumnisse, in: Golem, 29.01.2024
  85. it-daily, Security-Chaos: Südwestfalen-IT wirft Ex-Geschäftsführer raus, 19.11.2024; heise, Nach Cyberattacke: Südwestfalen-IT wirft Ex-Manager raus, 19.11.2024; Nach Cyberangriff: Südwestfalen-IT will sich tiefgreifend reformieren, 04.12.2024
  86. Chip: Sind Sie betroffen? Die 5 heftigsten Hackerangriffe in Deutschland 2023, 24.01.2024
  87. Borns IT- und Windows-Blog: Cyberangriff auf Südwestfalen IT trifft mindestens 103 Kommunen, 06.11.2023. Siehe zu Sicherheitsstandards auch den Artikel NIS-2-Richtlinie.
  88. heise: Nach verheerendem Angriff auf Südwestfalen-IT: 205 Kommunen lassen IT prüfen, 11.03.2024
  89. Westfalenpost: SIT Siegen: Nach Cyberattacke nur noch eine IT für ganz NRW, 08.03.2024
  90. come-on.de: Große Schäden: Vor Hackerangriff Cyber-Versicherung abgelehnt, 04.02.2024
  91. Golem: Südwestfalen IT bittet Kommunen um Geld, 19.04.2024
  92. Borns IT- und Windows-Blog: Cyberangriff auf Südwestfalen-IT: Schäden für Kommunen und finanzielles Desaster, 21.09.2024; come-on.de: Zurück im „Normalmodus“: Südwestfalen-IT bittet Kommunen zur Kasse, 09.10.2024
  93. Westfalenpost, Cyber-Angriff Siegen: Allein Kfz-Zulassung kostet 6-stellig, 30.01.2024

Siehe auch[Bearbeiten]

Abgerufen von „https://kommunalwiki.boell.de/w/index.php?title=Cyberangriff_auf_die_Südwestfalen-IT_2023&oldid=24040