Auch eine Woche nach dem Angriff auf den kommunalen IT-Dienstleister Südwestfalen-IT (SIT) lässt sich der entstandene finanzielle Schaden weder absehen noch beziffern. Ebenso unklar ist, wie lange es noch dauern wird, bis die Systeme wieder laufen. Betroffen sind fast alle Stadtverwaltungen im Märkischen Kreis, Hochsauerlandkreis, Olpe, Siegen-Wittgenstein, Soest, mehrere Kommunen im Rheinisch-Bergischen Kreis und die Stadt Schwerte.
„Experten arbeiten unter Hochdruck“
Die Bürgerbüros in Lüdenscheid und Iserlohn, so erklärt Alexander Bange, Pressesprecher des Märkischen Kreises auf telefonische Anfrage von LokalDirekt, bleiben noch bis auf Weiteres geschlossen. Jedoch sollen schon bald hilfsweise Mailadressen für die einzelnen Fachbereiche eingerichtet werden. Anträge können über diese jedoch nicht gestellt werden. Telefonisch seien die Kommunen nach wie vor erreichbar.
Wie lange die Angelegenheit noch dauere, sei nach wie vor nicht absehbar. „Die Experten arbeiten unter Hochdruck, um demnächst wenigstens Teilbereiche wieder öffnen zu können“, erklärt Bange abschließend.
„Sicherheit geht vor Geschwindigkeit“
Der kommunale IT-Dienstleister Südwestfalen-IT, auf den der Angriff ausgeübt wurde, teilt in einer Presseerklärung mit, dass ein Krisenstab eingerichtet wurde. Zu diesem gehören auch spezialisierte IT-Forensiker. Laut der SIT wurden außerdem alle Systeme abgeschaltet und das Unternehmen stehe in einem ständigen, intensiven Austausch mit den IT-Verantwortlichen aller Kreisverwaltungen.
Darüber hinaus wurde von dem Dienstleister in Abstimmung mit dem LKA und der Zentral- und Ansprechstelle Cybercrime (ZAC-NRW) der Staatsanwaltschaft Köln eine Informationssperre verhängt, um den Kriminellen keine Anhaltspunkte zu möglichen weiteren Verwundbarkeiten zu liefern.
Die IT-Forensiker seien nun dabei, mit speziellen Analysewerkzeugen den Hergang des Angriffs aufzuarbeiten, außerdem würden nun alle Produktivsysteme einzeln überprüft. Ziel sei es, schnellstmöglich für einzelne Systeme eine Infektion auszuschließen. Außerdem seien neue Sicherheitsrichtlinien erarbeitet worden. Sobald die neuen, verschärften Sicherheitsstandards umgesetzt sind, könne mit der Wiederinbetriebnahme der nicht betroffenen Systeme begonnen werde. Hierbei gelte im Interesse aller der Grundsatz: „Sicherheit vor Geschwindigkeit.“
„Fokus liegt auf schneller Wiederherstellung“
Jörg Kowalke, stellvertretender Geschäftsführer der SIT, gibt in der Pressemitteilung folgende Erklärung ab: „Die Bürgerinnen und Bürger in Südwestfalen sind auf öffentliche Dienstleistungen angewiesen. Obwohl viele Systeme nicht betroffen sind, hat die erforderliche Notabschaltung zu zahlreichen Einschränkungen geführt. Dessen sind wir uns bewusst, und deshalb liegt unser absoluter Fokus darauf, mit einer schnellen Wiederherstellung und geeigneten Behelfs-Lösungen ein möglichst hohes Niveau an Arbeitsfähigkeit zu gewährleisten. Wir werden den Fall professionell und gründlich aufarbeiten und die Erkenntnisse mit Behörden und den Kommunen teilen. Mein Dank gilt ausdrücklich den Mitarbeiterinnen und Mitarbeitern in den Landkreisen, Städten und Gemeinden und bei der SIT, die seit einer Woche mit hohem persönlichem Einsatz gemeinsam an der Bewältigung dieser Krise arbeiten.“
Diesjähriger Bericht zur Lage der IT-Sicherheit in Deutschland
Wie kann es überhaupt zu einem solchen Angriff kommen? Und welche Maßnahmen hätten einen solchen verhindern können? LokalDirekt hat eine Presseanfrage an das Bundesamt für Sicherheit in der Informationstechnik gestellt.
Der konkrete Vorfall, so teilt dieses in seiner Antwort mit, sei bekannt, Stellung wolle man zu diesem jedoch nicht beziehen.
Weiterführend verweist Pressesprecher Joachim Wagner auf den am Donnerstag, 2. November, veröffentlichten Bericht zur Lage der IT-Sicherheit in Deutschland, der auch im Internet abrufbar ist.
In diesem heißt es: „Aus dem Bericht geht hervor, dass Kommunen, kommunale Unternehmen und auch IT-Dienstleister wiederholt Opfer von Cyberangriffen werden. Insbesondere Angriffe mit Ransomware (Verschlüsselungstrojaner mit dem Ziel der Erpressung) kommen dabei zum Einsatz. Die Erstinfektion der betroffenen Systeme erfolgt dabei meist über Schwachstellen in Soft- oder Hardwareprodukten, die in den jeweiligen IT-Netzen zum Einsatz kommen. Daneben kommt eine Infektion über eine mit Schadsoftware versehene E-Mail in Betracht.
Das BSI geht davon aus, dass es 100-prozentige Sicherheit vor Cyberangriffen nicht gibt. Allerdings erschweren präventive IT-Sicherheitsmaßnahmen den Erfolg dieser Angriffe und schwächen die oftmals schwerwiegenden Folgen deutlich ab. Daneben ist es aus Sicht des BSI wichtig, über entsprechende Krisenreaktionsmechanismen zu verfügen und diese auch eingeübt zu haben. Dazu zählen neben funktionierenden Back-ups (Sicherungskopien) auch IT-Krisenstäbe oder die kurzfristige Verfügbarkeit von qualifizierten und spezialisierten IT-Dienstleistern.“
