Die Südwestfalen-IT (SIT) kämpft weiterhin mit den Folgen des in der Nacht zu Sonntag entdeckten Cyberangriffs, teilte das attackierte Unternehmen mit Sitz in Hemer am Dienstag mit. Zur Zeit analysierten Spezialisten die Systeme, um herauszufinden, wie weit sich die Schadsoftware verbreitet habe. Dafür sei es erforderlich, die Systeme weiterhin vom Internet und den Verwaltungsnetzen zu trennen. Man stehe in Kontakt mit den einschlägigen Behörden, um die Analyse zur Wiederherstellung der IT so schnell wie möglich voranzutreiben.
72 Kommunen betroffen
Betroffen sind seit dem Wochenstart 72 Kommunen und Kreise vor allem aus Südwestfalen sowie vereinzelte weitere Kunden innerhalb und außerhalb NRWs, so SIT.
Wegen der Tragweite des Falles leitet die bei der Staatsanwaltschaft Köln angesiedelte Zentral- und Ansprechstelle Cybercrime (ZAC) NRW die Ermittlungen. Um herauszufinden, wer hinter dem Angriff stecke, analysiere man in einem ersten Schritt die eingeschleuste Schadsoftware, sagte Christoph Hebbecker, Sprecher der ZAC, am Dienstag. «Wir überprüfen auch, welche Sicherheitslücke genutzt wurde und ob es einen Datenabfluss gegeben hat. Dazu dauern unsere Ermittlungen noch an», sagte Hebbecker weiter.
Lösegeldforderungen noch nicht öffentlich
Zur Frage, ob die Cyberkriminellen versuchten, Lösegeld zu erpressen, wollte der Staatsanwalt zunächst keine Angaben machen. Der IT-Dienstleister SIT teilt auf seiner Homepage mit, das Unternehmen sei Ziel eines Cyberangriffs mit Ransomware, einem sogenannten Erpressungstrojaner, geworden.
Als Ransomware bezeichnen Fachleute Schadsoftware, mit der Cyberkriminelle in die IT-Systeme von Firmen und Organisationen eindringen und wichtige Daten verschlüsseln. Für die Freigabe verlangen sie ein Lösegeld (Englisch: «ransom»).
Tathergang
Am Montag hatte der IT-Dienstleister zunächst alle Verbindungen gekappt, um die Weiterverbreitung des Schädlings innerhalb des Netzwerks zu verhindern. Die Auswirkungen in den einzelnen Kommunen hängen nach Auskunft der Ermittler nun davon ab, wie eng die Behörden mit dem attackierten IT-Dienstleister zusammenarbeiten und welche Systeme sie nutzen. Wie schnell die betroffenen Kommunen nun wieder arbeitsfähig seien, hänge zusätzlich davon ab, wie gut man vor Ort auf einen solchen Fall vorbereitet sei. «Erfahrungsgemäß können die Einschränkungen von einigen Tagen bis hin zu mehreren Monaten reichen», so Hebbecker.
Viele Verwaltungen und Rathäuser in Südwestfalen sind seit Montag nicht oder nur eingeschränkt arbeitsfähig. Örtlich blieben Bürgerbüros, Ausländerbehörden oder Kfz-Zulassungsstellen geschlossen. Viele Online-Auftritte von betroffenen Kommunen und Kreisen waren nicht zu erreichen.
Aufbau einer neuen IT-Infrastruktur
Stark betroffen ist etwa die Kreisverwaltung Siegen-Wittgenstein. Dort funktionieren weder Mail-Programme noch das Telefon. «Grundsätzlich geht erstmal fast gar nichts», sagte ein Sprecher. Einige Dinge könnten aktuell aber «händisch» erfolgen, etwa die Verlängerung einer Duldung beim Ausländerbüro. Erleichtert zeigte er sich, dass Sozialleistungen bereits vor dem Wochenende ausgezahlt worden seien.
Außerdem sei damit begonnen worden, eine neue IT-Infrastruktur aufzubauen, so dass «saubere Rechner» wenn möglich auf internetbasierte Fachsoftware zurückgreifen könnten, die nicht vom Angriff auf die SIT betroffen war. Eine seit Dienstag geschaltete Bürgerhotline sei stark frequentiert.
Südwestfalen IT verwies am Donnerstag auf einen tagenden Krisenstab. Man stehe im Kontakt mit den einschlägigen Behörden, um die Analyse zur Wiederherstellung der IT so schnell wie möglich voranzutreiben, hieß es in einer Mitteilung. Spezialisten seien damit befasst zu analysieren, wie weit die Schadsoftware sich im Netzwerk verbreitet habe.
Rasanter Anstieg von Cyberangriffen
Experten und Ermittler beobachten zur Zeit einen rasanten Anstieg von Cyberangriffen weltweit vor allem mit Erpressungssoftware. Nach Angaben einer Studie des Versicherungskonzerns Allianz ist die Zahl der Ransomware-Angriffe allein im ersten Halbjahr 2023 um die Hälfte gestiegen. Einer Umfrage des Digitalverbandes Bitkom zufolge wurden binnen eines Jahres gut die Hälfte aller Unternehmen ab zehn Mitarbeitern mit Ransomsoftware angegriffen.
«Es gibt kein hundertprozentig sicheres System», sagte auch ZAC-Sprecher Hebecker. Die Hoffnung, dass die Urheber des Angriffs zur Rechenschaft gezogen werden, ist allerdings klein: «Die Identifizierungsquote ist extrem gering - geschätzt liegt sie im einstelligen Prozentbereich», so der Ermittler. Noch geringer sei der Anteil der Cyberkriminellen, denen schließlich der Prozess gemacht werden könne.
«Es gibt aber auch Erfolge», betonte Hebbecker. So konnte eine Spezialeinheit eine Hacker-Gruppe enttarnen, die unter anderem einen Angriff auf die Düsseldorfer Uniklinik und die Funke-Mediengruppe gefahren haben sollen. Drei Verdächtige werden seit dem Frühjahr per internationalem Haftbefehl gesucht. (dpa/sg)
