Es ist nicht die Frage ob, sondern wann ein Unternehmen gehackt wird, sagt IT-Forensiker Karsten Zimmer. Er unterstützt Unternehmen bei der Cybersicherheit und wertet für Bundes- und Landeskriminalämter die Computer von Verdächtigen aus.
Der Angriff auf Südwestfalen-IT sei erwartbar gewesen. Was diesmal schiefgelaufen ist, wisse er nicht, sagt Karsten Zimmer. "Aber ich weiß es aus vergangenen Tagen, dass gerade im Administrationsbereich sehr, sehr viele Fehler gemacht werden."
Nach Zimmers Erkenntnissen gab es etwa keine Zwei-Faktoren-Authentifizierung oder gar Multi-Faktor-Authentifizierung. Zudem "wurden schlechte Passwörter genutzt, es wurden schlechte Benutzernamen benutzt, die ich herausbekomme. Das ist alles angriffsfähig und das halte ich für sehr sehr gefährlich." meint Karsten Zimmer.
Wurden bei Südwestfalen-IT Fehler gemacht?
Südwestfalen-IT ist ein kommunaler Zweckverband. Mehr als 100 Kommunen lassen digitale Prozesse über das Unternehmen abwickeln. Daher gelang es mit dem Angriff auf diesen einen Dienstleister so viele Kommunen lahmzulegen.
Das betroffene Unternehmen selbst gibt sich kleinlaut. "Ich gehe davon aus, dass hier bei der Südwestfalen IT Fehler passiert sind. Wenn keine Fehler passiert wären, hätten die Kriminellen meiner Meinung nach nicht eindringen können", sagt Verbandsvorsteher Theo Melcher. Aktuell arbeite man mit Experten daran, die Fehler zu identifizieren.
Auf die Zwei-Faktoren-Authentifizierung angesprochen, die zu den gängigen Sicherheitsstandards zählt und ob es diese gab, räumt Melcher allerdings ein: "Nach meinem Kenntnisstand nicht flächendeckend. Und das könnte auch möglicherweise ein Teil des Problems sein. Aber das gilt es abzuwarten, ob das kausal war." Im Januar erwartet Melcher den Abschlussbericht.
Rückstand bei Digitalisierung und IT-Sicherheit in Behörden
Dass Kommunen ihre IT-Struktur und damit auch die digitale Sicherheit auslagern, sei problematisch, meint Karsten Zimmer, der häufig auch von Unternehmen beauftragt wird, ihre Sicherheitsmaßnamen auf die Probe zu stellen und als Test in Netzwerke einzubrechen. "Für den Hacker ist es natürlich viel, viel einfacher, eine Institution, ein Unternehmen anzugreifen, als hunderte Kommunen anzugreifen."
Es brauche strengere Kontrollen der IT-Firmen: "Die Dienstleister müssten zertifiziert werden, sie müssten sich auch Hilfe holen." Einen großen Fehler sehe er in Systemhäusern, die alles aus einer Hand liefern. "Das heißt, das Systemhaus liefert Hard- und Software, macht Beratung und bietet gleichzeitig Sicherheitsberatung an."
Stattdessen, so meint Zimmer, brauche es externe Beratung in puncto Sicherheit. So könnten etwa Hackerangriffe simuliert und Schwachstellen erkannt werden, bevor Kriminelle ganze Regionen digital lahm legten.
Digitalisierung als riesige Aufgabe kleiner Kommunen
Martin Hoffmann ist Bürgermeister von Leopoldshöhe in Ostwestfalen-Lippe, davor war er Professor für Informatik. Er weiß, wie schwierig die Digitalisierung für kleinere Kommunen ist. Alles selber zu machen ginge kaum, alles abzugeben sei aber auch schwierig. Es brauche "die nötige Mitte zwischen zentralisiert und dezentralisiert. Da sind Rechenzentren genau das Richtige, nicht jede Kommune für sich und eben auch nicht nur der eine große Anbieter."
Allerdings müsse es auch klare Grenzen geben, wer welche Dinge digital bearbeitet: "Also ein kluger Ansatz ist aus meiner Sicht, dass man diese Daten, die die Kommunen haben, auch wirklich in staatlicher Hand behält. Und dass wir die auf unseren Rechenzentrum vorhalten, damit wir physikalisch drankommen, wenn es dann wirklich mal hart auf hart kommen sollte."
Das Land will die Kommunen bei der Digitalisierung besser unterstützen. Dafür ist laut Digitalministerin Scharrenbach wichtig, erst einmal eine Abfrage bei den Kommunen zu machen: "Wer hat was im Einsatz? Wer ist schon wie weit in der Digitalisierung?" So könne man passgenau die Digitalisierung vorantreiben. In ersten Arbeitsprozessen sei das bereits passiert, aber "das brauchen wir im Grunde auch für jedes andere Verfahren, damit wir ein gemeinsames Verständnis davon haben. Wo läuft es gut? Wo läuft es nicht gut?". Doch das, so Scharrenbach, werde dauern.
Ermittlungen im Fall Südwestfalen-IT laufen
Die Ermittlungen zum Hackerangriff auf Südwestfalen-IT hat die Zentral- und Ansprechstelle Cybercrime (ZAC NRW) bei der Kölner Staatsanwaltschaft übernommen. Selbst für die Behörde, die sich nur um große digitale Kriminalfälle kümmert, sei es eine besondere Herausforderung, sagt Staatsanwalt Christoph Hebbecker. Zu den Ermittlungen und möglichen Sicherheitslücken äußert sich die Staatsanwaltschaft nicht.
Grundsätzlich ist es für die Behörden schwierig, die oft internationalen Tätergruppen ausfindig zu machen. Noch schwieriger werde es, sie vor Gericht zu bringen.
"Wir sehen, dass die Angriffe professioneller werden und wir sehen, dass die Angreifer teilweise eben auch immer arbeitsteiliger vorgehen." So gebe es eine klare Arbeitsteilung zwischen Hackern, Verhandlern von Lösegeld und Verkäufern von Daten im Darknet.