Heute vor einem Jahr: Hackerangriff auf Südwestfalen IT

In der Nacht zum 30. Oktober 2023 verschlüsselten Hacker die Daten auf den Servern der Südwestfalen IT (SIT) und machten sie unbrauchbar. Computer an 22.000 Arbeitsplätzen in Verwaltungen waren tot, 1,6 Millionen Bürger betroffen. Rathäuser blieben geschlossen, Autos ließen sich nicht anmelden, Geburts- und Sterbeurkunden mussten per Hand ausgefüllt und per Fax verschickt werden. Selbst der Terminkalender der Siegerlandhalle war zeitweise nicht mehr verfügbar.

Der Siegener Stadtbaurat Henrik Schumann ist Leiter des Krisenstabes – und an jenem 30. Oktober war er richtig gefordert. "Wir hatten kein Telefon mehr, kein Internet, keine Email. Also sämtliche Kommunikationskanäle waren weg und wir konnten natürlich auch auf keinen Rechner zugreifen. Das war eine richtige Krise."

Fast ein Jahr Krisenmodus

Und die Krise sollte länger andauern, als manche zu Beginn hofften. Erst vor vier Wochen, also nach elf Monaten verkündete die Südwestfalen IT, der Krisenmodus sei beendet. Auch das macht die Dimension des Angriffs deutlich. "Ich denke, es war die größte Herausforderung für IT-Dienstleister in der Bundesrepublik Deutschland", sagt Theo Melcher. Er ist Landrat im Kreis Olpe und Chef des Zweckverbandes mit 72 Städten und Kreisen, dem die SIT gehört.

Um es in den Griff zu bekommen, mussten Techniker der SIT die bei dem Hackerangriff zerstörten Systeme wieder aufbauen – und zugleich alles besser absichern, als es bis dahin war. Denn der Hackerangriff war so erfolgreich, weil die Hacker von Akira Schwachstellen auf den Servern der SIT fanden und Sicherungen zu leicht zu knacken waren.

"Es war ein typischer Fehler, der in vielen anderen IT-Dienstleistern auch vorhanden ist“, sagt Theo Melcher. "Aber wir haben unsere Konsequenzen gezogen. Wir haben eine flächendeckende Multi-Faktor-Authentifizierung eingeführt. Die Firewalls sind verbessert worden und wir sind jetzt auf einem guten Stand. Aber der ist für mich noch nicht ausreichend. Wir müssen noch vieles mehr tun."

Die Auswirkungen des Hackerangriffs waren auch deshalb so heftig, weil ein großer Dienstleister getroffen wurde. Aber stattdessen die IT wieder in kleinere Einheiten aufzuteilen, so dass jede Stadt, jeder Kreis selbst für sich verantwortlich ist – davon hält Melcher nichts. "Wir müssen viel stärker kooperieren. Das tun wir bereits, insbesondere mit der Regio IT in Aachen, dank deren Mithilfe es auch gelungen ist, diesen Hackerangriff zu bewältigen. Und ich bin der Auffassung, diese Kooperation muss vertieft werden und auch verstärkt gegebenenfalls mit vielen anderen."

Siegen will in Zukunft eigenständiger reagieren können

In Siegen stellt Stadtbaurat Henrik Schumann die Zusammenarbeit mit der SIT grundsätzlich nicht infrage. Doch die Stadt hat teilweise auch eine doppelte Struktur aufgebaut, um bei einem erneuten Hackerangriff nicht wieder völlig hilflos dazustehen. "Das heißt, wir bauen zum einen Personal im IT-Bereich der Stadt auf, damit wir eigenständiger agieren können", sagt Henrik Schumann. "Das heißt aber auch, wir brauchen Computer, Laptops, separate Internetverbindungen für ein Notfallmanagement, so dass wir Geräte haben, die wir sofort einsetzen können."

Und das alles kostet Geld. Den Städten, die wie Siegen doppelte Strukturen aufbauen. Und der SIT. Die rechnet in diesem und dem nächsten Jahr mit 3,5 Mio Euro Mehrkosten, die die Kommunen im Zweckverband aufbringen müssen.

Unsere Quellen: