SIT will in Notbetrieb starten

Lokalzeit Südwestfalen 07.12.2023 Verfügbar bis 07.12.2025 WDR Von Heinz Krischer

Nach Cyberangriff: Erste Hinweise auf Einfallstor der Hacker

Stand: 14.12.2023, 13:44 Uhr

Der Hackerangriff auf die Südwestfalen IT beschäftigt weiter die Ermittler. Hacker konnten möglicherweise wegen fehlender Sicherungen in die Systeme der Südwestfalen IT (SIT) eindringen. Die SIT hat dem WDR bestätigt, dass bei ihren Servern nicht immer eine sogenannte Multi-Faktor-Authentifizierung vorhanden war.

Von Heinz Krischer

Multi-Faktor-Authentifizierung heißt, man braucht, um in ein System zu kommen, zwei, drei oder noch mehr Passwörter, die man nicht nur am PC, sondern zum Beispiel zusätzlich auch am Handy eingeben muss. Das macht die Systeme sicherer.

Im August war bekannt geworden, dass die Hacker, die auch bei der Südwestfalen IT zugeschlagen haben, bewusst nach Systemen suchen, wo solche Sicherungen fehlen. Ob das tatsächlich das Einfallstor für die Hacker war, das werde gerade untersucht, sagte ein Sprecher der SIT.

Erhebliche Folgen

Nach dem Hackerangriff auf die Südwestfalen IT sind immer noch über 70 Städte und Kreise in Nordrhein-Westfalen digital lahmgelegt. Die Blockade dieser Homepages hat erhebliche Folgen für die Bürger. Reguläre Pässe können in den Stadt- und Kreisverwaltungen nicht ausgestellt werden, auch keine Führerscheine, Sterbeurkunden, Aufenthaltsgenehmigungen oder Arbeitserlaubnisse.

IT-Fachleute im Krisenmodus

Volker Rombach ist deshalb im Krisenmodus. Er ist der Service-Leiter der Südwestfalen IT seit dem 30. Oktober. In jener Nacht merkten seine Kollegen, dass plötzlich Daten auf ihren Servern verschlüsselt wurden. Um halb zwei Uhr nachts klingelte bei ihm das Telefon.

Viele Menschen vor Computern

170 IT-Fachleute kümmern sich um die Wiederherstellung der Homepages

 "Wenn Sie mitten in der Nacht aus dem Tiefschlaf geweckt werden und dann hören, dass sie gehackt wurden, dann sind sie sofort hellwach", erinnert er sich an jenen Moment. Klar, gehackt werden, mit diesem Risiko muss man leben, absolute Sicherheit gibt es nicht. Das weiß man. Theoretisch. "Und doch war es erstmal ein Schock", sagt Rombach.

Systeme sollen bald wieder laufen

Nachdem alle Systeme vom Netz genommen wurden, arbeite man jetzt daran, die Programme für die Kommunen wieder ans Laufen zu bekommen. 170 Mitarbeitende sind hier und an vielen weiteren Arbeitsplätzen in mehreren Schichten im Einsatz. Und gehen, wie Volker Rombach, oft bis an ihre Grenzen, arbeiten bis zur Erschöpfung.

Männer in einem IT-Serverraum

Kam der Angriff über die Hardware?

"Ich fang‘ in der Regel um 6:30 Uhr an, gehe meist nicht vor 20 Uhr hier raus", sagt er. Nicht selten wird es viel später. Seit fünf Wochen ist Krise der Regelfall. Aber die Mitarbeiterinnen und Mitarbeiter wissen, was auf dem Spiel steht. Mehr als 70 Kommunen, vor allem in Südwestfalen, sind von dem Hack betroffen.

Provisorische Lösungen laufen schon

Doch mittlerweile haben sich die Stadt- und Kreisverwaltungen provisorische Lösungen überlegt, um zumindest für eine gewisse Zeit Dokumente ausstellen zu können. Bei den Zulassungen von Autos kooperieren die südwestfälischen Kreise mit Nachbarkreisen, die nicht betroffen sind. Und um Auszahlungen für Sozialleistungen oder Elterngeld anweisen zu können, fahren Mitarbeitende auch schon mal in andere, nicht betroffene Städte, um dort zu arbeiten.

Und erste Städte bauen Parallelstrukturen auf. So wie beispielsweise Siegen. Dort ist der Ratssaal zum PC-Labor umgebaut worden. "250 Laptops werden gerade für den Einsatz in unserer Verwaltung vorbereitet", sagt Steffen Mues, Bürgermeister von Siegen. So sei man zumindest eingeschränkt arbeitsfähig. Auf viele Dienstleistungen aber werden die Bürger noch lange Zeit verzichten müssen. "Das muss man den Bürgern sagen, so ehrlich müssen wir sein", sagt Mues.

Nach Hackerangriff: Betroffene Städte wohl bald wieder online

00:45 Min. Verfügbar bis 07.12.2025


"Sicherheit geht vor Schnelligkeit"

Auf die Frage, wie lange es noch dauen wird, gibt Theo Melcher auch keine verbindliche Antwort. Er ist Landrat des Kreises Olpe und in dieser Funktion Verbandsvorsteher der SIT, so etwas wie ein Aufsichtsrats-Chef. "Sicherheit geht vor Schnelligkeit", sagt er. Und sicher, dass die Server sauber sind, dass alle Trojaner und Schadprogramme gefunden und gelöscht wurden, ist im Moment niemand. Hunderte Server und Tausende PC müssen neu aufgesetzt werden. 

Angriff über Hardware?

Während daran gearbeitet wird, werden die Fragen lauter, wie dieser massive Hackerangriff - hinsichtlich seiner Auswirkungen einer der größten in Deutschland - passieren konnte. Schon im August warnte Cisco, ein Hersteller von wichtigen Teilen für Server, davor, dass eine Hackergruppe versuche, sich über diese Hardware in die Netzwerke einzuschleusen. 

Ist das so auch bei der SIT passiert? Hätte man sich besser schützen können? Theo Melcher sagt, im Moment sei noch nicht genau klar, wie die Hacker ins System kamen. Das würden IT-Forensiker und auch das Landeskriminalamt untersuchen. 

Klar aber sei: Die Schutzmechanismen konnten den Angriff nicht komplett verhindern. Künftig müsse man sich noch mehr Gedanken über Cybersicherheit machen.

Telefone und Mailverbindungen laufen wieder

Bei all den Problemen gibt es aber doch einen kleinen Lichtblick: Mittlerweile funktionieren die Telefone in den meisten Rathäusern und auch die Mailverbindungen wieder. 

Und in den nächsten Wochen sollen die ersten Server wieder hochgefahren werden - für einen "sehr eingeschränkten Notbetrieb", so SIT-Serviceleiter Volker Rombach. Aber immerhin ist das ein Anfang.

Cyberattacke auf Südwestfalen-IT lähmt auch Autohandel

Lokalzeit Südwestfalen 10.11.2023 01:40 Min. Verfügbar bis 10.11.2025 WDR Von Mike Külpmann

Unsere Quellen:

  • Südwestfalen IT
  • WDR Studio Siegen