Nach Cyberangriff auf Südwestfalen IT: Wer ist das Hacker-Netzwerk "Akira"?
Stand: 13.11.2023, 16:15 Uhr
Der Hacker-Angriff auf die auf die Südwestfalen IT zieht immer größere Kreise. Vor zwei Wochen war der kommunale IT-Dienstleister mutmaßlich von der Hackergruppe "Akira" angegriffen worden. In mehr als 70 Rathäusern und Kreisverwaltungen vor allem in Südwestfalen geht seitdem digital nichts mehr.
Von Heinz Krischer
Pässe ausstellen oder verlängern funktioniert nicht mehr, Autos können nicht an- oder umgemeldet werden, E-Mails können nicht verschickt werden und viele Rathäuser sind nicht mal telefonisch erreichbar. Und immer mehr wirkt sich der Ausfall auch auf die Finanzen aus: Weil die Städte nicht automatisiert Steuern und Gebühren einziehen können, müssen sie jetzt andere Wege gehen.
"Deshalb wird darum gebeten, Forderungen manuell zu überweisen", teilt der Märkische Kreis am Montag seinen Bürgern und Firmen mit. Die Kommunen, aber auch die Südwestfalen IT, sind jetzt dabei, Behelfs-Lösungen aufzubauen. Not-Homepages beispielsweise oder die Ausstellung von provisorischen Bescheiden in Ausländerämtern.
Die wichtigsten Fragen
Wen haben die Hacker angegriffen?
Ziel war in der Nacht zum 30. Oktober 2023 die Südwestfalen IT. Das ist ein Dienstleister, der von den Städten und Kreise in Südwestfalen gegründet wurde, um in ihrem Auftrag digitale Dienstleistungen abzuwickeln. Es wurden zahlreiche Daten verschlüsselt und so unbrauchbar gemacht. Die Hacker hinterließen ein Erpresserschreiben. Ihr Angebot: Lösegeld zahlen, dann werden die Daten wieder brauchbar gemacht.
Cyberattacke auf Südwestfalen-IT lähmt auch Autohandel
Lokalzeit Südwestfalen. 10.11.2023. 01:40 Min.. Verfügbar bis 10.11.2025. WDR. Von Mike Külpmann.
Wer steckt hinter dem Angriff?
Ermittler fanden auf den angegriffenen Servern Hinweise auf die Gruppe "Akira". Das ist eine Hacker-Gruppe, die erst seit März 2023 bei Angriffen auf kleinere und mittelgroße Unternehmen aufgefallen ist. Im Darknet rühmte sich die Gruppe im Spätsommer, bis dahin schon mehr als 60 erfolgreiche Angriffe durchgeführt zu haben, berichten Fachmedien. Sie gehöre weltweit zu den fünf gefährlichsten Hacker-Gruppen, berichten unterschiedliche Experten.
Was hat die Hackergruppe Akira mit Russland zu tun?
Es gibt Vermutungen, dass Akira in Osteuropa Wurzeln hat. Viele Beobachter glauben, dass Akira ein Nachfolger der Hackerbande "Conti" ist. Diese Gruppe hatte ihre Basis in St. Petersburg, manche glauben, dass sie mit dem Segen des russischen Geheimdienstes operierte und westliche Firmen angriff.
Als Russland im vorigen Jahr den Krieg mit der Ukraine begann, habe sich Conti hinter Putin gestellt, heißt es in verschiedenen Veröffentlichungen. Das aber führte zum Streit. Ukraine-nahe Hacker machten aus Ärger über den Ukraine-Krieg Chatprotokolle und die geheimen Algorithmen von "Conti" öffentlich. Das führte dazu, dass sich die Gruppe auflöste oder zurückzog.
Wie sind die Hacker organisiert?
Von der Hackergruppe Conti weiß man auch durch die geleakten Chatprotokolle, dass sie wie ein großes Unternehmen aufgebaut ist. Ihr Geschäftszweig RaaS "Ransom as a Service", Lösegeld-Erpressung als Geschäftsmodell. Es gibt Chefs, Abteilungsleiter, Teams, die sich um die Technik zum Eindringen in die Server kümmern, andere, die sich mit Verschlüsselung auskennen, wieder andere, die das Geld eintreiben, ohne dass sie Spuren hinterlassen.
Wie geht "Akira" vor?
IT-Analysten glauben, dass Akira eine Schwachstelle in der Hardware des Herstellers Cisco gefunden hat. Darüber gelinge es ihnen, ihre Schadprogramme auf den Servern einzupflanzen. Großer Schaden sei immer dann entstanden, so heißt es in internationalen Veröffentlichungen, wenn die Server nicht aufgeteilt oder die verschiedenen Bereiche nicht gut genug untereinander abgesichert seien.
Notwendig sei eine Multi-Faktor-Authentifizierung (MFA), heißt es in Analysen. Verbraucher kennen Zwei-Faktor-Authentifizierung beispielsweise vom Online-Banking, wenn zusätzlich zu einem Passwort auch noch ein Sicherheitscode aufs Handy geschickt wird.
Wieviel Lösegeld fordert "Akira"?
Das ist nicht bekannt. Die Hacker von "Conti" sollen ein bis vier Prozent des Jahresumsatzes verlangt haben. Forderungen können also in die Hunderttausende gehen. Im Fall des Angriffs auf die Südwestfalen IT sind die Kommunen aber offenbar nicht bereit, Lösegeld zu zahlen. Wie Akira darauf reagiert, ist unklar.
In der Vergangenheit hatten Hacker vor der Verschlüsselung der Daten zunächst sensible Daten gestohlen. Um ihren Forderungen mehr Druck zu verleihen, drohten sie mit der Veröffentlichung der Daten. Auch auf den Servern der Südwestfalen IT waren viele sensible Daten der Bürger. Zuletzt hatten die Ermittler gesagt, es gebe keinen Hinweis darauf, dass solche Daten abgeflossen seien.